KI-kunnskap, Meta-skepsis, GDPR og annet nytt fra den siste uken eller tre

Ny klage fra noyb

Ubisoft er selskapet som står bak de nevnte spillene, og flere til. For å spille disse spillene, selv som single-player – må man koble til internett. Selv om spillene visstnok ikke har noen online-features. (Nydelig norsk språk, der..)

Årsaken skal være at Ubisoft kan registrere spillerens interaksjon med spillet. En bruker klaget på dette og viste til dataminimaliseringsprinsippet. Ubisoft skal ikke ha klart å svare på hvorfor de vil vite når en spiller starter og stopper et spill og hvor lenge en sesjon varer. Brukeren fant ut at under en spillesesjon på 10 minutter, sendte Far Cry meldinger til eksterne servere 150 ganger. I øvrig er påstandene omtrent som vanlig – for mye data samles inn, berettiget interesse brukes om grunnlag når noyb mener det ikke er nødvendig, informasjon fra selskapet er for vanskelig å få tak i, etc. noyb har klaget til det østerrikske datatilsynet på vegne av brukeren og har som vanlig bedt om bøter. Ubisofts omsetning oppgis å være over 2 milliarder euro, noe som kan gi en bot på ca 92 millioner euro. Den lander neppe der.

---

Lagmannsrettsdom om innsynsrett – tar lagmannsretten hensyn til EU-rettskilder?

A og B er foreldre til et barn med en nyrelidelse, og konflikten startet da en legevakt sendte en bekymringsmelding til barnevernet etter et besøk i 2018. A og B ba om innsyn i pasientjournalen, inkludert navnet til helsepersonellet som hadde skrevet notatet. De fikk til slutt utlevert journalen, men bare med initialer på den som hadde skrevet den, og kommunen nektet videre å oppgi det fulle navnet. Statsforvalteren mente at A og B hadde rett på innsyn i helsepersonellets identitet, men kommunen fulgte ikke opp vedtaket.

Tingretten ga A og B medhold og slo fast at kommunen måtte oppgi navnet, mens kommunen anket saken videre. Kommunen hevdet at pasientjournalen bare måtte inneholde opplysninger om barnet, og at identiteten til helsepersonellet ikke var en del av selve journalen. De viste også til at arbeidsmiljøhensyn og hensynet til å beskytte ansatte kunne begrunne unntak fra innsyn. A og B argumenterte på sin side for viktigheten av å vite hvem som hadde skrevet journalen, blant annet for å kunne vurdere kvalifikasjoner og mulige interessekonflikter.

I en avgjørelse fra mai, var lagmannsrettens dommere uenige. Flertallet kom til at pasient- og brukerrettighetsloven § 5-1 ikke gir et selvstendig krav på å få vite navnet når journalen kun viser initialer, og at innsynskravet derfor var oppfylt. Mindretallet mente derimot at loven forutsetter fullt navn på den som fører journalen. Resultatet ble at kommunen ble frikjent for kravet om å utlevere navnet, og hver av partene måtte dekke sine egne saksomkostninger.

Lagmannsretten viste til personvernforordningen (GDPR) og EU-domstolens sak C-579/21 (“Pankki”), som omhandler retten til innsyn i egne personopplysninger. Dommen skriver:

«Innsynsretten korresponderer med retten etter pasient- og brukerrettighetsloven og helsepersonelloven. Det er derfor ingen motstrid mellom norsk rett og EU-rett, bortsett fra at norsk rett synes å gi et videre innsyn i logg, jf. pasientjournalforskriften § 14 sammenlignet med C-579/21 (Pankki). Dette faller utenfor rammene av denne saken.»

Dette er eneste stedet dommen henviser til Pankki-dommen. Pankki-saken er sammensatt (og den henger sammen med Østerrichske post-saken også) , men enkelt sagt fastslår den at selv om en ansatt ikke anses som «mottaker» etter artikkel 15(1), har den registrerte rett til å vite identiteten til de ansatte som utførte konsultasjonene under den behandlingsansvarliges myndighet og i samsvar med dennes instrukser, når denne informasjonen er essensiell for at den registrerte effektivt skal kunne utøve sine rettigheter under GDPR og forutsatt at de ansattes rettigheter og friheter blir tatt i betraktning. 

Det hadde vært fint om lagmannsretten hadde vurdert disse kriteriene, uansett hva utfallet ville bli for selve saken. I Norge skal vi selvfølgelig vektlegge våre rettskilder, men vi har en forpliktelse også til å vektlegge og tolke praksis som er GDPR-relevant. 

