Lurer du på noe?

Er dere i samsvar med GDPR?

Ja.

GDPR gjelder for AI-løsninger som utvikles og brukes i EU og EFTA (samlet referert til som EØS) hvor personopplysninger benyttes – også når disse er offentlig tilgjengelige. Samsvar i AI-sammenheng betyr to ting:

1. Der personopplysninger brukes, må organisasjonen ha et lovlig grunnlag for innsamling og behandling, for eksempel gjennom brukerens samtykke, kontraktsmessige nødvendigheter eller legitime interesser. Dette innebærer at AI-løsningen må bygges med relevant lovlig grunnlag i tankene dersom den skal bruke persondata. Hvis ikke, må dataene anonymiseres før de behandles.

2. Data må lagres enten innenfor EØS eller i et land som EU-kommisjonen anser å ha et "sammenlignbart nivå av beskyttelse av personopplysninger" som EU. Mange AI-løsninger er basert på offentlig tilgjengelige LLM-er fra amerikanske selskaper som OpenAI og Anthropic, der skylagringsdata vanligvis lagres på amerikanske servere. OpenAI har et offentlig tilgjengelig Databehandlingsvedlegg (DPA) som sikrer GDPR-samsvar selv når data behandles på amerikanske servere, og det samme gjelder for Anthropic. Avhengig av brukstilfellet kan det imidlertid være nødvendig å vurdere om den planlagte bruken av dataene er tilstrekkelig dekket av DPA-en.

For ekstra sikkerhet utover GDPR-samsvar kan vi, der det er nødvendig, bruke Azure for AI-utvikling. Dette gir fleksibilitet til å velge serverlokasjoner innenfor EU, EØS, USA eller andre steder, basert på brukstilfellet og virksomhetskravene.

Vår planleggings- og forberedelsesprosess for utvikling av AI-løsninger innebærer nøye vurdering av hvilken informasjon som skal behandles med AI-løsningen. Dette sikrer at vi tar nødvendige tiltak for å sikre GDPR-samsvar i tilfeller der personopplysninger skal brukes.

Er dere ISO 27001-sertifisert?

Nei.

Vi følger anbefalingene fra Digitaliseringsdirektoratet (DigDir). Selv om en ISO 27001-sertifisering har sine fordeler, påpeker DigDir at dette er en kostbar prosess og ikke den eneste måten å arbeide systematisk med styring og kontroll av informasjonssikkerhet på.

Vi har derfor besluttet å ikke prioritere en ISO 27001-sertifisering på dette tidspunktet i vår virksomhet. I stedet bygger vi vår tilnærming til informasjonssikkerhet på DigDir sine veiledere som "Internkontroll i praksis – Informasjonssikkerhet" og "Helhetlig styring og kontroll med informasjonssikkerhet".

Vi tar sikkerhetsbekymringer fra våre kunder og interessenter på alvor og gjennomfører nødvendige tiltak for å ivareta sikkerheten basert på forretningskravene i hvert prosjekt og løsning. For kunder som krever ISO 27001-sertifisering fra sine leverandører i spesifikke prosjekter, kan vi legge til rette for kontakt med relevante samarbeidspartnere som har disse sertifiseringene.

Er dere i samsvar med EUs AI-forordning (EU AI Act)?

Ja.

For å forstå hva samsvar med EU AI Act innebærer, er det viktig å ha kjennskap til tidslinjen for forordningen, da dette er en relativt ny lovgivning:

• EU AI Act trådte i kraft i august 2024.

• Forbud mot ulovlige praksiser gjelder fra februar 2025.

• Veiledningskoder for samsvar skal være klare innen mai 2025.

• Forpliktelser for leverandører av generelle AI-modeller gjelder fra august 2025.

• Forpliktelser for de fleste høy-risiko AI-systemer gjelder fra august 2026.

Ettersom de offisielle veiledningskodene for samsvar ikke vil være tilgjengelige før mai 2025, er vårt nåværende fokus på forberedende tiltak. Dette innebærer fire nøkkelprinsipper:

1. Vi tar risikoen knyttet til ulike brukstilfeller av AI-løsninger på alvor og vurderer disse grundig.

2. Vi unngår å påta oss prosjekter som innebærer utvikling av løsninger med "uakseptabel risiko" som definert av EU-kommisjonen eller andre autoritative institusjoner.

3. Vi gjennomfører grundige risikovurderinger og ekstra strenge krav for utvikling av løsninger klassifisert som "høy risiko", for å redusere og håndtere risikoen så mye som mulig.

4. Vi håndterer spesifikke transparenskrav der det er nødvendig, for å informere brukere om at de samhandler med en maskin og ikke et menneske.

Vi planlegger å revidere og oppdatere vår policy for samsvar med EU AI Act når de offisielle veiledningskodene blir tilgjengelige i mai 2025.