Kunstig intelligens (AI) gir store muligheter – men kan også skape utfordringer. Uansett om ditt selskap skal investere i AI, har utviklet et AI-system for eget bruk eller har utviklet et AI-system som skal selges, er det viktig å være klar over mulige fallgruver som rettighetsproblematikk, uklare kontraktsvilkår og ansvar for behandling av personopplysninger.
For deg som økonomisjef/CFO handler AI-investeringer ikke bare om teknologi, men om kontroll. Hvem eier dataene? Hvem bærer risikoen? Og hvordan beskytter du verdien AI skal skape for selskapet?
Denne guiden søker å gi en praktisk og konkret gjennomgang av hvordan du som CFO kan vurdere og styre AI-investeringer i lys av IP-rettigheter og regulatoriske krav. Her får du:
Dette kan hjelpe å stille mer presise spørsmål, avdekke mulige svakheter – og vurdere hvordan AI kan brukes tryggere og mer målrettet i virksomheten.
AI-algoritmer er trent på data, store mengder data. Typisk har AI-selskapet tilegnet seg dataen gjennom en teknikk som kalles «scraping». Enkelt forklart innebærer dette at man bruker et annet dataprogram i å hente data som ligger på internettet. Slik data er sjelden helt fri for rettigheter og kan være vernet etter IP-regelverk, og inneholde åndsverk, patentinformasjon, varemerker, kildekode, forretningshemmeligheter, databaser, m.m. Hvis AI-algoritmene er trent på slike data uten tillatelse, kan dette medføre et erstatningsansvar for utvikler og i verste fall brukeren.
Et eksempel fra internasjonale saker – som Getty Images v. Stability AI – viser hvordan rettighetshavere går til sak mot AI-aktører (Stability AI) som har brukt Gettys innhold uten samtykke. I dette tilfellet var det hele databasen til Getty Images. Slik bruk kan lede til ansvar dersom man ikke har innhentet samtykke for bruken. Det kan også diskuteres om dette ansvaret gjelder både leverandør, men også brukerne av AI-systemet.
Et annet viktig element er å ha et bevisst forhold til hvilket ansvar partene har ifm. AI-systemet. Eksempelvis, hvem har ansvar for å dokumentere dataen som er brukt ifm. trening? Hvem har ansvaret hvis AI-systemet begår en feil? Hvem har ansvaret for krav fra tredjeparter? Hvem har ansvaret for å dokumentere hvordan AI-algoritmen resonnerer?
På ingen av disse spørsmålene er det klare svar og frem til vi får på plass et regelverk som klart regulerer dette er dette spørsmål som må avklares gjennom klare avtaler mellom leverandør og kunde. Et typisk scenario vil være at det er en hyperscaler som leverer AI-algoritmen hvorav en lokal IT-leverandør videreselger den i et pakketert format til kunden. Hyperscaleren vil med stor sannsynlighet ha tatt de nødvendige forbeholdene for å fraskrive seg ansvar, og da oppstår det en uklarhet om hvem som skal faktisk ha ansvaret hvis noen av de ovennevnte tilfellene oppstår.
En god tommelfingerregel vil være å ha på plass en klar avtaleregulering basert på hvem som er nærmest til å bære ansvaret. Eksempelvis, hvis algoritmen er trent på kundens data, så er det nærliggende at også den har ansvaret for utfordringer med dataen. På samme måte som at leverandøren er nærmest til å kunne levere dokumentasjon på hvordan algoritmen resonnerer.
Bruken av AI innebærer ofte behandling av personopplysninger, enten det gjelder deling av data mellom virksomheter, innmating av opplysninger i AI-systemer, trening av modeller på datasett med personopplysninger eller bruk av slike modeller i drift. I denne sammenheng er det avgjørende at behandlingen skjer i tråd med personvernforordningen (GDPR), særlig personvernprinsippene som formålsbegrensning og proporsjonalitet. GDPR stiller også krav om at behandling av personopplysninger må være «nødvendig» for et spesifikt formål, som å oppfylle en avtale eller ivareta en rettslig forpliktelse. Dette begrepet tolkes snevrere enn i dagligtale, og det er ikke gitt at innmating av personopplysninger i en algoritme automatisk er nødvendig i rettslig forstand.
