Hvilke er de vigtigste forpligtelser for virksomheder i henhold til AI Act fra 02.02.2025?

Fra denne dato skal tyske virksomheder implementere KI-systemer som ChatGPT og overholde de generelle bestemmelser og forbud i AI Act. Dette omfatter bevis for AI-kompetence og en risikovurdering af de anvendte KI-systemer.

Hvilke aspekter er relevante i forbindelse med bevis for AI-kompetence?

Virksomheder skal dokumentere medarbejdernes kompetencer inden for AI, hvilket omfatter både teknisk og faglig ekspertise. Dette kan gøres gennem kurser eller ved at bruge AI-systemer som ChatGPT, hvor den tekniske kompetence allerede kan være til stede gennem brugen af en API.

Hvordan skal en virksomhed regulere brugen af AI-systemer i sin organisation?

Vir virksomheder bør udarbejde en retningslinje for AI, der fastlægger de tilladte og forbudte anvendelser af AI-systemer. Denne retningslinje skal også omfatte databeskyttelse og risikovurdering af AI-systemer.

Hvem er ansvarlig for resultater genereret af AI-systemer?

Ansvar for resultater genereret af AI ligger primært hos den, der bruger AI'en, ikke hos selve AI-systemet. Virksomheder skal sikre, at medarbejdere gennemgår AI-resultater og bearbejder dem efter behov, før de genbruges. Dette fremgår af AI-forordningen.

Hvilke specifikke risici bør man være opmærksom på ved brug af AI-systemer?

Virksomheder skal foretage en risikovurdering for hvert anvendt KI-system, især ved mere generelle værktøjer. Højrisiko KI-systemer bør undgås eller kun anvendes efter omfattende rådgivning og med tilsvarende kontrol.

Hvad er formålet med AI-forordningen for virksomheder?

Hovedformålet er at begrænse ansvar ved at instruere medarbejdere i ikke at udvikle AI-aktiviteter, der er farlige for virksomheden. Dette minimerer risikoen og virksomhedens ansvar.

Hvordan kan virksomheder effektivt udnytte AI-systemer som ChatGPT?

Virksomheder bør overveje fordelene ved AI-systemer og udarbejde en AI-organisationsinstruktion. Denne bør angive de tilgængelige AI-systemer og være skræddersyet til virksomhedens specifikke behov.

Hvilke udfordringer stiller ChatGPT for virksomheder?

ChatGPT er en universalsystem, der hverken kender et virksomheds ordforråd eller er optimeret til specifikke anvendelsestilfælde. Dette kan føre til unøjagtige eller irrelevante svar.

EU's AI-forordning: forpligtelser for virksomheder

Fra den 2. februar 2025 skal tyske virksomheder overholde de generelle regler og forbud i AI-loven, hvis de bruger AI-systemer som ChatGPT, Copilot eller AI-spamfilteret fra Outlook. Dette omfatter bevis for AI-ekspertise og en risikovurdering af den anvendte AI. En oversigt med anbefalinger.

Indledning

Tyske virksomheder skal gøre noget fra den 2. februar 2025, hvis de bruger AI:

I Artikel 113 af KI-forordningen er det reguleret, at nogle bestemmelser i denne forordning skal gælde fra den 02. februar 2025. AI-forordningen omtales også med AI-VO og på engelsk med AI Act.

Artikel 1 til 4 i AI-VO udgør det første kapitel. Deri er almindelige bestemmelser fastlagt.

Artikel 5 i AI-VO udgør kapitel II og indeholder forbud.

Fra den 2. februar 2025 skal tyske virksomheder derfor overholde generelle regler og forbud, hvis der anvendes AI-systemer i virksomheden. Brugen af ChatGPT, Copilot eller AI-systemer fra andre udbydere er allerede en relevant brug i henhold til AI-forordningen.

Ifølge artikel 113, stk. a i AI-loven er de almindelige bestemmelser (artikel 1 til 4) og de forbyelser (artikel 5) af AI-loven fra den 2. februar 2025 gældende.

