Råd for ansvarlig utvikling og bruk av kunstig intelligens i offentlig sektor

Mange dokumenter og ressurser kan gi god veiledning om kunstig intelligens. Samtidig kan mengden være vanskelig å navigere i. Her gir vi konkrete råd som kan hjelpe deg som skal utvikle og bruke kunstig intelligens i offentlig sektor til å gjøre dette i tråd med regelverket. Rådene er ikke uttømmende, men skal hjelpe deg med å raskt identifisere og adressere sentrale utfordringer.

Åpen beta

Denne siden er i «åpen beta». I tiden fremover ønsker vi tilbakemeldinger og innspill til innholdet som presenteres her. Det betyr at rådene du finner på denne siden kan bli endret. Har du innspill til oss vil vi gjerne høre fra deg! Ta kontakt med oss på Datalandsbyen så sikrer vi at innholdet her blir best mulig.

    Ansvarlig bruk av kunstig intelligens

    Norsk offentlig forvaltning har høy tillit, og denne tilliten må bevares og styrkes. Dette er et sentralt utgangspunkt for deg som skal utvikle eller bruke kunstig intelligens i norsk forvaltning.

    Utvikler du eller bruker du kunstig intelligens?

    Det er en forskjell på å utvikle kunstig intelligens og å bruke kunstig intelligens. Hvilket ansvar du har og hvordan du skal ivareta det, avhenger av hvilken rolle du har. Du kan lese mer om denne forskjellen her.

    Hvordan tilliten skal sikres ved bruk av KI, er imidlertid et stort og sammensatt spørsmål. I det følgende er det to viktige perspektiver vi ønsker å trekke frem:

    • Ivaretakelse av innbyggernes rettigheter er sentralt for å sikre tilliten. Det er mange ulike regelverk som gir uttrykk for rettigheter, prinsipper og hensyn som skal ivaretas ved det offentlige forvaltnings oppgaveløsning. Dette gjelder også ved utvikling og bruk av kunstig intelligens. Selv om regelverk ikke er tilpasset kunstig intelligens gjelder de kravene som følger av dem likevel. Eksempler på regler er:
      • Grunnloven, særlig §§ 98, 100, 102
      • Den europeiske menneskerettighetskonvensjon, særlig artiklene 8, 9, 10 og 14
      • Forvaltningsloven. Hele loven er relevant, men særlig § 13 flg. og § 24 og 25 kan ha stor praktisk betydning
      • Likestillings- og diskrimineringsloven
      • Personvernforordningen
    • Det kan være nødvendig å akseptere risiko. Grunnleggende rettigheter og friheter står ofte i et spenningsforhold til hverandre. For stort fokus på en rettighet kan gå på bekostning av en annen. Et eksempel på dette er forholdet mellom personvern og retten til helsehjelp. Rettigheter må balanseres. Selv om kunstig intelligens kan utfordre noen av våre grunnleggende rettigheter og friheter, kan også en overdreven varsomhet lede til at vi ikke ivaretar samfunnsoppgaver på så god måte eller så effektivt som vi burde.

    Hvorvidt og hvordan du skal ta i bruk kunstig intelligens handler om risiko. Bruk av kunstig intelligens kan innføre nye eller andre typer risiko. Hvorvidt en virksomhet skal ta denne risikoen, beror på en avveining mellom risikoens størrelse og den mulige gevinsten.

    Vi bør være forsiktige med å spørre oss selv "om" vi skal bruke kunstig intelligens. Fremover vil det nok heller spørsmålet være "hvordan" vi skal bruke det. Dette skyldes at KI allerede har begynt å bli integrert i mange av IT-systemene våre, og dette vil fortsette å skje i en stadig økende grad i fremtiden. Å spørre "om" vi skal bruke KI vil kunne bli en utdatert tilnærming, og vi må heller fokusere på å finne ut hvordan vi kan utnytte teknologien på tryggest mulig måte.

    Du kan lese mer om hvordan risikovurderinger for KI-systemer kan gjennomføres her. Vår tilnærming er basert på ISO31000, Digdirs veiledning om risikovurderinger, den kommende KI-forordningen og NIST-rammeverket. Tilnærmingen innebærer grovt sett tre trinn: identifisering, analysering og evaluering av risiko.

    • Identifiser: Vurder hvilke uønskede hendelser som kan oppstå ved KI-systemet. Kan eksempelvis KI-systemet skade noen fysisk, påvirke menneskers meninger negativt eller føre til feil beslutninger?
    • Analyser: Avklar risikoens størrelse. Hva er konsekvensen hvis den uønskede hendelsen inntreffer og hva er sannsynligheten for at det vil skje?
    • Evaluer: Kan du akseptere risikoen og dens størrelse eller er du nødt til å finne risikoreduserende tiltak?

    Risikovurderingen kan vise at du er på et område som tilsier stor grad av varsomhet ved bruk av kunstig intelligens. Motsetningsvis kan risikovurderingen også vise at risikoen er av slik art at den kan aksepteres sett opp mot gevinstene.

    Regelverk og risiko

    Det kan være fremmed å snakke om risiko i forbindelse med regelverket. Mange lover setter absolutte krav. Eksempelvis er det forbudt å diskriminere. Regelverksetterlevelse er imidlertid også et spørsmål om risiko. Vi kan gjennomføre tiltak for å forsøke å ivareta kravene i regelverket, men dette gir ikke automatisk en garanti for at uønskede hendelser ikke inntreffer. Tilsvarende kan vi gjennomføre tiltak for brannsikkerhet, men vi kan aldri garantere at det ikke oppstår en brann.

    Hvor mange og hvor omfattende tiltak vi skal iverksette beror på risikoens størrelse. Selv om utgangspunktet er at alt regelverk skal etterleves, vil det naturligvis ha betydning for innbyggerne og dermed for en offentlig virksomhet hvilke rettigheter og friheter som, ved en uønsket hendelse, ikke blir ivaretatt.

    For ansvarlig utvikling og bruk av KI er det nødvendig å være bevisst at korrelasjon og kausalitet ikke er det samme. KI-systemer kan være svært gode på å finne sammenhenger mellom ulike faktorer i en stor mengde data. En sammenheng betyr imidlertid ikke at det er et årsak-virkning-forhold. Eksempelvis vil et KI-system kunne finne en sammenheng mellom studenter som tar forbrukslån og studenter som ikke oppgir riktige opplysninger til Lånekassen [fiktivt eksempel]. Det betyr imidlertid ikke at forbrukslån leder til at man oppgir uriktig informasjon til Lånekassen.