En særlig utfordring knytter seg til viderebehandling av personopplysninger for andre formål enn de opprinnelige, altså kanskje har ditt selskap allerede samlet inn personopplysninger for et annet formål, men ikke for bruk av AI-systemer. Ifølge GDPR er slik viderebehandling kun tillatt dersom den er forenelig med det opprinnelige formålet. Dette innebærer en konkret vurdering av om den nye bruken av dataene representerer en ulempe for den registrerte, skiller seg vesentlig fra det opprinnelige formålet eller stiller høyere krav til datakvalitet. Når personopplysninger som ikke ble samlet inn for bruk i AI, brukes til trening eller videre bruk i slike systemer, kan dette kreve et nytt rettslig grunnlag.
Dette er forhold som er viktig å avklare i hele leveransekjeden før systemet investeres i og i hvert fall tas i bruk. Typisk vil man ha på plass et sett med avtalereguleringer tilknyttet dette.
En del av forholdene som allerede er nevnt kommer til å ha plass i EUs AI-forordning. Forordningen gjennomføres i steg og vil stille krav til AI-systemer som skal være tilgjengelig i det europeiske markedet. Selskap som opererer i Norge, men også innad i EU vil da også være truffet. En rekke systemer som vil benyttes i forbindelse med virksomhetsstyring vil falle inn under det som klassifiseres som «høyrisikosystem». Dette vil være systemer innenfor HR, utdanning, jus, m.m. Til disse systemene vil det blant annet stilles krav til:
Majoriteten av kravene vil leverandører av slike systemer være underlagt, men da er det som bruker (selskap) viktig å være klar over at dersom du kjøper et white label-system (et system uten et merke/logo og setter egen logo på dette) så er du å regne som leverandør av systemet og dermed underlagt flere og strengere krav etter forordningen.
Et siste forhold som du må være bevisst på er IP som oppstår eller benyttes ifm. AI-system, eksempelvis hva skal ditt selskap gjøre hvis deres IP benyttes for trening eller annen ulovlig bruk ifm. et AI-system. Skal ditt selskap gå til sak mot den som bryter deres rettigheter? Skal man få på plass en lisensavtale? Hva hvis en misfornøyd ansatt mater inn forretningshemmeligheter i et AI-system? Dette vil typisk reguleres nærmere i en IP-strategi:
En god IP-strategi er med andre ord en sentral del av enhver AI-satsing som skal vare.
AI-løsninger kan også styrke den løpende forvaltningen av IP-porteføljen. Ved å bruke AI til å analysere og overvåke eksisterende rettigheter, kan du vurdere hvilke rettigheter som fortsatt er strategisk verdifulle – og hvilke som bør slippes. Det gir både kostnadsreduksjon og bedre beslutningsgrunnlag, og bidrar dermed til langsiktig verdiskaping.
Dersom virksomheten utvikler egne AI-løsninger, gjelder et annet risikobilde. Algoritmer lar seg i begrenset grad patentere etter gjeldende praksis i Europa. Derfor blir beskyttelse gjennom forretningshemmeligheter, kontrakter og strukturert IP-håndtering desto viktigere for å sikre investeringens verdi.
Før du vurderer leverandører og juridiske modeller, bør du vurdere modenheten i organisasjon. Det starter med å stille spørsmål som:
En slik intern gjennomgang gir ikke bare lavere risiko – den gjør deg også bedre rustet til å stille krav, forhandle avtaler og dokumentere ansvar
AI kan gi virksomheten din et løft – men ikke hvis teknologien du investerer i, står på et usikkert rettsgrunnlag. Å kontrollere immaterielle rettigheter og juridisk risiko er ikke et hinder for innovasjon – det er en forutsetning for varig verdi.
Som CFO er du i en nøkkelposisjon for å stille de riktige spørsmålene, stille krav til leverandører og legge til rette for investeringer som både er fremtidsrettede og rettighetsmessig robuste.
Til slutt – her er en sjekkliste for finansdirektører (og andre) som investerer i kunstig intelligens: