Har din virksomhet retningslinjer for bruk av AI på arbeidsplassen?
AI har for fullt meldt sitt inntog i det norske næringslivet, og siver inn i virksomhetene uavhengig av om virksomheten har et bevisst forhold til bruk av AI på arbeidsplassen eller ikke. Bruken av AI kan imidlertid by på juridiske utfordringer, og det er derfor viktig at den enkelte virksomheten har et bevisst forhold til ansattes bruk av AI og etablerer retningslinjer som sikrer at gjeldende regelverk overholdes.
Det finnes et rikt regelverk setter rammer for bruken av AI og de problemstillingene som kan oppstå i den forbindelse, og det er derfor viktig at den enkelte virksomheten tar kontroll over bruken av AI i virksomheten for å unngå å opptre i strid med gjeldende regelverk.
Det finnes ikke en universell oppskrift for hvordan retningslinjer for bruk av AI på arbeidsplassen skal se ut, og heller ingen uttømmende liste over alt det er viktig å inkludere i slike retningslinjer. Innholdet i retningslinjene må vurderes konkret for den enkelte virksomhet og vi anbefaler derfor å starte med en risikovurdering. Denne risikovurderingen bør kartlegge bruken av AI i virksomheten, herunder hvilke prosesser, system og verktøy som tas i bruk. Basert på denne informasjonen vil man kunne si noe om hvilke risikoer som foreligger og hvilke konsekvenser bruken av AI vil kan få for virksomheten. Dette gir grunnlaget for hva retningslinjene bør inneholde.
Selv om retningslinjenes konkrete utforming vil avhenge av de konkrete risikoene som gjør seg gjeldende i virksomheten, vil vi i det følgende gi noen generelle råd for hva virksomheten må ha i tankene ved utarbeidelse av sine retningslinjer.
1. Klare instrukser om sensitive opplysninger
Behandling av personopplysninger er strengt regulert gjennom personvernforordningen (GDPR). Det kreves blant annet et behandlingsgrunnlag, og selve behandlingen må begrenses til det som er strengt nødvendig for formålet. Dette innebærer kort at deling av personopplysninger med AI kan være ulovlig, noe virksomheten i så fall vil stå ansvarlig for. Det er derfor viktig at retningslinjene tar stilling til hvordan personvernet skal ivaretas ved bruk av AI i den enkelte virksomheten.
Det er ikke bare personopplysninger man må være forsiktig å dele informasjon med AI om. Man bør heller ikke dele bedriftssensitiv informasjon og forretningshemmeligheter med AI, da informasjonen kan havne på avveie. Det er derfor kanskje ikke den beste ideen å sparre med ChatGPT om virksomhetens nyeste oppfinnelse, og virksomheten retningslinjene bør derfor veilede de ansatte om hva som eventuelt ikke kan deles av informasjon.
Det kan også nevnes at dersom de bedriftssensitive opplysningene skulle omhandle en tredjepart, som en samarbeidspartner, kan det også bli spørsmål om erstatningsansvar overfor denne tredjeparten som følge av kontraktsbrudd. Dette er enda en grunn til å gi klare retningslinjer om deling av informasjon ved bruk av AI på arbeidsplassen.
Virksomheter underlagt taushetsplikt må også ha et bevisst forhold til dette i retningslinjene sine.
2. Kildekritikk og kvalitetssikring
For egen integritet er det også viktig å ha et bevisst forhold til at man aldri kan stole fullt ut på resultatet som genereres av AI. Det kan være at svarene som genereres er i strid med virksomhetens verdier, direkte feil eller plagiat. Dette kan igjen medføre brudd på en rekke regelverk, blant annet åndsverksloven, likestillings- og diskrimineringsloven, arbeidsmiljøloven og GDPR.
For å avbøte denne risikoen bør retningslinjene inneholde spilleregler som sier noe om kildekritikk og etterrettelighet, i tillegg til å ta stilling til hvordan data skal kvalitetssikres både før og etter bruk i kunstig intelligente systemer.
Er det for eksempel noen arbeidsoppgaver som ikke bør løses ved bruk av AI, og kan det være aktuelt å benytte hjelpemidler som plagiatkontroll eller oppnevne en ansvarlig som kan verifisere informasjonen? Virksomheten bør ta en grundig vurdering av hvilke tiltak som er aktuelle for å minske risikoen for å opptre i strid med gjeldende regelverk.
3. Hvem er ansvarlig?
Dersom feilen skulle skje, og man brått står i en situasjon hvor man har diskriminert eller kommet med grunnløse påstander om en person grunnet ukritisk bruk av AI, er spørsmålet hvem som er ansvarlig for dette. Utad vil det ofte være virksomheten som er ansvarlig med grunnlag i alminnelige erstatningsrettslige prinsipp, men for å unngå å i havne i en slik situasjon bør retningslinjene til virksomheten utpeke noen til å ha ansvar for oppsyn og kontroll over bruken av AI i virksomheten. Å utpeke en ansvarlig for bruken av AI i virksomheten vil kunne bidra til forsvarlig bruk av AI blant ansatte ved å legge til rette for spørsmål og gode diskusjoner.
4. Tiltak for åpenhet
Avhengig av hvordan virksomheten benytter seg av AI, bør retningslinjene også inkludere tiltak og rutiner for åpenhet om bruken av AI. Åpenhet bygger tillitt, noe som er viktig både utad og internt.
Ved behandling av personopplysninger er åpenhet påkrevd etter GDPR. Noen former for AI vil også kunne innebære kontrolltiltak etter arbeidsmiljøloven, som for eksempel «bossware» og intelligente kamera som overvåker og analyserer ansatte. I så fall må virksomheten ha et bevisst forhold til arbeidsmiljølovens regler for kontrolltiltak når retningslinjene utformes, herunder oppfylle arbeidsmiljølovens krav om informasjon og drøfting.
Videre kan det være hensiktsmessig med åpenhet av hensyn til andre regelverk. Om et selskap benytter seg av AI til å automatisk generere tilbud, så kan det kanskje være lurt å ta forbehold om at tilbudet er automatisk generert av AI og at det kan forekomme feil som virksomheten tar forbehold om å kunne rette.
5. Kompetanse
Det er ingen tvil om at bruken av AI vil kunne bidra til effektivisering for mange virksomheter, men det vil i mange tilfeller være en forutsetning for vellykket bruk at det gis opplæring og legges til rette for kompetanseheving rundt bruken av AI. En ting er det at mange ansatte nok vil trenge opplæring i hvordan AI faktisk kan benyttes, men en annen side av saken er at mange ansatte nok også trenger opplæring i hva de kan og ikke kan gjøre ved bruk av AI for å unngå å opptre lovstridig. Det er derfor viktig å ikke bare lage retningslinjer- men også legge til rette for at ansatte forstår de vurderingene som er gjort.
Vi bistår med utforming av retningslinjer for bruk av AI på arbeidsplassen- tilpasset til den enkelte virksomhetens behov. Det er bare å ta kontakt med en av våre advokater dersom du har behov for slik bistand.
Publisert
Innholdet i denne artikkelen er skrevet av:
Maria Gjøsund
Birgitte Vaagen Rekdal
Silje Bruun Teigen
Marita Aarflot Silset
Vær oppdatert på hva som skjer innenfor forretningsjus:
Vi sender ut nyhetsbrev når det skjer noe vi mener det er verdt å få med seg.
Meld deg på vårt nyhetsbrev.
Artiklene blir også lagt ut på vår Linkedin-side og Facebook-side hvis du heller vil følge oss der.