Kunstig intelligens (AI) gir store muligheter – men kan også skape utfordringer. Uansett om ditt selskap skal investere i AI, har utviklet et AI-system for eget bruk eller har utviklet et AI-system som skal selges, er det viktig å være klar over mulige fallgruver som rettighetsproblematikk, uklare kontraktsvilkår og ansvar for behandling av personopplysninger.

For deg som økonomisjef/CFO handler AI-investeringer ikke bare om teknologi, men om kontroll. Hvem eier dataene? Hvem bærer risikoen? Og hvordan beskytter du verdien AI skal skape for selskapet?

Innsikt og kontrollgrunnlag – uten å senke farten

Denne guiden søker å gi en praktisk og konkret gjennomgang av hvordan du som CFO kan vurdere og styre AI-investeringer i lys av IP-rettigheter og regulatoriske krav. Her får du:

  • En oversikt over den vanligste IP-risikoen i AI-prosjekter
  • Innsikt i hva kontrakter med AI-leverandører må avklare
  • Uklar personvernskonstellasjon
  • Forståelse for hvordan EUs AI Act påvirker ansvar og dokumentasjon
  • Råd om hvordan du sikrer verdien av investeringer gjennom IP-strategi

Dette kan hjelpe å stille mer presise spørsmål, avdekke mulige svakheter – og vurdere hvordan AI kan brukes tryggere og mer målrettet i virksomheten.

AI kan bringe med seg IP-risiko

AI-algoritmer er trent på data, store mengder data. Typisk har AI-selskapet tilegnet seg dataen gjennom en teknikk som kalles «scraping». Enkelt forklart innebærer dette at man bruker et annet dataprogram i å hente data som ligger på internettet. Slik data er sjelden helt fri for rettigheter og kan være vernet etter IP-regelverk, og inneholde åndsverk, patentinformasjon, varemerker, kildekode, forretningshemmeligheter, databaser, m.m. Hvis AI-algoritmene er trent på slike data uten tillatelse, kan dette medføre et erstatningsansvar for utvikler og i verste fall brukeren.

Et eksempel fra internasjonale saker – som Getty Images v. Stability AI – viser hvordan rettighetshavere går til sak mot AI-aktører (Stability AI) som har brukt Gettys innhold uten samtykke. I dette tilfellet var det hele databasen til Getty Images. Slik bruk kan lede til ansvar dersom man ikke har innhentet samtykke for bruken. Det kan også diskuteres om dette ansvaret gjelder både leverandør, men også brukerne av AI-systemet.

Viktig å avtale fordeling av ansvar

Et annet viktig element er å ha et bevisst forhold til hvilket ansvar partene har ifm. AI-systemet. Eksempelvis, hvem har ansvar for å dokumentere dataen som er brukt ifm. trening? Hvem har ansvaret hvis AI-systemet begår en feil? Hvem har ansvaret for krav fra tredjeparter? Hvem har ansvaret for å dokumentere hvordan AI-algoritmen resonnerer?

På ingen av disse spørsmålene er det klare svar og frem til vi får på plass et regelverk som klart regulerer dette er dette spørsmål som må avklares gjennom klare avtaler mellom leverandør og kunde. Et typisk scenario vil være at det er en hyperscaler som leverer AI-algoritmen hvorav en lokal IT-leverandør videreselger den i et pakketert format til kunden. Hyperscaleren vil med stor sannsynlighet ha tatt de nødvendige forbeholdene for å fraskrive seg ansvar, og da oppstår det en uklarhet om hvem som skal faktisk ha ansvaret hvis noen av de ovennevnte tilfellene oppstår.

En god tommelfingerregel vil være å ha på plass en klar avtaleregulering basert på hvem som er nærmest til å bære ansvaret. Eksempelvis, hvis algoritmen er trent på kundens data, så er det nærliggende at også den har ansvaret for utfordringer med dataen. På samme måte som at leverandøren er nærmest til å kunne levere dokumentasjon på hvordan algoritmen resonnerer.

Kartlegging av behandling av personopplysninger

Bruken av AI innebærer ofte behandling av personopplysninger, enten det gjelder deling av data mellom virksomheter, innmating av opplysninger i AI-systemer, trening av modeller på datasett med personopplysninger eller bruk av slike modeller i drift. I denne sammenheng er det avgjørende at behandlingen skjer i tråd med personvernforordningen (GDPR), særlig personvernprinsippene som formålsbegrensning og proporsjonalitet. GDPR stiller også krav om at behandling av personopplysninger må være «nødvendig» for et spesifikt formål, som å oppfylle en avtale eller ivareta en rettslig forpliktelse. Dette begrepet tolkes snevrere enn i dagligtale, og det er ikke gitt at innmating av personopplysninger i en algoritme automatisk er nødvendig i rettslig forstand.

En særlig utfordring knytter seg til viderebehandling av personopplysninger for andre formål enn de opprinnelige, altså kanskje har ditt selskap allerede samlet inn personopplysninger for et annet formål, men ikke for bruk av AI-systemer. Ifølge GDPR er slik viderebehandling kun tillatt dersom den er forenelig med det opprinnelige formålet. Dette innebærer en konkret vurdering av om den nye bruken av dataene representerer en ulempe for den registrerte, skiller seg vesentlig fra det opprinnelige formålet eller stiller høyere krav til datakvalitet. Når personopplysninger som ikke ble samlet inn for bruk i AI, brukes til trening eller videre bruk i slike systemer, kan dette kreve et nytt rettslig grunnlag.

