Home
/
Blog
/
Sådan bruger du generativ AI på en lovlig og profitabel måde - og 5 tips til at guide dig i praksis

Sådan bruger du generativ AI på en lovlig og profitabel måde - og 5 tips til at guide dig i praksis

Udgivet den:
February 12, 2025
|
Læsetid
7 minutter
SKREVET AF
Frederik Them Pedersen
Assistant attorney
INDHOLDSFORTEGNELSE

Vil du vide mere om AI-compliance i praksis?

Bliv klogere på Datatilsynets svar på brug af AI på sundhedsområdet hér
Læs mereBlue right arrow icon for navigation or next step.

Brugen af generativ kunstig intelligens (generativ AI) giver betydelige muligheder for innovation, men...

Du skal altid tage højde for de lovgivningsmæssige krav i EU's AI Act og de etiske implikationer.

Ved at forstå AI-forordningen og implementere ansvarlig praksis kan du og din organisation nyde godt af styrken ved AI og samtidig sikre compliance og minimere risici.

Og jeg vil fortælle dig, hvordan du gør netop dét i dette blogindlæg. Men lad os starte med at definere, hvad generativ AI egentlig er, så du ved, hvornår du bruger det.

Hvad er generativ kunstig intelligens (generativ AI)?

Generativ kunstig intelligens (generativ AI) er en bestemt type AI-systemer til generelle formål, også kendt som general purpose AI-systemer (GPAI).

Mens alle generative AI-systemer falder ind under den bredere kategori af general purpose AI-systemer (GPAI), er ikke alle AI-systemer til generelle formål generative af natur.

Derfor:

For at finde ud af, hvordan generativ AI er reguleret, skal du se på, hvordan general purpose AI er reguleret i AI-forordningen.

AI Act definerer generative AI-systemer som dem, der er designet til at skabe nyt indhold som tekst, billeder, lyd eller kode baseret på store statistiske sprogmodeller og kræver omfattende datasæt til træning.

Disse systemer kan ofte integreres i andre AI-systemer, hvilket udgør en potentiel systemisk risiko på grund af deres brede anvendelighed.

Generativ AI er således en type kunstig intelligens, der kan tjene mange forskellige formål.

Eksempler på generativ AI er ChatGPT, CoPilot og DeepSeek.

Det er altid vigtigt at forstå rationalet bag reglerne. For det giver os nogle retningslinjer for, hvordan vi skal fortolke dem:

Det er nødvendigt at have en specifik regulering af general purpose AI, fordi den trænes på store datasæt, så den kan løse en række forskellige formål. Af den grund kan det føre en systemisk risiko med sig.

Og det er grunden til, at vi er nødt til at regulere brugen af generativ AI (og AI-systemer generelt). Og især tre krav er de lovgivningsmæssige omdrejningspunkter i AI-loven - og mit råd er at sikre, at din udbyder opfylder disse.

Tre krav, du bør sætte kryds ved, når du vælger en udbyder

Før du bruger en general purpose AI-model, skal du sikre dig, at udbyderen kan dokumentere:

  • Gennemsigtighed, hvilket betyder, at output skal være tydeligt markeret som AI-genereret for at forhindre misinformation.
  • Compliance, herunder instruktioner og begrænsninger, politikker, teknisk dokumentation osv.
  • Rapportering af AI-modellen til Europa-Kommissionen og evalueringsstrategier i forbindelse med menneskeligt tilsyn osv.

Hvornår gør din brug af generativ AI dig til en udbyder?

Det er vigtigt at forstå forskellen mellem rollerne som udbyder og idriftsætter af et AI-system. For dén forskel afgør niveauet af ansvar og de lovgivningsmæssige forpligtelser:

En udbyder er den juridiske ‘person,’ der er ansvarlig for enten at udvikle eller markedsføre AI-systemer (derfor kan en organisation være en udbyder, selvom den ikke selv har udviklet AI-systemet). Idriftsættere bruger disse systemer i deres processer.

Men her bliver det tricky:

Mange virksomheder har integreret et generativt AI-system i et system eller i en proces, som de selv bruger.

Derfor spørger disse virksomheder os tit: Gør det os til en udbyder eller en idriftsætter?

Hvis du bruger general purpose AI i dine interne processer, vil du være idriftsætter af AI-systemet.

Hvis du sælger eller udbyder et AI-system på markedet i en eller anden kommerciel grad, bliver du formentligt udbyder.