    Forskjellen på korrelasjon og kausalitet betyr at du ved bruk av KI-systemer må være varsom med hvilke korrelasjoner som får betydning for et resultat. Dette gjelder særlig der hvor en eventuell korrelasjon er knyttet til grunnlag som faktorer som kan lede til diskriminering eller ulovlig forskjellsbehandling. Les mer om dette under punktet om likebehandling.

    For deg som skal utvikle KI-systemer er det særlig to overordnede punkter du må være oppmerksom på:

    1. Hvilke krav må jeg ivareta ved utviklingen av KI-systemet?

    Selv om de fleste regler knytter seg til bruken av et KI-system, er det også regler som er relevante for selve utviklingen. Dette gjelder særlig ved bruk av data for å trene KI-modellen og det kan du lese om i punktet "Bruk av data".

    2. Hvordan kan jeg bidra til at KI-systemet bli brukt på en god måte?

    I tillegg til pliktene du har ved utviklingen av KI-modellen, må du hjelpe den som skal bruke KI-modellen med å gjøre dette på en ansvarlig måte:

    • Gi informasjon til brukeren: Ofte vil du som utvikler være den som kjenner KI-modellens muligheter og begrensninger best. Brukeren kan være avhengig av informasjon fra deg for å gjøre gode beslutninger om bruken. Gi informasjon til brukeren om fordeler, ulemper og mulige risikoer og hvordan slike risikoer kan reduseres. På denne måte kan du bidra til at brukeren tar i bruk KI-modellen på en trygg og ansvarlig måte.
    • Vær åpen om forutsetningene for systemet: Du har trolig et sett med testdata som ligger til grunn for tall om treffsikkerhet i prediksjoner og liknende. Det er ikke sikkert at dataene som brukeren har og skal benytte KI-systemet på vil gi samme treffsikkerhet som testdataene. Vær åpen om hvilke testdata og andre forutsetninger som ligger til grunn slik at brukeren kan få et godt resultat.

    • Regelverket gjelder selv om det ikke er tilpasset kunstig intelligens: Kunstig intelligens kan være et verktøy for å løse en oppgave, men kravene i regelverkene gjelder normalt uavhengig av hvilket verktøy du benytter for å løse oppgaven.
    • Inngrep krever hjemmel i lov: Et grunnleggende utgangspunkt for den offentlige forvaltningen er at inngrep i innbyggerens rettigheter trenger hjemmel i lov. Dette følger blant annet av Grunnlovens § 113 og gjelder absolutt, selv om kravene til det rettslige grunnlaget varierer med inngrepets art og størrelse.
    • Sørg for grundige risikovurderinger: Risiko kan defineres som kombinasjonen av sannsynlighet og konsekvens av en uønsket hendelse. Ha et bevisst forhold til hvilke risikoer som eksisterer for den konkrete bruken av et KI-system. Bruk tid på å forstå den teknologien du skal ta i bruk og snakk med de som har utviklet den om fordeler, ulemper og risiko. Sørg for at risikoen er forankret på et tilstrekkelig høyt nivå i en virksomhet. Her kan du lese mer om hvordan en risikovurdering for KI-systemer kan gjennomføres.
    • Kjør alltid et pilotprosjekt: Ikke ta i bruk en KI-løsning uten at den er testet ut. Ved å begynne et KI-prosjekt med en pilot kan du utforske i tryggere rammer. Dette har en side til risikovurderingene, utprøving av KI i et pilotprosjekt betyr at du har en ramme hvor konsekvensene kan være mindre dersom det går galt.
    • Tenk bredt om risikoreduserende tiltak: I tillegg til tiltak som reduserer en konkret risiko, går det an å vurdere kompenserende tiltak. Med dette mener vi tiltak som kan redusere konsekvensen av en uønsket hendelse, uten å påvirke sannsynligheten. Eksempelvis:
      • Vurder frivillig deltakelse der det er mulig
      • Gode kontrollrutiner
      • Gode og effektive klagemuligheter
      • Alltid manuell etterprøving av avslag og andre negative vedtak
      • Stor grad av åpenhet slik at brukerne kan føle seg trygge på resultatene.
    • Overoppfyll risikoreduserende tiltak: Kunstig intelligens er avansert og relativt ny teknologi. Mange kan derfor være bekymret for denne teknologien, og du bør vurdere å «overoppfylle» de risikoreduserende tiltakene. Eksempelvis, ikke tenk hva som er lovens minimumskrav for klage, men gå lengre for å sikre en svært god klagemulighet. Dette bidrar til å sikre tilliten, og dermed en mer effektiv bruk av KI på lengre sikt.
    • Vurder når et KI-system klart for å tas i bruk: Ha et bevisst forhold hvordan du avgjør at et KI-system er godt nok til å tas i bruk. Det kan være flere metrikker for å avgjøre når et KI-system er godt nok:
      • Sammenlikning med mennesker: Hvorvidt systemet leverer like godt som eller bedre mennesker kan være en mulig tilnærming.
      • Effektivitetsgevinst: Er effektivitetsgevinsten så stor at den veier opp for negative konsekvenser. Dette er en metrikk som bør benyttes med varsomhet, men det kan være aktuelt i visse situasjoner. For mange ytelser kan tid være en faktor på lik linje som kvalitet. Eksempelvis kan det være bedre å få et raskt maskinelt behandlet vedtak i dag, enn et grundig manuelt behandlet vedtak om et år.
    • Meld inn KI-prosjektet til "Oversikt over kunst intelligens i offentlig sektor": Sammen med NORA.ai har Digitaliseringsdirektoratet laget en oversikt over kunstig intelligens i offentlig sektor. Oversikten skal bidra til åpenhet, effektiv ressursbruk og ansvarlig bruk av kunstig intelligens i offentlig sektor. Oversikten er best når vi får med alle pågående prosjekter. Meld inn ditt KI-prosjekt her og se oversikten her.

    Bruk av data

    Kunstig intelligens forutsetter ofte store mengder data. Det generelle utgangspunktet er at data som ikke er underlagt begrensninger fritt kan benyttes. Mange typer data er imidlertid regulert på en slik måte at bruken av dem er begrenset. I noen sammenhenger kan dette bety at det er helt forbudt å bruke dataene. I andre sammenhenger kan dette bety at dataene kan brukes, men at flere vilkår må være oppfylt.

    Følgende rammer for bruk av data bør du være oppmerksom på:

    • Immaterielle begrensninger: Data har en verdi. Derfor kan det være ulike rettigheter som gjør at bruk av dataene er begrenset, eksempelvis opphavsrett.
    • Taushetsbelagt informasjon: Informasjon som gis til en person som har taushetsplikt vil være taushetsbelagt. Denne typen informasjon kan ikke deles eller brukes på en måte som er uforenelig med taushetsplikten.
    • Personopplysninger: Behandling av personopplysninger er grundig regulert, og personopplysningsbegrepet er nokså vidt. Med mindre du er sikker på at KI-systemet ikke behandler personopplysninger, bør du vurdere se nærmere på hva som ligger i personopplysningsbegrepet og hvilke krav du eventuelt må etterleve.
    • Gradert informasjon: Visse typer informasjon er begrenset av sikkerhetsmessige hensyn. Det er strenge krav til hvordan slik informasjon skal håndteres. Digitaliseringsdirektoratet anbefaler at du ikke benytter gradert informasjon til utvikling eller bruk av KI-løsninger med mindre du er sikker på at alle krav er ivaretatt.

    For deg som skal utvikle KI-løsninger er bruk av data først og fremst knyttet til trening, testing og validering av modellen. Som et overordnet utgangspunkt må du være trygg på at du har adgang til å bruke de dataene du skal benytte. Dette gjelder uansett hvilket format dataene er; CSV-filer, samlinger av bilder, lyd, video, 3D-modeller og så videre kan være underlagt ulike begrensninger.

    Rettigheter til dataen:

    For spørsmål om rettigheter til dataen kan lisenser gi deg god hjelp. Det finnes mange forskjellige lisenser, men noen som i utgangspunktet åpner for fri bruk er:

    • MIT og NLOD: Disse lisensene gjør det i utgangspunktet mulig for deg å fritt benytte data til en KI-modell. Det følger imidlertid visse unntak og du må lese lisensen for å se om disse er aktuelle.
    • Creative Commons (CC): Det finnes flere versjoner av CC-lisenser. Noen av dem, slik som CC0, gjør det fritt for deg å benytte data til trening av en KI-modell.

    Hvis ikke du finner informasjon om lisenser til dataene, kan følgende spørsmål være til hjelp:

    • Ligger dataene til grunn for en forretningsmodell? Et godt spørsmål å stille seg er om aktøren du ønsker å hente informasjon fra tjener penger på denne informasjonen. Dersom de gjør det, så er det mye som tyder på at du ikke kan hente denne informasjonen fritt.
    • Sjekk «robots.txt»: Dersom du skal automatisk innhente informasjon fra en nettside «Scraping» av nettsider», kan du se om du finner en robots.txt på rotnivå som kan fortelle deg om de tillater automatisk uthenting av informasjon fra deres nettsider. Dette garanterer ikke at du fritt kan benytte dataen, men det kan gi noen viktige indikasjoner.
    • Ta kontakt med virksomheten: Ikke benytt data uten at du er sikker på at du har tillatelse. Ta kontakt med den aktuelle virksomheten om du er i tvil.

    Personopplysninger, taushetsbelagt informasjon og gradert informasjon.

    Hvorvidt du kan benytte personopplysninger, taushetsbelagt informasjon og gradert informasjon kan være komplekse spørsmål. Hvis du utvikler løsninger for en offentlig myndighet, bør du ha avklart med juridiske ressurser om dataen kan benyttes til det aktuelle formålet.

    • Behandling av personopplysninger reguleres av personvernforordningen. For utvikling av kunstig intelligens betyr det blant annet at behandlingsgrunnlaget må dekke trening av KI-modellen, at du ikke må bruke mer personopplysninger enn det som er nødvendig for formålet og at du må vurdere innebygget personvern. Du kan lese mer om dette her.
    • Taushetsplikt reguleres generelt av forvaltningslovens § 13 flg. I tillegg kan det finnes mer spesifikke taushetsplikter for eksempelvis leger og advokater. Disse reglene er ikke tilpasset trening av ulike modeller. Reglene skal først og fremst hindre at opplysningen blir kjent for andre. Det kan bety at det må vurderes i hvilken grad treningsprosessen innebærer at informasjonen blir kjent for uvedkommende i strid med regelverket.
    • Gradert informasjon og skjermingsverdig informasjon reguleres blant annet av sikkerhetsloven. Hvis du skal benytte slik informasjon til utviklingen av en KI-modell bør du være særlig forsiktig og ikke gå frem uten å ha avklart med relevante juridiske ressurser.

    Blir ikke opplysningene anonymisert i treningen?

    Ved trening av maskinlæringsmodeller basert på eksempelvis nevrale nettverk blir treningsdataene brukt til å justere vekter. Det kan spørres om en slik treningsprosess egentlig anonymiserer individer i et treningssett på samme måte som statistikk om en større gruppe ikke kan knyttes til individer. Dette ville kunne tilsi at trening av en algoritme ikke behøver noe mer rettslig grunnlag enn det som er nødvendig for anonymisering av de tilsvarende dataene.

    Selv om trening i dag i mange sammenhenger kan lede til anonymisering er det viktig å være bevisst sikkerhetsutfordringer slik som «model-inversion-attack». Dette viser at det i noen sammenhenger kan være mulig å hente ut informasjon om treningsdataen fra en KI-modell, selv om ikke denne nødvendigvis vil være helt tilsvarende treningsdataen.

    I denne forbindelse er det viktig med en «føre-var»-tilnærming. Selv om vi i dag ikke kan hente ut treningsdata fra store nevrale nett, kan det tenkes at dette i fremtiden vil være mulig. Da er det problematisk om store nevrale nett i dag trenes på mange opplysninger under forutsetning av at kun strukturen vil bli med videre og at selve datapunktene vil forbli anonyme.

    KI-systemet benytter informasjon til trening av en KI-modell. Normalt er dette ofte store mengder informasjon. I tillegg til trenger KI-systemet data som input når det skal brukes. Eksempelvis trenger ChatGPT informasjon for å kunne beregne et svar eller et system som predikerer sykefravær trenger informasjon om den eller de som er gjenstand for prediksjonen. Dette er ikke annerledes enn fra tradisjonelle IT-systemer som også bearbeider input i henhold til en algoritme.

    Ved bruke av KI-systemer er det inputen du må ha et særlig forhold til. Hvis du har sittet tett på utviklingen, vil du kjenne til hva som skjer med dataen som benyttes som input. Blir den lagret noe sted, benyttes den til å videre trene KI-modellen, eller blir den borte når resultatet er kalkulert?

