Hvad er "Skygge-AI", og hvilke risici er der forbundet med det?

Skygge-AI refererer til medarbejderes uautoriserede brug af AI-værktøjer uden virksomhedens godkendelse. Dette kan føre til datalækager og brud på fortrolighed, da følsomme virksomhedsdata kan ende på eksterne servere uden kontrol. Virksomheden forbliver ansvarlig for eventuelle databrud, uanset om brugen var ukendt for ledelsen. En godkendt liste over tilladte AI-værktøjer kan reducere denne risiko markant.

Hvordan kan vi undgå datalækager via AI-prompts i chatbots?

For at undgå datalækager via AI-prompts skal medarbejdere instrueres i aldrig at indtaste fortrolige oplysninger, såsom navne, CPR-numre eller forretningskritiske tal, direkte i AI-chatbots. Dette gælder, medmindre der er en underskrevet databehandleraftale på plads med AI-leverandøren. Uautoriseret deling af persondata via prompts udgør et GDPR-brud med potentielt store konsekvenser.

Hvad er algoritmisk bias, og hvordan kan det undgås i AI-systemer?

Algoritmisk bias opstår, når AI-systemer trænes på historiske data, der afspejler eksisterende fordomme eller skævheder i samfundet, hvilket kan føre til diskriminerende resultater, f.eks. i rekruttering. For at undgå dette skal virksomheder regelmæssigt validere deres AI-systemer for at sikre, at de giver ensartede resultater på tværs af køn, alder og etnicitet. Manglende validering kan resultere i brud på ligebehandlingsloven og alvorligt omdømmetab for virksomheden.

Hvem ejer ophavsretten til indhold, der er genereret af kunstig intelligens?

I Danmark og EU kræver ophavsret som udgangspunkt en menneskelig ophavsmand, hvilket betyder, at rent AI-genereret indhold uden væsentlig menneskelig bearbejdning kan falde i en juridisk gråzone. Dette kan gøre det svært at håndhæve rettigheder mod kopiering og kan potentielt føre til, at virksomheden holdes ansvarlig, hvis det AI-genererede indhold er baseret på ophavsretsbeskyttet materiale. For at sikre ejerskab og beskyttelse er det afgørende at dokumentere menneskelig redigering og kreative beslutninger i arbejdsprocessen med AI-genereret indhold.

Hvad betyder EU AI Act for danske virksomheder, og hvilke kategorier inddeler den AI-systemer i?

EU AI Act er verdens første omfattende AI-lovgivning, der klassificerer AI-systemer i fire risikokategorier: uacceptabel, højrisiko, begrænset risiko og minimal risiko. Højrisiko-systemer, som f.eks. AI i rekruttering eller kreditvurdering, stiller betydelige krav til dokumentation og overvågning. Loven kræver også, at alle medarbejdere, der arbejder med AI, har tilstrækkelig AI-kompetence, hvilket er et uddannelseskrav, der gælder allerede nu.

Hvilke specifikke krav stiller EU AI Act til højrisiko AI-systemer?

EU AI Act kræver omfattende dokumentation, løbende overvågning og i mange tilfælde registrering i en EU-database for højrisiko AI-systemer. Dette gælder for systemer, der anvendes inden for kritiske områder som rekruttering, kreditvurdering, prisfastsættelse i forsikring og AI, der træffer beslutninger om adgang til uddannelse. Overholdelse af disse krav er ikke valgfrit, men et lovkrav for virksomheder, der anvender AI i disse sammenhænge.

Hvordan relaterer GDPR sig til brugen af AI i virksomheder?

GDPR gælder uændret, hver gang et AI-system behandler persondata, hvilket inkluderer krav om samtykke, dataminimering og informationspligt. AI kan dog utilsigtet øge risikoen for GDPR-brud, for eksempel hvis en chatbot husker kundehenvendelser på tværs af sessioner eller et automatisk CV-screeningssystem udløser reglerne om automatiske afgørelser. Virksomheder skal derfor aktivt identificere alle steder i forretningen, hvor AI interagerer med persondata, for at sikre fuld compliance.

