Ligesom EU for nogle år siden indførte GDPR, kommer EU nu også med regler for brug af kunstig intelligens.
Ligesom det var tilfældet med GDPR, får EU’s kommende AI-regulering betydning for, hvordan virksomheder og bureauer kan bruge kundedata i løsninger, der baseres på kunstig intelligens. Og fordi AI forventes at få en stor fremtid inden for markedsføring, kan lovgivningen påvirke mange virksomheder.
Ingen kan svare på, hvordan reguleringen helt præcist bliver, for det er ikke fastlagt endnu. Men man kan allerede nu se, hvilken retning loven tager, ved at sammenligne AI-reguleringen med GDPR. Her er både ligheder og forskelle.
Om debattørerne
Anders Kofod-Petersen er professor i kunstig intelligens ved NTNU i Trondheim.
Troels Lindgård er Partner i 1DigitalTrust A/S.
GDPR versus AI
Fokus for GDPR er dybest set indsamling af data. Kort fortalt bør man kun indsamle et absolut minimum af data om sine kunder. Man skal være meget tydelig på, hvad data skal bruges til. Man skal spørge brugeren/kunden/borgeren om lov til at bruge data. Og uanset hvilken teknik, der bruges til at behandle data, så skal man overholde GDPR.
Det næste bliver AI-reguleringen, som ventes at træde i kraft 1. januar 2025. Til forskel fra GDPR, der fokuserer på indsamling af data, fokuserer AI-lovgivningen på, hvad man gør med data, og hvordan man gør det. Der er dog et stort overlap. Især når det kommer til automatisk beslutningstagning, som man i nogle tilfælde kan nægte med henvisning til GDPR.
Et centralt element i AI-lovgivningen vil være, at den bliver risikobaseret. Så jo højere risikoen er for borgeren, jo kraftigere vil reguleringen være.
I modsætning til GDPR, hvor meget kan håndteres efterfølgende, skal AI håndteres på forhånd. Altså inden man bringer kundedata i spil i sit system.
Forskellige risikoniveauer
For overskuelighedens skyld kan man dele risikoen op i fire niveauer:
- Nogle ting vil være helt uacceptable og vil derfor blive forbudt
- Nogle ting har en høj risiko
- Nogle ting har en medium risiko
- Nogle ting har ingen risiko
AI kan være mange ting. Men en god tommelfingerregel er, at hvis du bruger kunstig intelligens, som påvirker kunden/brugeren, så skal du være opmærksom. Hvis det kan påvirke brugeren meget, anses det for at være meget risikabelt. Hvis det kun påvirker brugeren lidt, er det ikke så risikabelt.
Et eksempel på noget, der påvirker brugeren meget, er brugen af personlige sundhedsdata. Ved andre typer af kundedata fra marketing- og customer experince-systemer vil risikoniveauet være lavere.
Hvis man arbejder i et scenario med høj risiko, hvilket måske vil være tilfældet for omkring 5 procent af alle AI-systemer, skal man være på forkant med:
- Risikostyring og vurdering
- Trænings-, test- og validerings-datasæt, når man træner modeller til maskinlæring
- Sørge for, at databehovet er relevant, repræsentativt og komplet
- Udarbejde dokumentation
- Logge, hvad systemet gør
- Kende nøjagtigheden, ydeevnen og risikoen af operationerne
- Vide hvordan man vedligeholder systemet
- Gøre systemet sikkert og robust
- Gøre systemet gennemsigtigt for brugeren
- Have et menneske til at føre tilsyn
Listen af punkter ser lang ud, men for de fleste vil den alligevel være nem at overholde. For reglerne afspejler dybest set bare en god håndværksmæssig tilgang, som de fleste anstændige virksomheder allerede nu benytter sig af.
Hvad der præcist menes med de to sidste punkter på listen – gøre systemet gennemsigtigt for brugeren og føre menneskeligt tilsyn – er endnu ikke helt klart. Kan det handle om, at man skal kunne trykke på en stor rød knap, eller at mennesker er en del af beslutningsprocessen? Det må tiden vise.