    Hvis du ikke har sittet tett på utviklingen, er det grunn til å være varsom. Informasjonen vi «prompter» systemer som eksempelvis ChatGPT med vil kunne benyttes til en rekke formål. Generelt kan vi anta at informasjonen vil på ulike måter bli brukt til å forbedre systemet. Vi anbefaler å vurdere de spesifikke selskapenes personvernerklæring for nærmere vurdere hva som skjer med informasjonen vi benytter til «promting».

    Informasjonen skal bare brukes og ikke lagres

    For det tilfellet at dataene bare holdes i arbeidsminnet på KI-systemet under kalkulering av resultatet, kan det legges til grunn at dataene ikke lagres noe sted. Da behøver du ikke å forholde deg til rettslige krav til lagring. Rent praktisk er det relativt liten risiko dersom dataen kun holdes i arbeidsminnet og deretter blir overskrevet eller blir borte. Rettslig sett er det likevel noen regler som kan stille krav:

    • Personopplysninger: Personvern handler om mer enn konfidensialitet. Det handler også om kontroll. Du må derfor ha et behandlingsgrunnlag for å bruke personopplysninger som input til en KI-modell, selv om personopplysningene forsvinner ved kalkuleringen.
    • Immaterielle rettigheter: Selv om de beskyttede dataene skulle bli borte ved kalkuleringen, blir dataene benyttet til å skape verdi for «outputen»/resultatet. Denne verdiøkningen begrunner hvorfor du ikke kan fritt benytte immaterielt vernede opplysninger som input.
    • Taushetsplikt: Taushetsplikt-regelverket skal sikre konfidensialitet, altså at taushetsbelagt informasjon ikke tilflyter uvedkommende. På dette grunnlaget er det derfor mindre problematisk å bruke taushetsbelagt informasjon som input til en KI-modell så lenge disse opplysningene forsvinner fra arbeidsminnet og ikke lagres.
    • Gradert informasjon: Det bør generelt utvises stor varsomhet ved bruk av gradert informasjon som input til KI-modeller. Dersom det bare er hensynet til konfidensialitet, vil utgangspunktet for taushetsplikt som nevnt i punktet over også gjøre seg gjeldende her. Digitaliseringsdirektoratet anbefaler imidlertid at at gradert informasjon ikke benyttes med mindre du er sikker på at dette er i henhold til rettslige krav.

    Informasjonen skal brukes til å videre trene KI-modellen

    Hvis informasjonen brukes til å videre trene ML-modellen så vil informasjonen som et utgangspunkt endres fra sin nåværende form. Den vil bli benyttet til å justere vekter i ML-modellen og på den måten i utgangspunktet anonymiseres. Som beskrevet over i «Bruk av data for deg som skal utvikle KI-løsninger» finnes det likevel noen risikoer knyttet til slik som «model inversjon attacks».

    Informasjonen skal også lagres

    For det tilfellet at informasjonen også lagres er det ikke noe forskjell på å bruke et KI-system eller et annet IT-system. Alle rettslige krav som påvirker lagring, vil også få betydning her.

    KI-systemet kjører på servere utenfor EU/EØS

    Dersom det aktuelle KI-systemet kjører på servere utenfor EU/EØS og du «prompter» det, vil informasjon bli overført til det landet hvor serverne kjører. For personopplysninger kan dette ha stor betydning da personvernforordningens kapittel V begrenser adgangen til å overføre personopplysninger ut av EU/EØS.

    Likebehandling

    Det er en risiko for diskriminering med bruken av visse KI-systemer. Mange former for kunstig intelligens er i dag trent på store datasett, og slike datasett kan gi uttrykk for mønstre som kan resultere i ulik representasjon eller behandling av ulike grupper eller individer. Dette kan være et resultat av historiske skjevheter, feil i datainnsamling, eller andre faktorer.

    Hvis dataene som brukes til å trene et KI-system gjenspeiler uønskede samfunnsmessige fordommer, kan systemet utilsiktet opprettholde disse fordommene når det tar beslutninger eller gir prognoser. Eksempelvis har visse KI-modeller for ansiktsgjenkjenningsteknologi hatt høyere feilrater for personer med mørkere hudtoner og for kvinner, fordi dataene som ble brukt til å trene teknologien var overveiende satt sammen av lysere personer og menn. Dette kan føre til konsekvenser i virkeligheten, som ulovlig fordeling av ytelser.

    Språkmodeller kan også opprettholde fordommer hvis treningsdataene gjenspeiler samfunnsmessige fordommer. For eksempel, hvis en chatbot er trent på tekst som innholder kjønnsdiskriminerende eller rasistiske mønstre, kan den reprodusere disse fordommene når den samhandler med brukere.

    Bias

    I maskinlæring refererer "bias" til forutsetningene eller antakelsene en modell gjør om dataene den er trent på. Dette kan for eksempel være antakelsen om at alle data kan kategoriseres på en bestemt måte. Høy bias kan bety at modellen systematisk overser visse trekk ved dataene, noe som kan føre til underoptimal ytelse på nye, ukjente data.

    Begrepet "bias" brukes ofte i sammenheng med "varians" i maskinlæring. Varians refererer til hvor mye en modell endrer seg basert på ulike treningsdata. Høy varians kan tyde på at modellen overtilpasser seg til det spesifikke treningsdatasettet, noe som gjør den mindre robust overfor nye, usette data. Dette innebærer at selv små avvik fra treningsdataen kan redusere modellens ytelse betydelig.

    Innenfor maskinlæring brukes "bias-variance trade-off" til å beskrive avveiningen mellom disse to modellfeilene. En modell med høy bias gjør systematiske feil uavhengig av treningsdataen, mens en modell med høy varians er svært sensitiv for variasjon i treningsdataen. Ideelt sett ønsker vi å minimere begge typer feil, men i praksis kan det være en avveining. Reduksjon i den ene kan ofte føre til økning i den andre.

    I en bredere kontekst, spesielt i dagligtalen, brukes "bias" også for å beskrive uønskede skjevheter og mønstre i datasett som kan være et resultat av historiske skjevheter, feil i datainnsamling, eller andre faktorer.

    Det er mange begreper rundt kunstig intelligens. Teknologirådet har samlet de viktigste i en ordliste for kunstig intelligens.