Hvornår gælder forpligtelserne?

Fra 2. august 2025 træder yderligere bestemmelser fra AI-forordningen i kraft, som især påvirker AI-modeller med et generelt formål. Sidstnævnte omfatter velkendte AI-systemer som ChatGPT, Microsoft Copilot eller AI-modellerne fra Mistral.

Hvis man tager udgangspunkt i betragtning 12 i AI-forordningen, er softwaresystemer, der bruger AI, også at betragte som AI-systemer. Eksempler på dette er søgemaskiner, der genererer anbefalinger baseret på AI, eller AI-baserede spamfiltre. Hvad angår spamfiltre, bør den nødvendige uddannelse være minimal, men medarbejderne bør i det mindste instrueres. Store søgemaskiner er derimod omfattet af en anden forordning, nemlig forordningen om digitale tjenester, i henhold til betragtning 118 i AI-forordningen.

Hvilke forpligtelser gælder fra 2. februar 2025?

Forpligtelserne stammer fra artikel 4 og 5 i AI-forordningen. Artikel 3 indeholder vigtige definitioner af begreber. De to første artikler indeholder oplysninger om forordningens anvendelsesområde og genstand.

Bevis på AI-kompetence

Art. 4 i AI-forordningen handler udelukkende om bevis for AI-kompetence. Det betyder, at alle virksomheder, hvis medarbejdere skal arbejde med AI-systemer, skal fremlægge dette bevis.

Medarbejderne skal instrueres i overensstemmelse hermed af virksomheden. Dette omfatter også uddannelse. Det er ikke foreskrevet, hvordan en virksomhed skal bevise sin AI-ekspertise. I den forbindelse er der gode måder at gøre det på en fornuftig og effektiv måde.

Et eksempel på bevis for AI-kompetence er nævnt i Dr. GDPR. Beviset består af:

Teknisk ekspertise
Ekspertise

Teknisk ekspertise bør i det mindste være tilgængelig og sandsynliggøres, hvis der tilbydes AI-systemer, eller hvis AI-programmering finder sted. Sidstnævnte kan allerede være tilfældet ved at bruge en programmeringsgrænseflade (API), som den der tilbydes af ChatGPT.

Kategorisering af de anvendte AI-systemer

Art. 5 i AI-forordningen indeholder adskillige forbud, dvs. formål, som AI-systemer må eller ikke må bruges til. For eksempel er subliminal påvirkning af personer ved hjælp af AI forbudt. Evaluering eller klassificering af fysiske personer eller grupper af personer over en vis periode på grundlag af deres sociale adfærd er også forbudt. Artikel 5 indeholder adskillige andre forbud.

For at udelukke de forbudte formål for et AI-system, der er i brug, skal AI-systemet analyseres og beskrives. Derefter kan det kategoriseres og kontrolleres i forhold til bestemmelserne i AI-forordningen.

Desuden kan det også afgøres, om et firma kun er ejer af en AI-system eller faktisk leverandør. Leverandør af AI-systemer skal opfylde meget flere pligter end ejere.

Anbefalinger

Virksomhederne bør gøre deres medarbejdere fortrolige med at arbejde med AI-systemer og udstede instruktioner i deres egen interesse. Det er op til virksomhederne selv, hvordan de vil gå frem.

En indvielse er en oplysning af medarbejderne. Den kan skriftligt eller i form af en personlig eller digital uddannelse ske. Indvielsen har til formål at befæste medarbejderne. Til sidst er AI for virksomheder et middel til et formål. Derfor skal der sikres, at AI-systemerne for virksomheden frembringer en fordel.

En anvisning er derimod mere en regulativ handling. Den skal bruges til at lede medarbejdere i arbejdet med AI-systemer på rette spor. For ikke hver brug af AI er ønsket eller meningsfuld.