Dette er forhold som er viktig å avklare i hele leveransekjeden før systemet investeres i og i hvert fall tas i bruk. Typisk vil man ha på plass et sett med avtalereguleringer tilknyttet dette.

AI Act: Nytt regelverk – nye krav

En del av forholdene som allerede er nevnt kommer til å ha plass i EUs AI-forordning. Forordningen gjennomføres i steg og vil stille krav til AI-systemer som skal være tilgjengelig i det europeiske markedet. Selskap som opererer i Norge, men også innad i EU vil da også være truffet. En rekke systemer som vil benyttes i forbindelse med virksomhetsstyring vil falle inn under det som klassifiseres som «høyrisikosystem». Dette vil være systemer innenfor HR, utdanning, jus, m.m. Til disse systemene vil det blant annet stilles krav til:

  • Transparens: Brukeren må forstå hvordan modellen fungerer og hvordan den resonerer.
  • Dokumentasjon: Du må kunne vise hvordan og hvorfor systemet gir de resultatene det gjør.
  • Kvalitetsstyringssystem: Du må ha på plass organisatoriske, tekniske og operasjonelle tiltak for å påse at systemet leverer i tråd med intensjonen.

Majoriteten av kravene vil leverandører av slike systemer være underlagt, men da er det som bruker (selskap) viktig å være klar over at dersom du kjøper et white label-system (et system uten et merke/logo og setter egen logo på dette) så er du å regne som leverandør av systemet og dermed underlagt flere og strengere krav etter forordningen.

IP-strategien gjør AI-investeringen bærekraftig

Et siste forhold som du må være bevisst på er IP som oppstår eller benyttes ifm. AI-system, eksempelvis hva skal ditt selskap gjøre hvis deres IP benyttes for trening eller annen ulovlig bruk ifm. et AI-system. Skal ditt selskap gå til sak mot den som bryter deres rettigheter? Skal man få på plass en lisensavtale? Hva hvis en misfornøyd ansatt mater inn forretningshemmeligheter i et AI-system? Dette vil typisk reguleres nærmere i en IP-strategi:

  • Kartlegge hva virksomheten eier, bruker og bør sikre
  • Beskytte AI-løsninger gjennom forretningshemmeligheter eller patenter der det er mulig
  • Unngå tap av konkurransefortrinn gjennom uklare avtaler eller uautorisert deling
  • Bygge tillit overfor eiere, partnere og myndigheter

En god IP-strategi er med andre ord en sentral del av enhver AI-satsing som skal vare.

AI-løsninger kan også styrke den løpende forvaltningen av IP-porteføljen. Ved å bruke AI til å analysere og overvåke eksisterende rettigheter, kan du vurdere hvilke rettigheter som fortsatt er strategisk verdifulle – og hvilke som bør slippes. Det gir både kostnadsreduksjon og bedre beslutningsgrunnlag, og bidrar dermed til langsiktig verdiskaping.

Dersom virksomheten utvikler egne AI-løsninger, gjelder et annet risikobilde. Algoritmer lar seg i begrenset grad patentere etter gjeldende praksis i Europa. Derfor blir beskyttelse gjennom forretningshemmeligheter, kontrakter og strukturert IP-håndtering desto viktigere for å sikre investeringens verdi.

Kontakt oss

Fei for egen dør først - Har vi rutiner for bruk av AI?

Før du vurderer leverandører og juridiske modeller, bør du vurdere modenheten i organisasjon. Det starter med å stille spørsmål som:

  • Har vi oversikt over hva vi faktisk eier – og bruker?
  • Har vi et sett med rutiner for bruk av AI?
  • Har vi etablert rutiner og eierskapsprosedyrer knyttet til IP?
  • Har vi identifisert hvilke deler av virksomheten som er eksponert for AI-relatert risiko?

En slik intern gjennomgang gir ikke bare lavere risiko – den gjør deg også bedre rustet til å stille krav, forhandle avtaler og dokumentere ansvar

Trygghet gir handlingsrom

AI kan gi virksomheten din et løft – men ikke hvis teknologien du investerer i, står på et usikkert rettsgrunnlag. Å kontrollere immaterielle rettigheter og juridisk risiko er ikke et hinder for innovasjon – det er en forutsetning for varig verdi.

Som CFO er du i en nøkkelposisjon for å stille de riktige spørsmålene, stille krav til leverandører og legge til rette for investeringer som både er fremtidsrettede og rettighetsmessig robuste.

Til slutt – her er en sjekkliste for finansdirektører (og andre) som investerer i kunstig intelligens:

  • Skill mellom juridisk og kommersiell risiko
  • Sikre dokumentasjon og eierskap til AI-rettigheter
  • Vurder regulatoriske krav som EUs AI Act
  • Klargjør ansvarsforholdet mellom partene.
  • Få oversikt over behandlingen av personopplysninger
  • Etabler rutiner for IP-håndtering internt
  • Kartlegg bruk av tredjepartsdata og teknologi
  • Klargjør kontraktstruktur med partnere og leverandører
  • Vurder mulighet for patentering og forretningshemmeligheter

New call-to-action