    Diskriminering er uønsket i samfunnet og er derfor forbudt i norsk rett. Dette er et viktig utgangspunkt ved utvikling og bruk av kunstig intelligens. Forskjellsbehandling kan være tillatt på visse vilkår, og KI-systemer kan derfor målrette tiltak og fordele goder, så lenge skjer i henhold til regler for lovlig forskjellsbehandling.

    Selv om det er en risiko for diskriminering ved bruk av kunstig intelligens, er det viktig å merke seg at kunstig intelligens også kan bidra til å sikre likebehandling og redusere menneskelig bias. KI-systemer kan behandle og analysere store mengder data effektivt og nøyaktig, noe som overgår hva mennesker klarer. Systemene kan eksempelvis holde oversikt over et stort antall saker, noe som kan sikre likebehandling der mennesker kan miste oversikten eller bli påvirket av skjevheter i sin vurdering.

    • For eksempel kan et KI-system brukes innenfor rettssystemet for å hjelpe dommere med å ta beslutninger basert på konsistente kriterier og tidligere dommer, bidra til å redusere menneskelig fordommer og sikre mer rettferdige utfall.
    • Et annet eksempel kan være en HR-avdeling som bruker et KI-system til å skanne CV-er for relevante kvalifikasjoner og erfaringer, noe som kan redusere risikoen for diskriminering basert på irrelevante personlige egenskaper som navn eller alder.

    Med muligheten til å behandle enorme mengder informasjon, kan kunstig intelligens altså fungere som et effektivt verktøy for å støtte likebehandling og rettferdighet i mange forskjellige situasjoner.

    Regler og fagmyndigheter for likestilling og diskriminering

    Det er flere lover som regulerer likestilling og diskriminering. På et overordnet nivå finner vi Grunnloven § 98 og Den europeiske menneskerettskonvensjon artikkel 14. Den sentrale loven er likestillings- og diskrimineringsloven som oppstiller i § 6 et forbudt mot diskriminering på grunn av “kjønn, graviditet, permisjon ved fødsel eller adopsjon, omsorgsoppgaver, etnisitet, religion, livssyn, funksjonsnedsettelse, seksuell orientering, kjønnsidentitet, kjønnsuttrykk, alder eller kombinasjoner av disse grunnlagene

    Likestillings- og diskrimineringsombudet (LDO) er den sentrale fagmyndigheten på spørsmål om likestilling- og diskriminering. Ta kontakt med dem for råd om hvordan dere kan etterleve likestillings- og diskrimineringsregelverket. LDO lanserte den 8. november 2023 en veileder for innebygd diskrimineringsvern. Denne gir viktige råd for å avdekke og forebygge diskriminering i utvikling og bruk av kunstig intelligens.

    Likestillings- og diskrimineringsombudet lanserte den 8. november 2023 en veileder for innebygd diskrimineringsvern. Veiledningen gir viktige råd for å avdekke og forebygge diskriminering i utvikling og bruk av kunstig intelligens fordelt på fem faser:

    1. Planlegging
    2. Treningsdata
    3. Modellutvikling
    4. Testing
    5. Implementering

    Vi anbefaler denne veiledningen som et verktøy for å sikre likebehandling ved utvikling av kunstig intelligens

    Det første du kan gjøre for sikre likebehandling ved bruk av KI-løsninger er å erkjenne at diskriminering kan skje. Skjevheter i data sitter dypt. Selv om datasettene som er benyttet til trening av den underliggende maskinlæringsmodellen ikke inneholder felter som direkte kan lede til diskriminering, slik som kjønn og religion, kan andre datafelter og strukturer gi uttrykk for disse elementene og dermed indirekte lede til diskriminering. Et fiktivt eksempel på dette er følgende:

    En offentlig myndighet skal utvikle og bruke et system for å avgjøre hvor strømnettet først bør oppgraderes. Et relevant datapunkt i denne sammenhengen vil kunne være hvor det brukes mest strøm. Samtidig kan antas at personer med høy inntekt bruker mest strøm, hvilket igjen kan preferere en viss del av befolkningen.

    Ved erkjenne at diskriminering kan skje har du et bevisst forhold til denne risikoen. Det gir et godt grunnlag for å vurdere størrelsen på risikoen og om det er nødvendig med risikoreduserende tiltak. Likestillings- og diskrimineringsombudet lanserte den 8. november 2023 en veileder for innebygd diskrimineringsvern. Veiledningen gir viktige råd for å avdekke og forebygge diskriminering i utvikling og bruk av kunstig intelligens og kan være et viktig verktøy for deg som skal bruke kunstig intelligens.

    Forskjellsbehandling kan være tillatt, så lenge dette skjer i tråd med reglene for lovlig forskjellsbehandling, slik som likestillings- og diskrimineringslovens § 9. Forbudet mot diskriminering behøver derfor ikke å til hinder for legitim målretting av ytelser og tiltak på bakgrunn grunnlag som nevnt i likestillings- og diskrimineringslovens § 6.

    Åpenhet og forklarbarhet

    Åpenhet er et helt sentralt element i en rettsstat. Åpenhet er nødvendig for å skape tillit til forvaltning, særlig når det tas i bruk nye systemer som KI. En åpen avgjørelse gjør det mulig å vite om avgjørelsen var rettferdig og gjør det mulig å klage. Mange regelverk stiller krav til åpenhet og forklarbarhet. I offentlig sektor krever forvaltningsloven at enkeltvedtak skal kunne begrunnes og at begrunnelsen viser til reglene og faktiske forhold. Hvis du bruker personopplysninger er det videre et krav til åpenhet og informasjonen som skal formidles til de som det brukes opplysninger om.

    Åpenhet og forklarbarhet ved KI er et særlig viktig tema. Derfor har vi også laget en egen side om dette:

    Åpenhet og kunstig intelligens

    Hvis du skal utvikle eller bruke et KI-system, bør du vurdere om systemet skal brukes på en slik måte at disse kravene kommer til anvendelse. Kravet til åpenhet innebærer blant annet åpenhet om bruken av KI og formålet og begrensninger som er nødvendige for å muliggjøre meningsfulle valg og ivareta menneskelig autonomi.

    Forklarbarhet brukes ofte i forbindelse med kunstig intelligens og referer til utfordringer KI-systemer kan ha i forbindelse med åpenhet. For visse KI-systemer kan det være utfordrende å få en god forklaring på hvorfor systemet gjorde som det gjorde. Systemene kan fremstå som med en «sort boks».

    Hva mener vi med "Sort boks"?