Juridiske faldgruber og muligheder med AI: Det store overblik for ledelsen

Guide 8 min læsning

Kun 26% af europæiske virksomheder har et overblik over deres AI-governance. Det betyder, at tre ud af fire organisationer bruger AI uden at vide, om de overholder loven. Hvis du sidder i ledelsen, er det dit ansvar at ændre det. Denne artikel giver dig helikopterblikket over de juridiske faldgruber og muligheder, så du kan træffe informerede beslutninger uden at læse 400 siders EU-forordning. Tænk på det som dit executive briefing. For den fulde dybde kan du altid gå videre til vores komplette guide til AI, jura og corporate compliance.

Indholdsfortegnelse

Hvilke juridiske risici løber vi som virksomhed ved at bruge AI?
Hvad er de vigtigste love og regler, vi skal kende?
Hvordan balancerer vi innovation med compliance?

Hvilke juridiske risici løber vi som virksomhed ved at bruge AI?

De fleste ledere tænker på AI-risici som noget teknisk. Men de største faldgruber er organisatoriske. Her er de fire vigtigste.

Skygge-AI: Det du ikke kan se, kan stadig koste dig

70% af IT-beslutningstagere har allerede opdaget medarbejdere, der bruger AI-værktøjer uden godkendelse. Forestil dig en indkøbschef i en fødevarevirksomhed, der kopierer 200 leverandørtilbud ind i et gratis AI-værktøj for at sammenligne priser hurtigere. Intentionen er god. Problemet er, at de data nu potentielt ligger på en server uden for organisationens kontrol.

Konkret hvad det betyder for dig som leder: Hvis der sker et databrud via et uautoriseret AI-værktøj, er det stadig din organisations ansvar over for Datatilsynet. Uvidenheden er ikke en undskyldning. Du kan reducere risikoen ved at etablere en godkendt liste over tilladte AI-værktøjer og kommunikere den aktivt, fremfor at vente på at IT opdager problemet bagudrettet. Læs mere om, hvordan IT-afdelingen konkret håndterer Skygge-AI.

Datalækager gennem AI-prompts

Når en medarbejder skriver fortrolige oplysninger ind i en AI-chatbot, er der risiko for, at de data bruges til at træne fremtidige modeller. Ifølge IBM koster en gennemsnitlig sikkerhedshændelse i omegnen af 670.000 USD.

Det er ikke et hypotetisk scenarie. En HR-medarbejder der beder ChatGPT om at omskrive en afskedigelsesmail med medarbejderens fulde navn, stilling og årsag til fyringen, har potentielt delt persondata med en ekstern leverandør uden databehandleraftale. Det er et GDPR-brud, uanset om ingen opdager det. Den enkle tommelfingerregel du kan kommunikere til jeres organisation i morgen: Skriv aldrig navne, CPR-numre, kontraktdetaljer eller forretningskritiske tal direkte i et AI-prompt, medmindre I har en underskrevet databehandleraftale med leverandøren. Vi har skrevet en hel artikel om, hvordan I beskytter forretningshemmeligheder mod datalækager.

Algoritmisk bias og diskrimination

Bruger I AI i jeres rekruttering? Så bør I vide, at der allerede findes danske eksempler på systemer, der systematisk scorede kvindelige ansøgere lavere. Det skete ikke fordi systemet var programmeret til at diskriminere. Det skete fordi det blev trænet på historiske ansættelsesdata, der afspejlede tidligere tiders skæve fordeling.

Det er ikke bare et etisk problem. Det er et brud på ligebehandlingsloven og kan resultere i både bøder og alvorligt omdømmetab. Som leder er den relevante kontrol her: Hvem i organisationen validerer regelmæssigt, at jeres AI-systemer giver ensartede resultater på tværs af køn, alder og etnicitet? Hvis svaret er "ingen," er det et ledelsesproblem, ikke et teknisk problem. For en dybere forståelse af algoritmisk bias og dets konsekvenser, læs mere her.

Ophavsret i gråzonen

Alt det indhold jeres marketingafdeling genererer med AI: hvem ejer det egentlig? Svaret er mere uklart, end de fleste tror.

