EUs «AI Act» blir en styringstest for norsk offentlig sektor

Erlend Vestre er sjefskonsulent i Devoteam Norway. 

SYNSPUNKT. Forvaltningen vil ha en styringsutfordring. Når AI Act og strengere krav til dokumentasjon treffer forvaltningen, er det ikke omfanget av KI-bruk som blir avgjørende, men om ledelsen kan dokumentere ansvarlig bruk. Spørsmålet er om virksomhetsledelsen rekker å etablere oversikt, risikostyring, dokumentasjon og kompetanse før kravene skjerpes.

AI Act handler om styring, ikke bare teknologi

AI Act skiller ikke mellom virksomheter som bruker mye KI og lite KI. Den vil skille mellom virksomheter som kan dokumentere ansvarlig bruk, og virksomheter som ikke kan det.

Offentlige virksomheter må ha oversikt over egne KI-systemer og identifisere hvilke som er høyrisiko. Bruk i høyrisikokategorien gjelder for eksempel bruk av KI i ansettelsesprosesser eller automatisert saksbehandling i etater som NAV, der beslutningene har stor betydning for den enkelte innbyggers rettigheter og livssituasjon.

Virksomheten må kunne forklare hvilke data systemene bygger på, hvilke svakheter som finnes, og hvordan risikoen kontrolleres.

Loven krever også at virksomheten kan vise at den forstår teknologien den bruker, at innbyggernes rettigheter er vurdert, og at det finnes menneskelig kontroll der KI-systemer påvirker enkeltpersoner.

Regjeringen foreslår i høringsnotatet om KI-forordningen at også offentlige virksomheter skal kunne ilegges overtredelsesgebyr. Ved de mest alvorlige bruddene kan en norsk etat ilegges gebyr på opptil 35 millioner euro, med tilhørende tap av tillit.

Offentlig sektor går inn i dette med svake forutsetninger

Erfaringene fra personvernforordningen (GDPR) viser at god internkontroll, oversikt over databehandling, risikostyring og dokumenterte rutiner er en forutsetning for å kunne etterleve nye lovkrav.

Etter mange år med digitalisering i offentlig sektor, både som ansatt og som innleid, er bildet gjenkjennelig: styringen henger etter teknologien. Digdir vurderer (21.6.2024) at arbeidet med «orden i eget hus» går sakte i hele forvaltningen, og at etterlevelsen i staten fortsatt er lav. Riksrevisjonen (Dokument 3:18 2023-2024) konkluderer med at viktige forutsetninger for å ta i bruk kunstig intelligens i stor skala fortsatt ikke er på plass, og karakteriserer den samlede innsatsen i staten som for svak og mangelfullt samordnet. Med AI Act blir dette enda viktigere og krevende, særlig fordi man må dokumentere hvordan data og algoritmer brukes, i tillegg til å identifisere og håndtere eventuelle skjevheter.

Mange offentlige virksomheter går inn i AI Act uten den grunnmuren som regelverket forutsetter. Ansvarlig bruk av KI krever oversikt over hvilke systemer som brukes, hvilke data de bygger på, hvem som har ansvar, og hvordan vurderinger og beslutninger kan dokumenteres. Nettopp dette er krevende i en forvaltning der informasjonsforvaltning, internkontroll og tydelig ansvarsplassering ofte er ujevnt utviklet. Derfor er ikke AI Act først og fremst en teknologisk utfordring, men en styringsutfordring.

Hva må gjøres nå?

Det som gjør AI Act presserende for offentlig sektor, er ikke utviklingen i EU i seg selv, men at mange norske virksomheter fortsatt mangler den styringen regelverket forutsetter, og at tiden til å få den på plass er knapp.

Det er tre styringsgrep som haster: virksomhetene må få oversikt over KI-bruken, vurdere risikoen der systemene påvirker innbyggernes rettigheter, og lage dokumentasjon som tåler kontroll.

Det viktigste enkelttiltaket er kartlegging. Uten oversikt over hvilke KI-systemer som er i bruk, hvordan de brukes og i hvilken risikokategori de tilhører, vil virksomhetene famle i blinde.

Kartleggingen danner grunnlaget for en vurdering av om pålagte kontrolltiltak er på plass. Ledere og ansatte trenger opplæring, ikke generelle kurs om KI, men konkret kunnskap om hva regelverket krever av akkurat deres virksomhet. Retningslinjer for ansvarlig bruk av KI, med tydelige krav til datasikkerhet og sporbarhet, må utarbeides. En systematisk kartlegging gjør det også mulig å prioritere riktig: virksomheten bruker ikke mer tid og ressurser på risiko og kontroll enn det AI Act faktisk krever.

Er offentlig sektor klar?

Loven spør ikke om virksomheten har kompetansen. Den spør om virksomheten overholder kravene. For ledere i offentlig sektor er AI Act et spørsmål om verdi og innovasjon. Det er et spørsmål om styring. Start med kartleggingen. Resten følger av den.