    "Sort-boks"-problemet refererer til vanskeligheten med å forstå og tolke arbeids- og beslutningsprosessene til noen KI-systemer. KI-systemer som er designet som "svarte bokser" har en ugjennomsiktig indre struktur, noe som betyr at deres beslutningsprosesser ikke er gjennomsiktige og ikke lett forstås eller forklares av mennesker. Dette kan gjøre det vanskelig å bestemme hvordan KI-systemet kom til en bestemt avgjørelse, noe som kan gi bekymringer om rettferdigheten, ansvarligheten og påliteligheten til KI-systemer i applikasjoner der disse faktorene er viktige.

    Det er imidlertid viktig å understreke at dette først og fremst er et praktisk problem. Problemet ligger i at det kan være vanskelig å gi den nødvendige informasjonen. Det er ikke sikkert at det er noe galt med KI-systemet, det er bare ikke mulig å kontrollere hvorvidt det er tilfellet. Dette betyr samtidig at dersom det blir utviklet teknologi som kan gi denne informasjonen, legger ikke begrunnelses- eller innsynskrav begrensninger.

    I tillegg til at visse systemer kan være vanskelig å forklare fordi de er en «sort boks», er det også relevant å spørre hvilken type informasjon som er relevant å motta. Komplekse matematiske forklaringer eller kildekode er ikke nødvendigvis det innbyggerne trenger, men kan være nødvendig for å utvikle og vedlikeholde KI-systemer. Informasjonen bør derfor tilpasses mottakeren, og hvilken informasjon som gis bør ta utgangspunkt i hva som er formålet med informasjonen:

    • Gjøre det lettere for innbyggerne å håndheve sine rettigheter og vurdere om bruken eller utfallet av KI-systemet er rettferdig
    • Bidra til bedre utvikling og vedlikehold av KI-systemet

    Det foregår mye forskning på området «forklarbar KI» («Explainable AI») som tar sikte på å gjøre «sort-boks» algoritmer forståelig. Dette er ikke det samme som å publisere koden bak algoritmen, eller å gi innsyn i fullstendige treningsdatasett. Forklarbar KI kan gi innsikt i hvilke elementer som har hatt betydning for resultatet, og hvor stor betydning de ulike elementene har hatt, for slik å forklare logikken bak resultatet. Det kan være hensiktsmessig å se på om det er mulig å ta i bruk slike løsninger:

    På siden "Åpenhet og kunstig intelligens" kan du lese mer om kravene til åpenhet og ulike teknikker som kan bidra til at maskinlæringsmodeller i større grad blir forklarbare.

    Dersom det ikke er rettslige eller sikkerhetsmessig begrensninger for å utvikle med åpen kildekode og å publisere treningsdataene, oppfordrer vi til å gjøre det. Mest mulig åpenhet er en god ting!

    Dersom det ikke er rettslige eller sikkerhetsmessig begrensninger for å publisere algoritmen og treningsdataene, oppfordrer vi til å gjøre det. Mest mulig åpenhet er en god ting!

    Overfor en innbygger vil det imidlertid sjelden være hensiktsmessig å gi innsyn i algoritmen slik den er skrevet som programkode. Før du tar i bruk kunstig intelligens, er det viktig å klargjøre hvilke krav til åpenhet som gjelder på ditt område.

    • Skal modellen brukes til å treffe enkeltvedtak stiller forvaltningsloven klare krav til begrunnelse.
    • Hvis du bruker personopplysninger, stiller blant annet personvernforordningen art. 5 (1) a og artikkel 15 nr. 1 bokstav h krav om transparens.

    Felles for disse kravene er at innbyggeren skal kunne forvisse seg om at hens sak og bruken av hens opplysninger har skjedd i tråd med regelverket. Videre skal også innbyggeren kunne settes i stand til å klage på vedtaket eller behandlingen av opplysningene.

    Sikkerhet

    Begrepet sikkerhet i forbindelse med kunstig intelligens omhandler blant annet informasjonssikkerhet, menneskers sikkerhet og trygg bruk av KI.

    KI systemer skal ikke være til skade for mennesker. For å forebygge skade må KI løsninger være teknisk sikre og robuste, sikre mot manipulasjon eller misbruk av systemet og være designet og gjennomført slik at de tar særlig hensyn til sårbare grupper. Kunstig intelligens skal være bygget på systemer med teknisk robuste løsninger som forebygger risiko og som bidrar til at systemene fungerer slik de er tiltenkt.

    Informasjonssikkerhet handler om hvordan informasjonen blir beskyttet mot uønsket innsyn (konfidensialitet), at informasjonen er tilgjengelig når det er ønsket (tilgjengelighet) og at informasjonen er beskyttet mot manipulering (integritet). Videre forutsetter god informasjonssikkerhet også at organisasjonen og systemene er motstandsdyktige, og evner å gjenopprette normaltilstand ved hendelser (robusthet). Teknisk robusthet er også viktig for systemenes nøyaktighet, pålitelighet og etterprøvbarhet.

    Bruk og utvikling av kunstig intelligens bør generelt skje i henhold til beste praksis for informasjonssikkerhet. Det kan være hensiktsmessig å se til informasjonssikkerhetsmiljøene hos veletablerte aktører som Digitaliseringsdirektoratet og Nasjonal Sikkerhetsmyndighet og se på deres vurderinger og veiledninger på området. Der KI bygger på personopplysninger, stiller i også personvernforordningen krav til sikkerhetstiltak, jf. artikkel 5 (1)(f) og artikkel 32 (1). For spørsmål om personopplysningssikkerhet er Datatilsynet relevant fagmyndighet.

    Spesifikke verktøy for informasjonssikkerhet og KI

    NCSC retningslinjer for sikker systemutvikling av KI

    Myndigheter fra 18 land, inkludert Norge, har utarbeidet et sett med retningslinjer for sikker utvikling av KI-systemer. som ble offentliggjort den 27. november. Initiativet ble ledet av Storbritannias nasjonale cybersikkerhetssenter (NCSC). Retningslinjene tilbyr praktiske metoder for hvordan KI-systemer kan utvikles for å sikre deres funksjonalitet, beskytte sensitive data, og motstå informasjonssikkerhetsangrep. Disse inkluderer utfordringer som datapoisoning og prompt injection attacks, og skisserer frivillige standarder for utvikling, distribusjon og vedlikehold av KI-systemer med informasjonssikkerhet i fokus.

