Att upphandla AI på ett ansvarsfullt sätt

Miljöbild i form av ett pariserhjul

Vad är AI förordningen och hur påverkar den oss?

Den 1 augusti i år träder EUs AI förordning, AI Act, i kraft. Syftet med förordningen är att AI ska användas på ett säkert sätt som respekterar mänskliga rättigheter men också att underlätta innovation. Förordningen gäller för den som utvecklar, tillhandahåller och använder AI inom både privat och offentlig sektor.

AI förordningen reglerar via en riskbaserad modell olika användningsfall av AI. Detta innebär att vissa användningsfall kommer vara tillåtna, tillåtna med vissa restriktioner medan andra kommer vara förbjudna. Det är framförallt AI system med bedömd hög risk som kommer att få begränsningar. Exempel på restriktioner är så kallad ”human in the loop” när AI står för beslutsfattande. Generativ AI kommer troligen ses som högriskteknologi vilket ställer krav på:

  • Transparens och spårbarhet.
  • Datasäkerhet och integritet.
  • Mänsklig kontroll och ansvar

Även om förordningen ställer krav på er egen organisation har vi i det här blogginlägget valt att fokusera på vilka krav ni behöver ställa på era leverantörer och när ni ska upphandla AI. Leverantörer av AI-lösningar har ett ansvar att följa kraven men som köpare har ni ansvar för att säkerställa efterlevnad.

Här kommer vår guide för hur ni kan gå tillväga för att upphandla AI på ett ansvarsfullt sätt som ligger i linje med de råd som finns publicerade. Kom dock ihåg att det är viktigt att ni bilder er en egen uppfattning om förordningen och de krav som följer

Kartlägg era behov och potentiella risker

Innan ni börjar leta efter AI-lösningar är det viktigt att förstå hur teknologin kommer att användas i er verksamhet:

  • Användningsområde? Vilka processer eller problem vill ni lösa med AI?
  • Vilka risker kan finnas? T.ex. felaktiga resultat, dataläckor eller partiska beslut.
  • Hur påverkar AI-lösningen era kunder? Kan det finnas risker för deras integritet eller rättigheter?

Genom att kartlägga detta kan ni enklare formulera krav och ställa rätt frågor till leverantören. Tänk också på att AI idag kommer ”på köpet” i många system och att ni behöver göra samma riskbedömning även i dessa fall.

Transparens och dokumentation

En viktig del i förordningen är att AI-system ska vara transparenta. Detta innebär att leverantören ska redogöra för sin modell, träning och testresultat. Ni behöver också sätta er in i dokumentationen så att ni förstår hur lösningen fungerar. För att uppfylla detta bör ni:

  • Begär dokumentation: Leverantören ska visa hur systemet är uppbyggt, vilka data som används för att träna AI:n och hur modellen fungerar.
  • Efterfråga testresultat: Leverantören ska kunna bevisa hur AI:n testats för att minimera risker som partiskhet eller felaktiga resultat.
  • Kontrollera transparens: AI ska kommunicera att innehåll är AI-generat.  

Säkerställ datasäkerhet och integritet

Dataskydd är en annan central del av förordningen. Precis som vid andra systemupphandlingar behöver ni förstå vilken data som hanteras, hur den lagras, skyddas och på vilken grund som ni behandlar den. Om ni redan har processer kring dataskydd och informationssäkerhet, exempelvis ISO 27001 kommer ni kan använda dessa som grund. AI lösningar ska vara förenliga med GDPR vilket innebär att de ska följa EUs dataskyddsregler och nationella lagar som bygger på dessa. Ställ därför följande frågor när ni ska upphandla AI

  • Datahantering: Hur samlar, lagrar och skyddar leverantören data?
  • Begära garantier kring GDPR-efterlevnad: AI-lösningen ska vara förenlig med EU:s dataskyddsregler.
  • Krav på anonymisering: Säkerställ att systemet inte använder personlig information utan samtycke.

Utvärdera etik och ansvar

En AI-lösningar som är byggd på etiska principer minimerar risker för diskriminering. Om brister ändå uppstår är det viktigt att de går att korrigera. Även ansvarsfrågan behöver adresseras om AI-lösningen skapar felaktig information eller problem. Undersök därför

  • Fråga om leverantörens etiska riktlinjer: Har de policyer för att hantera partiskhet, diskriminering och potentiella skador?
  • Begär tydlighet kring ansvar: Vem ansvarar om AI:n genererar felaktig information eller skapar problem?
  • Testa mänsklig kontroll: Finns det möjlighet för en människa att granska och justera AI:s beslut?

Följ upp och revidera kontinuerligt

Att köpa en AI-lösning eller ett system som innehåller AI är steg ett men inte slutet på processen. Både tekniken, era behov och användningsområden samt lagstiftningen är i ständig utveckling. Därför är det viktigt att:

  • Genomföra regelbundna utvärderingar: Se till att AI:n fortfarande uppfyller kraven och fungerar som förväntat.
  • Utbilda era medarbetare: Ser till att era medarbetare förstår er AI och har de ska använda den
  • Håll er uppdaterade: Följ utvecklingen av EU:s AI Förordning och andra relevanta regelverk.

Sammanfattning

Att köpa in generativa AI-lösningar kan vara en stor fördel för er organisation, men det kräver att ni ställer rätt krav på och följer upp era leverantören. Genom att förstå AI förordningen, kartlägga era behov och säkerställa transparens, datasäkerhet och etik kan ni inte bara undvika juridiska fallgropar utan också skapa en hållbar och ansvarsfull AI-strategi.

Källor och länktips

DIGGs riktlinjer för AI i offentlig förvaltning: https://www.digg.se/ai-for-offentlig-forvaltning/riktlinjer-for-generativ-ai/

Vill du få löpande inspiration från oss? Följ oss på LinkedIn och anmäl dig till vårt nyhetsbrev

Upptäck mer från Ferriswheel Sverige AB

Prenumerera nu för att fortsätta läsa och få tillgång till hela arkivet.

Fortsätt läsa