---

Kort om tredjelandsoverføringer, en ICC-aktor og exit-strategier

Det irske datatilsynet DPC er ikke helt tannløst, selv om mange har ment det. Som det har vært skrevet mye om i media, ga de nylig en bot til TikTok på ca 530 millioner euro. Saken dreier seg om hvorvidt TikTok overførte personopplysninger til Kina eller ikke. Det viser seg at de gjorde det. 

Innledningsvis påsto TikTok at de ikke overførte brukeres personopplysninger til Kina, men etter hvert kom det likevel frem at dette var skjedd. Personopplysninger om europeere var sendt til servere i Kina. DPC mente at TikTok ikke hadde fattet tilstrekkelige tiltak form å beskytte informasjonen i henhold til kapittel 5 om overføringer i GDPR. Heller ikke personvernerklæringen beskrev overføringen, noe den skulle ha gjort. Her hjemme har vår digitaliseringsminister gått sterkt ut i media og ment at dette er alvorlig. 

Det er ikke så mange som overfører store mengder personopplysninger til Kina, så saken er nok ikke relevant for veldig mange. Men regn med at det blir mer oppmerksomhet på tredjelandsoverføringer fremover. 

Trump gjør ikke ting enklere på dette området. Tidligere i år sanksjonerte han sjefsanklager Karim Kahn ved Den internasjonale straffedomstolen (ICC) fordi Trump ikke liker en sak Kahn fører. Nylig var ikke Kahns profesjonelle Outlook-konto lenger tilgjengelig for Kahn og det er jo upraktisk. De to faktaene er på en eller annen måte koblet sammen, men få vet nøyaktig hvordan. Microsoft sier ikke mye om hendelsen og det er for øyeblikket uklart om det var Microsoft som stengte Kahn ute – eller om det var noen andre. Kanskje vi aldri vil få vite det heller. Men anklageren har ikke lenger en profesjonell ICC Outlook-konto. Han har tilsynelatende byttet til epost fra sveitsiske Proton.

Jeg har ikke en oversikt over alle de juridiske spørsmålene i saken med Kahn, Microsoft og Trump/USA, og de er usannsynlig å bli kjent. Jeg antar at dette ikke er et Cloud Act-problem, men et sanksjonsspørsmål hvor Microsofts juridiske handlingsrom sannsynligvis er svært begrenset. Microsoft sier at de ikke kan kommentere saken, men de understreker at de ikke har stengt ned e-postene til hele ICC. Noe som er bra, på en rar måte. Det er jo høyst uvanlig at en leverandør må understreke at de ikke har stengt en kunde ute.

Å forhindre advokater fra å gjøre jobben sin og sanksjonere dem for det, står i sterk kontrast til hvordan de fleste europeere ser på grunnleggende verdier i et demokratisk samfunn.

Dette er likevel sannsynligvis et ekstremt tilfelle og ikke noe Trump har til hensikt å utvide til andre områder, så det gjennomsnittlige selskapet trenger nok ikke å bekymre seg for å miste tilgangen til tjenester fra amerikanske leverandører. Jeg tror vi kan tone ned risikoen for de fleste selskaper, men det er grunn til å bruke utestemme om demokratiske prinsipper og ytringsfrihet. Det kompliserer også hvilke faktorer som må inkluderes i våre GDPR-vurderinger fremover. Det handler ikke bare om mangel på konfidensialitet, men også om tilgjengelighet til ens egne data.

Jeg registrerer likevel at temaet exit-strategier tas opp av stadig flere. Og interessen for å ha en back-up av egne data innenfor EU oppgis å øke ekstremt.

Saken om Kahn har vært en snakkis i it-miljøet en stund, men har først nylig blitt omtalt i andre media. Se denne kronikken fra Olav Lysne og flere i Simula i Dagens næringsliv. 

En annen kommentar om saken finner du i denne artikkelen i digi.no. 

En gladnyhet på overføringsfronten er at Storbritannia har beholdt sin status som et godkjent land å overføre til. Godkjenningen er forlenget ut året, i påvente av at Storbritannia reviderer sin personvernlovgivning. Hvordan Storbritannia vurderes etter dette, er likevel ganske uavklart ettersom det er innført lover som gir myndighetene vid adgang til borgernes data. 

---

Forenklinger i GDPR(?)