Generel information beriget med målrettet information anbefales til en briefing. Konkret betyder det:

Uddannelse af medarbejdere på stedet, enten hos jer eller på et uddannelsescenter
Den indledende træning kan også foregå online, f.eks. i form af et webinar
Oprettelse af en vejledning, der kan være en del af AI-Organisationsanvisningen. Vejledningen skal understøtte medarbejderne. Den kan også være levende, dvs. regelmæssigt opdateret. Derfor bør man overveje brugen af et online tilbud.

Instruktionerne til medarbejdere, der arbejder med AI i virksomheden, omfatter især:

Krav til autoriseret professionel brug af AI
Retningslinjer for uautoriseret professionel brug af AI
Kontaktperson (f.eks. den databeskyttelsesansvarlige)
En sådan instruksjon kan også være en del af en AI-organisationsinstruks

En AI-organisationsinstruks som et komplet dokument indeholder derfor

Information til briefing af medarbejdere og
Information til instruktion af medarbejdere.

Typer af AI-anvendelse

AI-systemer kan bruges til forskellige opgaver. Der findes også forskellige AI-systemer, f.eks. forskellige typer AI-modeller. De mest kendte er stemmemodeller ("chatbots"). Der findes også billedgeneratorer, videogeneratorer, lydmodeller osv.

Virksomhederne bør definere, til hvilke formål medarbejderne har tilladelse til at bruge hvilket AI-system.

Det er især vigtigt at forstå, at alle resultater, der genereres med AI, skal kontrolleres før videre brug. Det skyldes, at det ikke er AI-systemet, men brugeren af AI-resultaterne, der er ansvarlig (i første omgang og ofte i sidste ende) for AI-resultaterne.

AI-udgivelser kan gøre Urheberretten til tredje part virke. Dette gælder både billeder og andre former for medier, såsom tekster eller lydfiler. Derfor skal billeder genereret ved hjælp af AI ikke blot bruges frit af ansatte. Reguler dette i jeres AI-organisationsinstruktion!

Dermed nyder de med AI genererede indhold efter nuværende stand ingen ophavsretsschutz. AI kan altså ikke være ophavsperson. Hvis du har lavet et fantastisk logo eller en fantastisk tekst med AI, så sør for at billedet eller teksten manuelt er blevet efterbehandlet. Kun sådan kan du senere påtale dig selv som ophavsmand og hindre andre i at bruge dit værk uden din samtykke.

Databeskyttelse og datasikkerhed

AI-systemer behandler flere data end nogen anden type konventionelt IT-system.

Det er derfor vigtigt, at udbyderen nyder AI-brugerens (din virksomheds?) tillid. Udbyderen inkluderer også det land, hvor hovedkvarteret ligger. Det er velkendt, at der findes adskillige efterretningslove i USA, som tillader udspionering af både udlændinge og statsborgere. Disse omfatter Cloud Act, præsidentens bekendtgørelser 12333 og 14086 og FISA Section 702.

Personlige oplysninger kan ikke automatisk IKKE anonymiseres eller pseudonymiseres på en tillidensværdig måde.
""Losnings"-leverandører, der påstår det, kan afvist blive (Eksempel).

Følsomme data i virksomheder omfatter især:

Handelsgehemmeligheder: Selskaber kan hermed gøre, hvad de vil. Om det er fornuftigt at nedgøre hemmeligheder ved at dele dem ud, er hver selskabs egen beslutning.
Fortrolige oplysninger: Disse data er blevet subjektiv betegnet som fortrolige, f.eks. over en hemmelighedshåndfæstning (NDA). Partnern kan gøre krav på rettens hjælp, hvis hans data bliver videregivet til tredje part (ChatGPT?).
Persondata: Hvis der ikke er tale om en databehandling, som er legitimerede efter Artikel 6 (1) GDPR, kan pårørende personer indlægge retssager.

For personlige oplysninger er der desuden informationspligtigheder efter Artikel 12 GDPR at opfylde. Det skal være kendt, hvad der nøjagtig sker i et brugt AI-system. Det går bedst, hvis det AI-system selv drives.