I Danmark og EU kræver ophavsret som udgangspunkt en menneskelig ophavsmand. Rent AI-genereret indhold uden væsentlig menneskelig bearbejdning kan derfor falde i en juridisk gråzone, hvor ingen ejer rettighederne. Det betyder i praksis to ting. For det første: Hvis en konkurrent kopierer jeres AI-genererede kampagnegrafik, kan I have svært ved at håndhæve en rettighed, I ikke med sikkerhed besidder. For det andet: Det AI-genererede indhold I bruger, kan være baseret på ophavsretsbeskyttet materiale fra de data, modellen er trænet på, og I kan i teorien blive holdt ansvarlige. Den praktiske konsekvens: Sørg for, at menneskelig redigering og kreative beslutninger er dokumenteret i jeres arbejdsproces med AI-genereret indhold. Det er den faktor, der afgør, om I har et beskytteligt værk. Læs mere om ophavsret i en AI-verden for at forstå jeres rettigheder fuldt ud.

Hvad er de vigtigste love og regler, vi skal kende?

Klare rammer for juridiske love og regler omkring AI, giver tryghed for virksomheden.

Du behøver ikke blive jurist. Men du skal kende de tre regelsæt, der tilsammen udgør det juridiske fundament for AI i Danmark.

GDPR forsvandt ikke, fordi AI kom på banden. Tværtimod. Hver gang jeres AI-system behandler persondata, gælder alle de velkendte regler om samtykke, dataminimering og informationspligt.

Det nye er, at AI gør det nemmere at bryde reglerne uden at opdage det. En chatbot, der husker kundehenvendelser på tværs af sessioner, behandler persondata og kræver et retsgrundlag. En automatisk CV-screening gør det samme og udløser sandsynligvis også reglerne om automatiske afgørelser i GDPR artikel 22, som giver ansøgere ret til menneskelig gennemgang. Spørg dig selv: Har vi identificeret alle de steder i vores forretning, hvor AI rører ved persondata? For langt de fleste virksomheder er svaret nej, og det er præcis det problem, Datatilsynet begynder at interessere sig for. Få den ultimative tryghedsguide til AI og GDPR for danske arbejdspladser.

EU AI Act: Den nye spillebane

EU AI Act er verdens første omfattende AI-lovgivning. Den klassificerer AI-systemer i fire risikokategorier, og det er afgørende at forstå, hvilken kategori jeres systemer falder i:

Uacceptabel risiko er forbudt. Det dækker social scoring af borgere, manipulation af adfærd via subliminal teknik og visse former for biometrisk overvågning. Ingen lovlig dansk virksomhed bør befinde sig her.

Højrisiko kræver dokumentation, løbende overvågning og i mange tilfælde registrering i en EU-database. Her er eksemplerne relevante for de fleste mellemstore og store danske virksomheder: AI brugt til CV-screening og rekruttering, kreditvurdering, prisfastsættelse i forsikring og AI der træffer beslutninger om adgang til uddannelse. Bruger I AI inden for disse områder, er det ikke valgfrit at have styr på dokumentationen. Det er et lovkrav.

Begrænset risiko kræver primært transparens. Bruger I en chatbot over for kunder, skal de oplyses om, at de taler med en AI. Det lyder simpelt, men det overses systematisk.

Minimal risiko er det meste. Spam-filtre, anbefalingssystemer til internt brug og AI-assisteret tekstforfatning til interne formål falder her. Ingen særlige krav.

En vigtig detalje uanset kategori: Artikel 4 kræver, at alle medarbejdere, der arbejder med AI, har tilstrækkelig AI-kompetence. Det er et uddannelseskrav, ikke et teknisk krav. Det gælder allerede nu.

Eksisterende dansk lovgivning

Markedsføringsloven, ophavsretsloven og ligebehandlingsloven gælder naturligvis også, når AI er involveret. AI skaber nye måder at bryde dem på. To eksempler der er direkte handlingsorienterede:

Markedsføringsloven forbyder vildledende kommunikation. Hvis jeres AI genererer produktbeskrivelser med tekniske specifikationer, som ingen har verificeret, og de viser sig at være forkerte, er det stadig jeres ansvar over for forbrugerne og Forbrugerombudsmanden.

Ligebehandlingsloven gælder fuldt ud i AI-assisterede HR-processer. At en algoritme traf beslutningen, er ikke en gyldig forklaring til en klageinstans.