Det er tilfældet, hvis du:

  • Har defineret og indsnævret formålet med AI'en
  • Sætter den på markedet i dit eget brand
  • Bruger den til højrisikoformål (fx kritisk infrastruktur, uddannelse og erhvervsuddannelse og rekruttering)

Hvis punkt 3 er tilfældet, vil din virksomhed være omfattet af artikel 6 i AI-forordningen og skal overholde en masse forpligtelser i forbindelse med højrisiko-AI-systemer. Årsagen til dette er artikel 25, der siger:

“Enhver distributør, importør, distributør eller anden tredjepart anses for at være leverandør af et højrisiko-AI-system med henblik på forordningens formål og er underlagt leverandørens forpligtelser i henhold til artikel 16, hvis (...) de ændrer det tilsigtede formål med et AI-system, herunder et AI-system til generelle formål, som ikke er klassificeret som højrisiko, og som allerede er bragt i omsætning eller taget i brug på en sådan måde, at det pågældende AI-system bliver et højrisiko-AI-system i overensstemmelse med artikel 6.”

5 praktiske tips til at guide dig, når du bruger generativ AI

Du bør have disse fem praktiske faktorer in mente, når du integrerer generativ AI i din virksomhed:

#1: Beskyt datasikkerhed og privatliv

Sørg for, at personlige og følsomme data ikke utilsigtet deles med AI-systemer, da det kan føre til krænkelser af privatlivets fred.

Grundene til dette er først og fremmest, at generativ AI typisk bruger det input, du ‘fodrer’ det med, til at træne sig selv. Du bør derfor ikke dele kundeoplysninger, forretningshemmeligheder eller materiale, der er beskyttet af intellektuel ejendomsret, med systemet.

Det er dog muligt at sætte nogle generative AI-systemer op, så systemet ikke bruger input til sin egen træning.

#2: Sørg for awareness og træning på tværs

Fejl sker.

Især når mennesker er involveret.

Derfor bør du uddanne dine medarbejdere i de risici og det ansvar, der er forbundet med at bruge AI-systemer, for at forhindre misbrug og sikre compliance. Du kan også sikre dette ved at udarbejde politikker for, hvordan dine medarbejdere må bruge AI.

Andre måder at sikre cyberhygiejne på er ved at se på mulighederne for at opsætte AI, fx en virksomhedskonto for at centralisere licenserne. Du bør også have superbrugere, der kan styre, hvordan AI-systemet bruges.

#3: Vær kritisk over for AI'ens output

Du bør altid kontrollere nøjagtigheden og pålideligheden af AI-genereret indhold for at undgå potentielle bias eller misinformation. Du bør være i stand til at svare på spørgsmål som disse:

  • Er outputtet sandt?
  • Er outputtet ikke-diskriminerende?
  • Er outputtet beskyttet mod, at andre bruger det (kan du eje IP'en)?

Hvis svaret på disse spørgsmål er nej, bør du ikke bruge outputtet.

Og hvis du ikke kan besvare spørgsmålene med sikkerhed, og hvis du ikke har viden nok til kritisk at kunne vurdere AI'ens output, bør du ikke bruge det generative AI-system.

#4: Vær opmærksom på overholdelse af GDPR  

Du skal være obs på dine GDPR-forpligtelser i forbindelse med brugen af AI. Det vil sige, at du skal sikre dig, at du ikke deler persondata med AI.

Derfor skal du foretage risikovurderinger i henhold til GDPR (ikke at forveksle med risikokategoriseringen i henhold til AI-forordningen).

Risikovurderingen bør omfatte nye trusler, der er særlige for AI-systemer, såsom bias i beslutningstagningen, 'lack of explainability’ (AI-systemets manglende evne til at forklare sit ræsonnement) eller modeldrift (modellens ydeevne forringes på grund af ændringer i data eller i forholdet mellem input- og outputvariabler).

Du skal også altid lave en konsekvensanalyse af databeskyttelse (DPIA) og højst sandsynligt en databehandlingsaftale (DPA) mellem dig og leverandøren af AI-systemet.

Endelig skal du sikre dig, at der er et behandlingsgrundlag og et formål med hele ‘datarejsen,’ så du ved, hvilke formål de data, du lægger ind i systemet, bruges til.

#5: Sørg for dokumentation  

Du skal dokumentere ansvarlig brug af AI i politikker og procedurer som fx:

  • Politik for ansvarlig brug af generativ AI
  • Procedurer for brud på persondatasikkerheden
  • Informationssikkerhedspolitik for leverandørforhold
  • Privatlivspolitik
  • DPIA
  • Risikovurdering  

Jeg håber, at min praktiske gennemgang har gjort dig ustoppelig og klædt på til at bruge generativ AI på en lovlig og profitabel måde.

Hvis du er nysgerrig efter at vide mere om brugen af AI i praksis ud fra et GDPR-synspunkt, er du velkommen til at læse min kollegas blogindlæg om brugen af AI i sundhedssektoren her.

Vil du vide mere om AI-compliance i praksis?

Bliv klogere på Datatilsynets svar på brug af AI på sundhedsområdet hér

Læs mere
Published:
February 12, 2025
Category:
AI Act

Compliance som det burde være.

Enkelt, transparent, automatiseret.

Kontakt osBook en demo