Det er mange gode grunner til at man kan ønske å forenkle GDPR. Samtidig har det blitt skrevet at «det er liten appetitt» i EU for å gjenåpne GDPR. Men så skjedde det likevel at det kommer forslag om forenklinger. 

Da GDPR ble lansert, var et av slagordene fra EU at det skulle «cut red tape» – ved at selskaper slapp å forholde seg til hvert enkelt medlemslands datatilsyn. Det er nok få som synes at det ble lite «red tape» i GDPR, slik regelverket ble og slik det blir praktisert. Nå dukker slagordet opp igjen – på helt generelt nivå ønsker EU å forenkle mye av sitt regelverk. Vi trenger ikke gå inn på den geopolitiske situasjonen, men det er et bredt bakteppe her og engstelse for europeisk konkurranseevne. Det er lansert flere såkalte Omnibus forenklingspakker med et overordnet mål om å redusere administrative kostnader med 25%. Det er ganske mye. Forenklingen av GDPR er knyttet til Omnibus IV.   

Kommisjonen fremla den 21. mai innholdet i Omnibus IV der de oppretter en ny kategori for såkalte Small Mid-Cap Companies (SMC). Disse skal får unntakene som i dag gis små og mellomstore bedrifter. Kategorien defineres som selskaper med 250 til 750 ansatte, med enten 150 millioner euro i omsetning eller opptil 129 millioner euro i eiendeler. Anslagsvis tror EU at dette gjelder 38 000 virksomheter i EU. Pakken gjelder ikke bare GDPR, men også andre regelsett som vi ikke kommer inn på her. Vedrørende lettelser av regler i GDPR, så er det kun forpliktelsen til å vedlikeholde en artikkel 30-protokoll som berøres. Mange hadde nok ønsket at Kommisjonen hadde gått mye lenger. 

Det nye forslaget begrenser dessuten føringen av artikkel 30-protokoll til tilfeller hvor den aktuelle behandlingen «sannsynligvis vil medføre høy risiko for de registrertes rettigheter og friheter». Dette innebærer at SMCs bare skal føre artikkel 30-protokoll der behandlingsaktiviteter har en potensielt høy risiko, for eksempel behandling av særlige kategorier personopplysninger i stor skala eller andre aktiviteter som typisk krever risikoanalyse eller personvernkonsekvensvurdering.

Tidligere har man sagt at selv om det er et unntak i artikkel 30 for smb’er med under 250 ansatte, så har dette unntaket har i praksis ikke fungert for mange fordi det samtidig krevdes at det ikke skulle være noen risiko eller behandling av særskilte kategorier personopplysninger. 

Nå kan dette bli annerledes fordi man kreve at det skal være en «høy risiko» for at hovedregelen skal gjelde. Dessuten foreslås inntatt en presisering av at behandling av særskilte kategorier i ansettelsesforhold ikke skal anses som en høy risiko. Det er en helt reell forskjell og betydelig forenkling. 

Forslaget har vært på høring hos EDPB og EDPS, som har uttalt seg positivt. De skriver at de gir foreløpig støtte til forenklingsinitiativet, med tanke på at dette ikke ville påvirke plikten til behandlingsansvarlige og databehandlere til å overholde andre GDPR-forpliktelser. 

Du kan lese deres innspill her: Simplification of record-keeping obligation: EDPB and EDPS adopt letter to EU Commission

Kommisjonen understreker samtidig at øvrige GDPR-plikter – som ansvarlighet, lovlig behandlingsgrunnlag og krav til informasjonssikkerhet – fortsatt gjelder i sin helhet, og at endringene kun berører selve føringen av behandlingsprotokoller. 

Det er fristende å spørre om det blir lettere for bedriftene å overholde de andre forpliktelsene uten den oversikten som behandlingsprotokollen gir? Jeg tror ikke det. Mange virksomheter har nytte av sin (ufullstendige) protokoll, mens hvilket format og innhold den har nok godt kan forenkles. Men det er klart at det er mange personvernombud som vil slippe å bekymre seg for at de ikke har oppdatert artikkel 309 protokoll. Og det er jo fint. 

Det er også kommet forslag om at de ganske upraktiske reglene om bransjenormer forenkles, likevel skjer ikke dette slik man kunne håpe. Foreslått forenkling går på at spesielle behov til SMC-ene skal tas hensyn til. I praksis er det ikke dette som gjør at det er vedtatt svært få bransjenormer etter at GDPR trådte i kraft, men at reglene stiller krav om at det må oppnevnes og finansieres et kontrollorgan for hver bransjenorm. Det hadde vært mer effektivt om man justerte dette kravet og la kontrollfunksjonen til datatilsynene. Forenklingen er derfor ganske uinteressant, selv om den ser fin ut på papiret.