Bevis på AI-kompetence

Beviset skal fremlægges i en form, der passer til den form for AI, der drives eller tilbydes.

Hvis en AI tilbydes på en hjemmeside, skal beviset også være tilgængeligt her, dvs på hjemmesiden.

Hvis medarbejderne får adgang til en chatbot via intranettet, skal informationen gives der eller via et nyhedsbrev.

Indholdet af certifikatet viser virksomhedens eller medarbejdernes AI-ekspertise. Det handler om at gøre kompetencen troværdig. Under alle omstændigheder er en AI-ansvarlig ikke obligatorisk. At have en person, der er dedikeret til det vigtige emne AI i virksomheder af en vis størrelse, er bestemt ikke en dårlig ting.

Risikovurdering af AI-systemer

Der skal foretages en risikovurdering af hvert eneste AI-system og hvert eneste AI-værktøj, der bruges i din virksomhed.

Jo mere generelt det anvendte AI-værktøj er, jo sværere er det at vurdere risikoen. Som vi ved, kan ChatGPT også bruges til at skabe instruktioner til at bygge bomber (med en lille indsats i form af prompting). På den anden side opstår spørgsmålet om, hvad meningen er med et AI-system uden et specifikt formål for din virksomhed. Af disse to grunde bør din virksomhed kun tillade brug af AI-systemer til specifikke, meningsfulde formål. Hvad der kan lade sig gøre med en søgemaskine, behøver ikke at kunne lade sig gøre med en chatbot.

Såkaldt højrisiko-AI bør ikke anvendes. Alle, der alligevel har tænkt sig at gøre det, har brug for grundig rådgivning, der går langt ud over skriftlig rådgivning.

Begrænsning af risikoen

Virksomheder er ansvarlige over for omverdenen (i første omgang og ofte endeligt) for deres medarbejderes adfærd på vegne af virksomheden.

Et firma skulle derfor have et urent interesse i, at medarbejderne ikke bruger de tilgængelige AI-systemer uden omhyggelig overvejelse. Hvis det drejer sig om ChatGPT eller andre almindelige AI-systemer, kan dette ske ved, at medarbejderne kommunikerer med Eksempel på side via chatboten. Den direkte adgang til ChatGPT via ChatGPT-ejet chat-oversigt tilbyder ingen kontrol for firmaet.

En sådan indledende side modtager medarbejdernes forespørgsler til AI'en og sender dem videre til AI'en i baggrunden. AI'ens svar sendes tilbage til medarbejderen i den modsatte retning.

En positiv bivirkning er muligheden for at kontrollere omkostninger og brugsintensitet. Visse forespørgsler kan også blokeres. For nogle forespørgsler til AI'en kan det give mening at henvise direkte til et internt virksomhedsdokument i stedet for at få ChatGPT til at give svaret fra verdens viden.

Konklusion

AI-forordningen indfører moderate forpligtelser for virksomheder, hvis de kun er operatører af AI-systemer eller udbydere af ikke-farlige AI-systemer.

Men disse forpligtelser kræver en indsats, som bør gøres i virksomhedens egen interesse.

Jo tidligere aktiviteterne for at styrke og instruere medarbejderne i virksomheden påbegyndes, jo hurtigere opnås en modstandsdygtig, praktisk anvendelig tilstand. Hovedformålet med det første skridt er at begrænse virksomhedens ansvar ved at instruere medarbejderne i ikke at udvikle aktiviteter med AI, som er farlige for virksomheden.

Når selskaber ønsker at bruge allmænne AI-systemer som ChatGPT eller Copilot, skal de også overveje fordelene ved disse systemer. Især Copilot glimrer ikke med kvalitet. ChatGPT er et universelt system, der hverken kender selskabets sprogbrug eller er optimeret til konkrete anvendelsesfald.

Disse spørgsmål kan afklares, når man udarbejder et AI-organisationsdirektiv, som også kan navngive godkendte AI-systemer.