En intern AI-politik er et sæt formelle retningslinjer, der definerer, hvordan medarbejdere i en virksomhed må og bør anvende kunstig intelligens. Formålet er at sikre ansvarlig, sikker og effektiv brug af AI-teknologier i overensstemmelse med virksomhedens værdier, lovgivning og forretningsmål.
### Hvorfor er en AI-politik nødvendig?
Implementeringen af kunstig intelligens i en organisation uden klare rammer skaber usikkerhed og risici. En AI-politik fungerer som et styringsværktøj, der minimerer disse risici og sikrer, at teknologien anvendes på en måde, der gavner virksomheden. Den skaber en fælles forståelse for, hvad der er acceptabel og uacceptabel brug.
Politikken adresserer juridiske, etiske og sikkerhedsmæssige aspekter. Den hjælper med at sikre overholdelse af lovgivning som GDPR og den kommende AI Act fra EU. Samtidig beskytter den virksomhedens data og intellektuelle ejendom mod utilsigtet deling med eksterne AI-tjenester.
Uden en politik risikerer virksomheder, at medarbejdere bruger AI-værktøjer på måder, der er ineffektive, usikre eller i strid med loven. Det kan føre til datalæk, tab af forretningshemmeligheder eller produktion af indhold, der skader virksomhedens omdømme. En klar politik er derfor en forudsætning for at udnytte potentialet i AI fuldt ud.
Det er vores erfaring, at mange virksomheder først overvejer en politik, efter at medarbejderne allerede er begyndt at bruge diverse AI-værktøjer. En proaktiv tilgang er mere effektiv og sikrer, at brugen fra start er struktureret og sikker. Dette er en central del af, hvad små virksomheder kan lære af AI-revolutionen.
### Kerneelementer i en effektiv AI-politik
En dækkende AI-politik bør indeholde flere centrale elementer for at være operationel og letforståelig for medarbejderne. Hvert element adresserer et specifikt område af AI-anvendelse og de tilknyttede ansvarsområder. En velstruktureret politik er fundamentet for en tryg integration af teknologien i de daglige arbejdsgange.
De mest grundlæggende komponenter i en politik omfatter typisk:
- Formål og anvendelsesområde: En klar beskrivelse af, hvorfor politikken eksisterer, og hvem den gælder for.
- Acceptabel brug: Konkrete eksempler på, hvordan AI må og ikke må bruges. Dette kan inkludere forbud mod at bruge AI til ulovlige aktiviteter eller beslutninger, der diskriminerer.
- Datahåndtering og fortrolighed: Regler for, hvilke typer data der må indtastes i AI-systemer, især med fokus på personoplysninger og forretningshemmeligheder.
- Godkendte værktøjer: En liste over de AI-værktøjer, som virksomheden har godkendt og sikkerhedsvurderet.
- Ansvar og tilsyn: En definition af, hvem der har ansvaret for AI-genereret output, og krav om menneskelig kontrol.
- Gennemsigtighed: Retningslinjer for, hvornår det skal oplyses, at indhold er skabt eller assisteret af AI.
Disse elementer skaber tilsammen en ramme, der gør det muligt for medarbejdere at eksperimentere og innovere med AI på en sikker måde. Politikken skal balancere mellem at give frihed til at udforske nye muligheder og at sætte nødvendige grænser for at beskytte organisationen.
### Datahåndtering og GDPR i praksis
Når medarbejdere bruger AI-værktøjer, er håndteringen af data et kritisk punkt. En AI-politik skal specificere, hvilke data der må behandles i AI-systemer. Det er især vigtigt at skelne mellem interne, fortrolige og offentligt tilgængelige oplysninger. Indtastning af følsomme kundeoplysninger eller forretningshemmeligheder i en offentlig sprogmodel udgør en betydelig sikkerhedsrisiko.
Overholdelse af databeskyttelsesforordningen (GDPR) er central. Politikken skal klart forbyde behandling af personoplysninger i AI-systemer, medmindre der er et gyldigt behandlingsgrundlag, og systemet er vurderet til at være sikkert. Dette indebærer ofte, at virksomheden skal vælge lukkede, private AI-løsninger frem for offentligt tilgængelige.
