KI-klausuler i kontrakt

KI har for mange selskap blitt en naturlig del av arbeidshverdagen og arbeidsverktøyene som blir benyttet. Bruk av KI-verktøy kan forenkle mange arbeidsoppgaver og bidra til økt produktivitet. Samtidig er det mange fallgruver som må vurderes – en av disse er bruk av KI-verktøy på informasjon som innhentes fra kontraktspartnere i forbindelse med gjennomføring av kontrakten.

Vi har den siste tiden sett flere eksempler på at bedrifter ønsker å sikre at selskaper de samarbeider med ivaretar deres informasjon med tilstrekkelig varsomhet. Hovedårsaken er bekymring for brudd på personvern, og risikoen for at sensitiv eller konfidensiell informasjon kan lekke ut dersom den mates inn i slike systemer. Typiske problemstillinger er hvor de involverte har signert på NDA i forbindelse med sonderingen; hvordan blir da den sensitive informasjonen ivaretatt hos motakker.

Andre ønsker også å hindre at leverandører trener egne KI-verktøy på deres dokumentgrunnlag, for å unngå at KI-verktøyet kan bruke denne kunnskapen i andre leveranser senere. Det er dermed flere hensyn og en større bevistgjøring som har ført til at flere selskap nå søker å regulere bruk av KI i sine kontrakter.

Kontraktsrettslig regulering av KI-bruk

Rettslig kan kravet til varsom bruk av andres informasjon forankres i lojalitetsplikten i kontraktsforholdet. Utilbørlig bruk av KI kan derfor under visse omstendigheter medføre mislighold av en NDA eller en konfidensialitetsklausul, selv om bruk av KI ikke er nevnt spesifikt. Brudd på slike bestemmelser kan i yttereste konsekvensen medføre et kontraksbrudd som gir rett på erstatningsansvar eller heving av hele avtaleforholdet.

Dersom en kontraktspart har spesifikke krav knyttet til bruk av KI så vil imidlertid dette ikke dekkes av slike generelle reguleringer. Ettersom alminnelig bruk av generativ KI er et relativt nytt fenomen, er det også sjeldent regulert spesifikt i standardkontrakter som ofte benyttes. Selskapet må dermed selv ta ansvar for å utforme en egen kontraktsregulering som gir tilstrekkelig sikkerhet basert på selskapets behov og basert på hvilken informasjon som er beskyttelsesverdig.

En utfordring er likevel at KI er integrert i en rekke datasystemer vi bruker i dag. Ved regulering må man derfor kunne spesifisere hvilken form for KI man ønsker å regulere, samt ta høyde for at dette kan påvirke kontraktsmotpartens arbeidsmetoder.

På mottakersiden av en kontrakt må man på den andre siden være klar over at slike klausuler forekommer og ha tilstrekkelige rutiner for å håndtere det. Dette beror på en konkret vurdering av den enkelte avtale.

Nedenfor har vi samlet noen konkrete forhold bedrifter bør ha kontroll på i forbindelse med kontraktsrettslig tolkning av KI.

1. Forventningsavklaring med kontraktsparter

Det er en fordel om partene i kontraktsforholdet har en forventningsavklaring knyttet til KI i forkant av inngåelse av kontrakt, dersom dette er sentralt for en eller begge parter. Ingen av partene er tjent med at det senere blir konflikt fordi partenes forventninger med hensyn til KI har vært synlig for hverandre.

For en leverandør er det derfor fornuftig å opplyse om at man bruker visse former for KI i sitt arbeid og forhøre seg om det er innhold i den leveransen, enten i form av teknisk karakter eller produktinformasjon, de ikke ønsker at skal inntas i systemene.

For en oppdragsgiver vil det være naturlig å opplyse om spesifikke dokumenter man ikke ønsker lastet opp i KI-løsninger, samt spesifisere hvilke KI-løsninger det er snakk om. Her vil også leverandøren få anledning til å informere om hvilken effekt manglende bruk av KI vil ha på leveransen, eksempelvis om det vil ta lengre tid. Eventuelt om leverandøren ikke kan ta på seg kontrakten under disse forutsetningene.

Her må vi understreke at partene ikke er tjent med å sette for strenge krav, særlig til lagring og oppbevaring av inngått kontrakt.

2. Regulering av KI-bruk der dette anses nødvendig

Dersom partene har konkrete krav knyttet til bruk av KI, så bør dette reguleres særskilt i kontrakten og at avtalepartene gjøres oppmerksom på klausulen. For å forebygge konflikt og for å sikre at kontraktsforpliktelser har reell effekt må omfanget av forbud tilpasses formålet. I tillegg til å kreve at motparten har gode og oppdaterte retningslinjer for behandling av informasjon, kan klausulen i tillegg beskrive spesifikke og gjennomførbare tiltak som bruk av kontrollerte og isolerte datamiljøer og anonymisering av kundedata.

I mange tilfeller vil informasjonsutvekslingen i forkant av kontraktinngåelse være begrenset, og partene sender i stedet ut standardvilkår. I slike tilfeller er det viktig å lese vilkårene nøye for å fange opp om den andre parten har regulert KI-bruk. Dersom en leverandør benytter seg av KI-verktøy i leveransen så bør dette tilsvarende opplyses om i egne standardvilkår. Samt at en nå er bevist på selskapet kan bli mottaker av denne typen klausuler.

3. Interne retningslinjer og rutiner

For å kunne etterleve krav i kontrakt knyttet til KI er det nødvendig med tydelige retningslinjer for egne ansatte. ADVISO har tidligere skrevet en egen fagartikkel om retningslinjer for KI på arbeidsplassen, som du kan lese her. I tillegg til generell regulering av AI bør retningslinjene også gi instrukser for hvordan AI skal benyttes i arbeid for kunder, merking av kundearbeid hvor KI ikke kan brukes, at aktuelle medarbeidere er gjort kjent med at slik klausuler nå kan forekomme etc.

Ved å følge disse rådene unngår man forhåpentligvis konflikter rundt bruk av KI-verktøy på kundeleveranser.

Vi bistår med utforming av kontraktsvilkår tilpasset den enkelte virksomhets behov – også knyttet til KI. Det er bare å ta kontakt med en av våre advokater dersom du har behov for slik bistand.