    OWASP veiledning for spesifikke KI-sikkerhetsutfordringer

    OWASP er kjent for sin topp 10-liste over de største sikkerhetsrisikoene i programvare. De har også laget en veiledning for AI-sikkerhet og personvern. Veiledningen gjennomgår ulike sikkerhetsrisikoer ved bruk av AI, samt noen spørsmål knyttet til personvern. Spørsmålene knyttet til personvern er noe mer teknisk og sikkerhetsfaglig rettet enn typiske personvernveiledere.

    Når du utvikler KI-løsninger, bør du sørge for at du følger beste praksis knyttet til informasjonssikkerhet. Du som utvikler må også vurdere om det er særlige trusler eller sårbarheter knyttet til bruken av KI. OWASP trekker særlig frem følgende AI-modell-spesifikke trusler:

    • Angrep knyttet til endring og manipulering av treningsdata og input-data («Data poisoning attack» og «Input manipulation attack»)
    • Avdekking av tilhørighet i treningsdata («Membership inference attack»)
    • Modellinverteringsangrep, angrep som gjør det mulig å hente ut treningsdata fra en KI-model («Model inversion attack»)
    • Stjeling av KI-modeller («Model theft»)
    • Angrep på forsyningskjeden («Model supply chain attack»)

    NCSC retningslinjer for sikker KI-systemutvikling er pr. desember 2023 en av de mest oppdaterte settet med retningslinjer for informasjonssikkerhet og kunstig intelligens. NCSC, sammen med bidragsyterne fra 18 andre land, herunder NSM fra Norge, oppfordrer alle interessenter (inkludert dataforskere, utviklere, ledere, beslutningstakere og risikoeiere) til å lese disse retningslinjene for å hjelpe dem med å ta informerte beslutninger om utforming, utvikling, implementering og drift av sine AI-systemer.

    Det er viktig at du har oversikt over hvilke risikoer som er knyttet til bruken av KI-systemet og opplysningene som behandles, slik at det kan iverksettes passende sikkerhetstiltak. Slike risikovurderingen må gjøres før KI-systemer tas i bruk, men også fortløpende ettersom bruken kan utvikle seg eller medføre uforutsette problemstillinger.

    Det finnes anerkjente standarder som angir beste praksis for å oppfylle krav knyttet til administrasjon av informasjonssikkerheten, eksempelvis NS-EN ISO/IEC 27001 og NS-ISO/IEC 27002. Du finner mer veiledning knyttet til informasjonssikkerhet her: Informasjonssikkerhet | Digdir. Digitaliseringsdirektoratet har også et nettverk for informasjonssikkerhet for offentlige ansatte hvor du kan få hjelp til arbeidet med informasjonssikkerheten: Nettverk for informasjonssikkerhet - NIFS | Digdir.

    NCSC retningslinjer for sikker KI-systemutvikling er pr. desember 2023 en av de mest oppdaterte settet med retningslinjer for informasjonssikkerhet og kunstig intelligens. NCSC, sammen med bidragsyterne fra 18 andre land, herunder NSM fra Norge, oppfordrer alle interessenter (inkludert dataforskere, utviklere, ledere, beslutningstakere og risikoeiere) til å lese disse retningslinjene for å hjelpe dem med å ta informerte beslutninger om utforming, utvikling, implementering og drift av sine AI-systemer.

    Personvern

    Utvikling eller bruk av kunstig intelligens som innebærer behandling av personopplysninger, skal ivareta personvernet. Personvernlovgivningen har flere bestemmelser som er aktuelle for bruken av kunstig intelligens. På et overordnet nivå finner vi Grunnlovens § 102 og Den europeiske menneskerettskonvensjon artikkel 8. I tillegg er personvernforordningen et helt sentralt regelverk.

    Personvernlovgivningen gjelder for alle som skal behandle personopplysninger, både offentlige og private. Forordningen har flere bestemmelser og prinsipper som setter klare rammer for systemer som skal behandle personopplysninger. Personvernforordningen inneholder seks personvernprinsipper som gir generelle retningslinjer for behandling av personopplysninger.

    Datatilsynet er den sentrale veilendingsmyndigheten for personopplysningsloven. De har en sandkasse for kunstig intelligens som du kan lese mer om her: Sandkassesiden | Datatilsynet. De har i tillegg flere veiledninger som er relevante for KI som benytter personopplysninger:

    Dataminimeringsprinsippet i personvernforordningen er særlig relevant for deg som skal utvikle KI-løsninger. Behandlingen av data skal begrenses til det som er nødvendig for å oppnå formålet med behandlingen. Behovet for store mengder data ved utvikling av KI avgjørende kan komme konflikt med prinsippet om dataminimering. Som utvikler må du derfor vurdere hvor mye data som er nødvendig for å nå målet med behandlingen, og unngå å bruke mer data enn dette.

    Det er formålet med behandlingen av personopplysninger som setter rammen for hvor mye data som er nødvendig. Dette vil si at det i noen tilfeller er nødvendig med store mengder data, og det kan være i tråd med dataminimeringsprinsippet.

    Teknikker slik som «retningslinjer for skalering», føderert læring og syntetiske data kan bidra til å ivareta dataminimeringsprinsippet.

    Retningslinjer for skalering scaling laws») kan brukes til å iterativt vurdere hvordan mer data vil påvirke modellen, og hvor mye data som trengs for å oppnå det ønskede presisjonsnivået. Retningslinjer for skalering kan beskrive forholdet mellom noen maskinlæringsarkitekturer og andre parametere, for eksempel datamengde. Det har blitt foreslått som en mulig løsning på dataminimeringsutfordringen for visse modeller.

    Du kan lese mer om bruken av retningslinjer for skalering i forbindelse med dataminimeringsprinsippet her: Learning to Limit Data Collection via Scaling Laws: A Computational Interpretation for the Legal Principle of Data Minimization (arxiv.org).

    Føderert læring kan bidra til å redusere datasensitiviteten og mengden av data den enkelte utvikler trenger. Føderert læring gjør det mulig å lære fra “big data” uten å nødvendiggjøre datadeling. Dette kan gjøre det mulig å trene KI-modeller på mye og sensitiv data ved å redusere de regulatoriske og praktiske hindringene.