I Danmark er det Datatilsynet, der fører tilsyn med overholdelsen af GDPR. En AI-politik bør derfor udformes med deres vejledninger for øje. Det kan inkludere krav om databehandleraftaler med leverandører af AI-tjenester og konsekvensanalyser (DPIA) for AI-projekter, der involverer behandling af personoplysninger med høj risiko.
Politikken bør også indeholde praktiske anvisninger til medarbejderne. For eksempel kan den anbefale anonymisering eller pseudonymisering af data, før de bruges i et AI-værktøj. Dette minimerer risikoen, selv hvis data skulle blive kompromitteret. Klare regler for datahåndtering er afgørende for at opbygge tillid til virksomhedens brug af AI.
### Retningslinjer for brug af eksterne AI-værktøjer
Mange medarbejdere anvender frit tilgængelige AI-værktøjer som ChatGPT, Claude eller Midjourney i deres arbejde. En intern AI-politik skal forholde sig direkte til denne virkelighed. Den bør definere, hvilke eksterne værktøjer der er godkendt til brug, og hvilke der er forbudt, baseret på en sikkerheds- og databeskyttelsesvurdering.
For godkendte værktøjer skal politikken specificere brugsbetingelserne. Det kan for eksempel være tilladt at bruge en offentlig sprogmodel til at brainstorme generelle ideer, men forbudt at indtaste specifikke produktplaner eller kundedata. Mange virksomheder vælger at investere i enterprise-versioner af populære AI-værktøjer, da disse ofte garanterer, at virksomhedens data ikke bruges til at træne modellens offentlige version.
Politikken bør også oplyse om de risici, der er forbundet med ukritisk brug af gratis værktøjer. Data, der indtastes, kan blive en del af modellens træningsdata og potentielt blive eksponeret for andre brugere. Dette udgør en alvorlig risiko for tab af fortrolighed og intellektuel ejendom.
En dynamisk liste over godkendte og ikke-godkendte værktøjer er ofte en praktisk løsning. Listen kan vedligeholdes af IT- eller sikkerhedsafdelingen og opdateres, i takt med at nye værktøjer kommer på markedet og bliver vurderet. Dette giver medarbejderne klarhed og reducerer risikoen for “shadow IT”, hvor medarbejdere bruger ikke-godkendte systemer.
### Ansvar og gennemsigtighed
Et centralt spørgsmål ved brug af AI er, hvem der har ansvaret for resultatet. En AI-politik skal fastslå, at det altid er den medarbejder, der bruger AI-værktøjet, som har det endelige ansvar for det output, der genereres. AI skal betragtes som et værktøj, ikke som en selvstændig aktør.
Dette indebærer et krav om menneskelig kontrol og verifikation. Alt AI-genereret indhold, hvad enten det er tekst, kode eller analyser, skal gennemgås og faktatjekkes af en medarbejder, før det anvendes eksternt eller internt i kritiske processer. Sprogmodeller kan hallucinere og producere faktuelt forkerte oplysninger, som det ses i eksempler, hvor Google anbefaler lim på pizza.
Gennemsigtighed er et andet vigtigt princip. Politikken bør definere, hvornår og hvordan det skal kommunikeres, at AI har været anvendt. Skal en rapport, der er delvist skrevet af en AI, markeres som sådan? Skal en kunde oplyses om, at de interagerer med en chatbot? Klare retningslinjer herom sikrer ærlighed og opbygger tillid hos både kunder og samarbejdspartnere.
I praksis ser vi ofte, at virksomheder undervurderer behovet for at dokumentere brugen af AI. Politikken kan med fordel kræve, at medarbejdere logger, hvilke AI-værktøjer der er brugt til specifikke opgaver. Dette skaber ikke kun gennemsigtighed, men giver også virksomheden værdifuld indsigt i, hvor AI skaber mest værdi.
### Ophavsret og intellektuel ejendom
Brugen af generativ AI rejser komplekse spørgsmål om ophavsret og intellektuel ejendom (IP). En AI-politik skal give medarbejderne klare retningslinjer for, hvordan de navigerer i dette usikre juridiske landskab. Det handler både om det indhold, AI’en producerer, og de data, den trænes på.