Hvordan balancerer vi innovation med compliance?

Organisationer med klare rammer for AI-brug oplever faktisk hurtigere adoption, fordi medarbejderne føler sig trygge. Her er de tre konkrete skridt.

Start med en intern AI-politik

Det vigtigste skridt du kan tage i næste uge er at etablere en intern AI-politik. Den behøver ikke fylde 50 sider. En enkel politik på én til to sider, der besvarer tre spørgsmål, gør en konkret forskel:

Hvilke værktøjer er godkendt? En positiv liste over de AI-værktøjer, organisationen har vurderet og tillader brug af, er langt mere effektiv end en negativ liste over forbud. Medarbejderne vil bruge det, der er tilgængeligt. Giv dem et godkendt alternativ.

Hvilke datatyper må aldrig deles med AI? Minimum bør listen indeholde: persondata på identificerbare individer, forretningshemmeligheder og prisstrategier, kundernes fortrolige oplysninger og ikke-offentliggjorte finansielle tal.

Hvem er ansvarlig? Udpeg en navngiven person, ikke en afdeling, der er første kontaktpunkt ved spørgsmål og hændelser. Det kan være en eksisterende rolle kombineret med en ny ansvarspost. Et fynsk trykkeri med begrænset budget har gjort det. I kan også.

Kræv ordentlige databehandleraftaler

Når I køber AI-software, skal leverandøren kunne dokumentere og garantere tre specifikke ting i en underskrevet databehandleraftale: Hvor jeres data lagres geografisk, og at det sker inden for EU eller i et land med tilstrækkelighedsbeslutning. At jeres data ikke bruges til at træne leverandørens modeller. Hvad der sker med jeres data, hvis I opsiger aftalen.

Det er jeres juridiske forpligtelse under GDPR, og det er et punkt I kan og bør rejse som standardkrav i alle fremtidige leverandørforhandlinger. Mangler leverandøren en databehandleraftale eller nægter at underskrive en, er det et klart signal om, at I ikke bør lade dem behandle jeres data. Få overblik over uundværlige krav til jeres software-leverandør i vores dedikerede guide om databehandleraftaler for AI-systemer.

Gør compliance til kompetenceudvikling

Artikel 4 i EU AI Act kræver AI-kompetence hos medarbejderne. Brug det som anledning til at opkvalificere jeres team, så de både bruger AI effektivt og lovligt.

Konkret betyder det, at jeres oplæringsforløb i AI-brug bør indeholde mere end "sådan bruger du værktøjet." Det bør også indeholde to til tre konkrete eksempler på, hvad der aldrig må skrives i et prompt i jeres branche, hvordan medarbejderen genkender, om en AI-opgave falder i højrisiko-kategorien, og hvem de kontakter ved tvivl. Medarbejdere, der forstår reglerne, laver færre fejl og finder flere muligheder.

Lav jeres eget strategiske roadmap

Du har nu overblikket. Næste skridt er at gøre det til en plan med deadlines og ansvarlige. Vores artikel om det strategiske compliance-roadmap giver dig en konkret trin-for-trin-guide, du kan præsentere for bestyrelsen.

Det vigtigste er at vide, hvor du starter: en intern AI-politik med en godkendt værktøjsliste og klare dataregler, underskrevne databehandleraftaler med alle AI-leverandører og et grundlæggende kendskab til, hvilken EU AI Act-kategori jeres systemer falder i. De tre ting alene placerer jeres organisation foran størstedelen af markedet.

Ofte stillede spørgsmål

Bruno Poulsen

Bruno Poulsen er partner i Poulsen & Vinding, et konsulenthus der hjælper danske virksomheder og styrelser med at tage generativ AI i brug i den daglige drift. Han er senior underviser hos Bigum&Co gennem 10+ år og har siden 2023 stået bag AI-implementeringer, foredrag og workshops for blandt andre Lægemiddelstyrelsen, GS1 Danmark, Bornholms Højskole og 30+ bornholmske SMV’er via Business Center Bornholm. Skriver om praktisk anvendelse af AI-værktøjer, prompt engineering og hvordan ledelser kommer i gang mandag morgen kl. 08.00.