    Føderert læring er en kollaborativ prosess der utviklere kan trene algoritmer på flere datasett uten å måtte dele disse mellom seg. Hver utvikler laster ned modellen fra skyen og trener modellen på sitt datasett, og oppsummerer og krypterer modellens nye sammensetting. Så sendes modellen kryptert tilbake for å bli innarbeidet i den sentraliserte modellen. Slik vil modellen utvikle seg over ulike datasett uten å nødvendiggjøre datadeling på en større skala. Det finnes hovedsakelig tre former for føderert læring:

    • Horisontal føderert læring: Modellen trenes på lignende datasett
    • Vertikal føderert læring: Modellen trenes på ulike, men komplementære datasett
    • Føderert “transfer” læring: Det tas utgangspunkt i en modell som er trent for å utføre en oppgave og trener den på en ny type data for å lære den å gjøre noe nytt

    Syntetiske data er kunstige datapunkter generert av en maskinlæringsmodell. De syntetiske dataene er ikke personopplysninger og påvirkes ikke av kravet til dataminimering.

    Personvernforordningen stiller også krav til innebygd personvern. Dette vil si at KI-løsningene fra start skal ha personvernsmekanismer innebygget. Utviklerne står nærmest til å gjennomføre dette i systemet. Det kan bidra til økt effektivitet og lønnsomhet, og kan være et konkurransefortrinn fordi brukere også har ansvar for å ta i bruk løsninger med innebygd personvern. Du kan lese mer om et konkret tilfelle her: Simplifai og NVE, sluttrapport: Digital medarbeider | Datatilsynet

    Personvernforordningen gir deg en rekke plikter dersom du er ansvarlig for behandling av personopplysninger. Se nærmere på denne siden hos Datatilsynet for en oversikt. Virksomhetenes plikter | Datatilsynet. For bruk av kunstig intelligens, er det særlig grunn til å trekke frem:

    • Formål med behandlingen: Du må ha et formål med behandlingen, og behandlingen må som hovedregel begrenses til det formålet. Dette formålet kan godt gi grunnlag for flere forskjellige relaterte behandlinger, men du bør være varsom med å definere et enkelt bredt formål for å kunne gjennomføre diverse behandlingsaktiviteter som i realiteten ikke er tett knyttet til formålet. Hvis du bruker ett overordnet formål, som forutsetter flere underliggende behandlinger, kan du gi den registrerte trinnvis informasjon om behandlingen. Dette vil si at du kan gi den registrerte informasjon om det overordnede formålet i det første laget med informasjon, og ytterligere informasjon om underliggende formål kan komme i et senere lag som den registrerte kan trykke seg videre inn på. Du kan lese mer om dette i sluttrapporten fra Datatilsynet (se lenken i neste punkt).
    • Andre forenelige formål: Personopplysninger kan behandles videre til andre formål, så lenge de er forenelige med det opprinnelige formålet. Dette vil si at du kan bruke personopplysningene på litt andre måter enn først tiltenkt, så lenge det er en naturlig forlengelse av hva opplysningene ble samlet inn for eller hvis det var en forutsigbar behandling ved innsamlingstidspunktet. Hvis du vil lese en forenlighetsvurdering kan du se her: Ruter, sluttrapport: I rute med kunstig intelligens | Datatilsynet.
    • Automatiserte avgjørelser: Vær bevisst hvordan du bruker den aktuelle KI-modellen. Personvernforordningens artikkel 22 stiller ytterligere krav til situasjoner hvor personopplysninger skal benyttes til helautomatiserte avgjørelser og profilering.

    Digital inkludering

    Kunstig intelligens har et stort potensial til å kunne forenkle og effektivisere innbyggeres og arbeidstakeres hverdager. Dette gjør samtidig at følgene av å ikke kunne benytte seg av KI-systemer kan bli tilsvarende store. Derfor er det avgjørende med en tilnærming til digital inkludering, som sikrer at KI-systemer er intuitive, brukervennlige og tilgjengelige for alle, uansett alder, funksjonsevne eller digital dyktighet.

    Web Content Accessibility Guidelines (WCAG) er en sentral ressurs for å utforme tilgjengelige KI-systemer. WCAG er en stort sett teknologinøytral standard, som fremmer prinsipper som også gjelder KI-produkter. Du finner en beskrivelse av denne standarden her.

    Brukertesting er et nøkkelverktøy for å oppnå tilgjengelighet. Ved å engasjere et mangfoldig spekter av brukere i utviklings- og implementeringsprosessen, kan vi bedre forstå og imøtekomme ulike behov. Dette vil også kunne bidra til å belyse om det finnes skjevheter i treningsdataen KI-systemet er bygget på. Hvis KI-systemer trenes på data som ikke reflekterer de som vil bruke eller påvirkes av systemet kan det føre til at enkelte grupper utelukkes fra å dra nytte av teknologien.

    KI-systemer bør utformes for å være tilgjengelige for personer med ulike behov, inkludert de med nedsatt syn eller hørsel, kognitive utfordringer, og de som benytter alternative inndata-metoder. Dette kan omfatte implementering av funksjonaliteter som tekst-til-tale, tydelige visuelle hjelpemidler, og støtte for skjermleseprogrammer.

    Til slutt er det viktig å huske at KI også kan benyttes til å forbedre digital inkludering ved å fjerne eksisterende hindringer. Eksempelvis kan KI-systemer generere tekst-til-tale eller bilde-til-lyd for synshemmede, foreslå handlinger basert på tidligere brukerinteraksjoner for å forenkle navigasjon, eller tilpasse brukergrensesnittet basert på individuelle brukerpreferanser for å øke tilgjengelighet.

    1. Utvikle systemet i tråd med WCAG-retningslinjer: WCAG er hovedsakelig rettet mot utviklere, da de står nærmest til å implementere retningslinjene i systemet. Utviklere har ansvaret for å implementere løsninger som oppfyller minstekravene, men både UX-designere og innholdsredaktører må bidra med tilpasninger som er i samsvar med WCAG.

    1. Utvikle tilgjengelige grensesnitt: Utviklingen av grensesnittet bør vies særlig oppmerksomhet, da dette kan anses som en av de første store hindrene for tilgjengelighet.

    1. Bruk mangfoldig treningsdata: Ved trening av KI-systemet bør det brukes mangfoldig treningsdata som er representativ for den tiltenkte sluttbrukergruppen.

    1. Velg tilgjengelige systemer: Ved valg av KI-systemer, bør tilgjengelighet være et sentralt kriterium. Når du skal vurdere om et KI-system er utviklet på en tilgjengelig måte kan du blant annet undersøke om nyeste versjon av WCAG retningslinjene er fulgt og om systemet har blitt testet på en relevant brukergruppe.

    1. Opplæring og brukerstøtte: Brukere bør sørge for at personalet som vil bruke systemet forstår det godt, er klar over dets tilgjengelighetsfunksjoner og at de kan yte brukerstøtte for brukere som har spørsmål eller vanskeligheter.