Det siste forslaget er forenklinger i bestemmelsene om sertifiseringer i GDPR. Også her skal behovene til SMC’ene ivaretas, men dette er regler som er så lite i bruk at det i praksis ikke gjør noen endring. 

Kommer man til å kutte 25% av administrasjonskosten med GDPR med dette? Overhodet ikke.

Forslaget om endringer ligger nå til behandling i EUs lovgivningsprosess, der Europaparlamentet og Rådet skal ta stilling gjennom forhandlingene frem mot endelig vedtak. Det kan komme justeringer underveis og dert er mange synspunkter på saken. 

Du finner mer om selve forslaget her: Data protection in the EU

---

Personvernnemnda om facebook-gruppe for «Advokater som ikke anbefales»

Det hele startet da en advokat (B) ba om innsyn i personopplysninger som han mente var publisert i den lukkede Facebook-gruppen «Advokater som ikke anbefales», administrert av A. B viste til en skjermdump der han ble omtalt som «siktet» og til en lenke om advokatbevillingen hans. A avviste forespørselen, og viste til at B tidligere hadde fått begrenset innsyn, men ikke benyttet seg av det. Etter gjentatte henvendelser besluttet Datatilsynet i mai 2024 å pålegge A å etterkomme innsynskravet.

A klaget på Datatilsynets vedtak og mente at gruppen var lukket og skulle være vernet av ytringsfriheten, samt at den lå utenfor personopplysningslovens virkeområde fordi den angivelig var for personlige formål. Personvernnemnda vurderte at gruppen, som hadde rundt 5000 medlemmer, ikke kunne anses «rent personlig eller familiemessig», ettersom informasjonen nådde et ubegrenset antall personer. Videre la nemnda til grunn at A var behandlingsansvarlig og hadde plikt til å gi innsyn etter personvernforordningen artikkel 15.

Nemnda avviste også argumentet om at ytringsfriheten skulle hindre innsyn, med henvisning til at innsynsretten ikke begrenser folks mulighet til å ytre seg i gruppen. De konkluderte med at B uansett hadde krav på innsyn i personopplysninger som gjaldt ham selv, men ikke opplysninger om andre, og viste til at tidsmessige begrensninger eller krav om legeattest ikke kunne innføres for å undergrave plikten til å gi innsyn. Dermed ble Datatilsynets pålegg stadfestet.

---

Husker du at jeg skrev om FATCA i 2023?

FATCA er en amerikansk lov som krever at utenlandske banker rapporterer kontoopplysninger om amerikanske statsborgere, inkludert de såkalte «Accidental Americans» – personer som tilfeldig har amerikansk statsborgerskap uten tette bånd til USA. Det er ganske omfattende utlevering av informasjon til USA.

EDPB ba i april 2021 medlemslandene i EU/EØS om å vurdere, og eventuelt revidere bilaterale avtaler som pålegger overføring av personopplysninger til tredjeland i forbindelse med beskatning. 

Organisasjonen Association of Accidental Americans (AAA) har i et brev til EDPB påpekt at det har gått svært lang tid uten at det har skjedd noe hos medlemslandene. I 2023 ble det levert en klage som har hatt en lang vei og mange anker i det belgiske rettssystemet. Avgjørelser som har tillatt overføringen er etter hvert blitt nullet og nå har man igjen et vedtak fra datatilsynet som fastslår at overføringene er ulovlige.

Bakgrunnen er at flere amerikansk/belgiske statsborgere bosatt i Belgia ble varslet av banken deres om at den måtte opplyse om bankkontoene, herunder innestående og annet, relatert til formue på grunn av FATCA avtalen. Denne avtalen pålegger banker å opplyse lokale skattemyndigheter om bankkontoer som amerikanske borgere har opprettet i utlandet. Deretter rapporterer de lokale myndighetene videre til USA. 

Belgisk datatilsyn konkluderte med at overføringen brøt flere bestemmelser i GDPR, blant annet fordi formålet med å dele opplysningene var formulert for generelt og ikke oppfylte kravet om dataminimering. Mange kontoeiere ble rapportert kun fordi de var amerikanske statsborgere, uten hensyn til om det faktisk forelå skattemessig risiko. Dessuten mente tilsynet at lovverket ikke ga tilstrekkelige garantier for hvor lenge dataene kan lagres, eller for å sikre innsyns- og klagerettigheter.