For det første skal politikken adressere ejerskabet til AI-genereret indhold. I mange jurisdiktioner, herunder i EU, kan rent maskinskabt indhold ikke opnå ophavsretlig beskyttelse, da det mangler en menneskelig skaber. Politikken bør gøre medarbejderne opmærksomme på, at indhold skabt udelukkende af en AI muligvis ikke kan beskyttes som virksomhedens IP.
For det andet skal den håndtere risikoen for, at AI-værktøjer genererer indhold, der krænker andres ophavsret. Mange modeller er trænet på enorme mængder data fra internettet, som kan inkludere ophavsretligt beskyttet materiale. Politikken bør pålægge medarbejdere at kontrollere output for plagiat eller ligheder med eksisterende værker. Sager som den, hvor OpenAI fjerner stemme efter Scarlett Johansson-lighed, illustrerer de potentielle konflikter.
Endelig skal politikken forbyde upload af virksomhedens egen ophavsretligt beskyttede materiale eller forretningshemmeligheder til træning af eksterne AI-modeller, medmindre der foreligger en klar aftale, der beskytter virksomhedens rettigheder. Dette er afgørende for at forhindre, at værdifuld IP bliver en del af en offentlig tilgængelig model, som en AI-agent potentielt kan tilgå.
### Implementering og opdatering af politikken
En AI-politik har kun værdi, hvis den bliver implementeret korrekt og forstået af alle medarbejdere. Implementeringsfasen bør omfatte mere end blot at sende et dokument ud. Det kræver aktiv kommunikation og træning, så medarbejderne forstår rationalet bag reglerne og ved, hvordan de skal efterleve dem i praksis.
Træningssessioner, workshops og let tilgængeligt materiale som Q&A-dokumenter kan hjælpe med at forankre politikken i organisationen. Det er vigtigt at fokusere på de praktiske aspekter: Hvilke værktøjer må jeg bruge? Hvilke data må jeg indtaste? Hvem skal jeg spørge, hvis jeg er i tvivl?
AI-teknologien udvikler sig med ekstrem hastighed. Derfor kan en AI-politik ikke være et statisk dokument. Den skal revideres og opdateres regelmæssigt, for eksempel hvert halve eller hele år, for at afspejle nye teknologiske muligheder, nye risici og ændringer i lovgivningen. En fast proces for revision, med udpegede ansvarlige, er en nødvendighed.
For at sikre efterlevelse kan det være relevant at integrere politikken i eksisterende compliance-processer. Dette kan omfatte stikprøvekontroller eller tekniske løsninger, der begrænser adgangen til ikke-godkendte AI-værktøjer på virksomhedens netværk. Målet er ikke at begrænse innovation, men at kanalisere den inden for sikre og produktive rammer.
### Forholdet til EU’s AI Act
En intern AI-politik i en dansk virksomhed skal ses i sammenhæng med den overordnede europæiske lovgivning. EU’s AI Act er den mest omfattende lovramme for kunstig intelligens globalt og vil få direkte betydning for, hvordan virksomheder udvikler, implementerer og anvender AI-systemer.
AI Act opererer med en risikobaseret tilgang, hvor AI-systemer inddeles i kategorier fra minimal til uacceptabel risiko. En virksomheds interne politik bør afspejle denne tilgang. Hvis virksomheden anvender eller udvikler AI-systemer, der falder ind under kategorien “høj risiko” (f.eks. inden for rekruttering, kreditvurdering eller kritisk infrastruktur), vil der være skrappe krav til dokumentation, gennemsigtighed og menneskeligt tilsyn.
Den interne politik kan fungere som et praktisk værktøj til at sikre overholdelse af AI Act. Den kan oversætte de juridiske krav i forordningen til konkrete, handlingsanvisende regler for medarbejderne. For eksempel kan politikken specificere de dokumentationskrav, der gælder for et højrisiko-system, som virksomheden bruger.
Selv for virksomheder, der kun anvender AI med lav eller minimal risiko, er det fornuftigt at lade politikken være inspireret af principperne i AI Act, såsom gennemsigtighed og ansvarlighed. Ved at tilpasse sig den kommende lovgivning proaktivt, kan virksomheden sikre en smidig overgang og demonstrere en ansvarlig tilgang til teknologi.