Selv om FATCA-avtalen var inngått før GDPR trådte i kraft, kom datatilsynet til at avtalen måtte følge GDPR. Det var ingen gyldig overføringsmekanisme på plass, verken etter GDPRs standardregler for tredjelandsoverføring eller etter eventuelle unntaksbestemmelser. Tilsynet ba derfor institusjonen rette opp bruddene innen ett år og informere de berørte bedre, men stanset ikke umiddelbart selve dataoverføringen av hensyn til Belgias internasjonale forpliktelser.

I 2023 skrev jeg at Norge også signert FATCA-avtalen med USA, og det var en del diskusjoner om personvern da den ble undertegnet. Så langt kan jeg ikke se at det har kommet diskusjoner tilsvarende den i Belgia. 

---

Sjekk hvordan samtykker er innhentet – ikke stol på andre

Jeg nevner denne saken fordi den understreker (igjen) hvor viktig det er å ha etterrettelighet når man baserer seg på samtykker.

En selger av høreapparater sendte brev til potensielle kunder som de hadde fått navn på fra en «databroker». Mottakeren protesterte til databrokeren og ba seg slettet. Datamegleren videresendte slettebegjæringen til høreapparatselskapet, men slettet ikke selv dataene.

Datatilsynet la til grunn at høreapparatselskapet ikke kunne bruke berettiget interesse og at de måtte forsikre seg om at datamegleren hadde tilstrekkelig samtykke til det de videresolgte adressen for. En engelsk oversettelse lyder:  «..it is not sufficient for the controller to rely on the declarations of the data seller and the existence of a contractual clause to consider that the data has been lawfully collected and can be reused..»

Databrokeren mente at de ikke var behandlingsansvarlig, de var bare en megler. Det ble de ikke hørt med. 

Du kan lese mer om saken her: APD/GBA (Belgium) – 76/2025 

---

Stadig action om AI og Meta

Den tyske forbrukerorganisasjonen VZ NRW forsøkte nylig å få stanset Metas trening av facebook-data for å trene sin LLM gjennom en midlertidig rettsforføyning i Köln, men domstolen avviste dette kravet slik at saken må gå via ordinære rettsforhandlinger. VZ NRW mener treningen av Metas AI bryter personvernreglene. Domstolen mente at Meta kunne bruke berettiget interesse for treningen og er slik sett på linje med det Irske datatilsynet, DPC. 

Manglende innvilgelse av midlertidig forføyning betyr likevel ikke at Meta nødvendigvis får medhold i en endelig avgjørelse; hovedsaken blir fortsatt behandlet i rettssystemet og der er beviskravene annerledes enn for den midlertidige forføyningen.

Den irske datatilsynsmyndigheten (DPC) har gitt Meta klarsignal til å begynne å behandle europeiske brukeres data for å trene opp kunstig intelligens (AI). Dette skjer til tross for at flere personvernorganisasjoner, spesielt noyb, fortsetter å mene at Metas plan bryter personvernreglene. Metas forslag skal ifølge DPC nå inneholde tydeligere informasjon til brukerne, utvidet mulighet til å motsette seg deling av data samt bedre sikring av dataene. Blant annet har selskapet tilgjengeliggjort et skjema som gjør det enklere for brukere å be om at dataene deres ikke blir behandlet i AI-øyemed.

Selv om den irske DPC mener at Meta nå følger kravene i personvernforordningen (GDPR), er flere fortsatt skeptiske. Noen mener at Meta, i kraft av sin rolle som behandlingsansvarlig, ikke har tilstrekkelig rettslig grunnlag for å samle inn og la eventuelle databehandlere bruke enorme mengder brukerdata til å behandle AI-modeller. De kritiske stemmene viser til at Meta tidligere har tapt saken om å bruke berettiget interesse for rettet reklame – og at dette ikke er annerledes. Vi får sikkert en avgjørelse i domstolene om dette.

Noyb, ledet av den østerrikske advokaten Max Schrems, arbeider med rettslige skritt mot Metas planer og har sendt et varsel om gruppesøksmål og et såkalt Cease and Desist letter. Samtidig har personvernmyndigheten i Hamburg (Hamburg DPA) innledet en såkalt «urgency procedure» i henhold til artikkel 66 i personvernforordningen (GDPR). De krever at Irlands datatilsyn må gripe inn mot Metas bruk av data til å behandle AI, selv om det irske tilsynet mener noe annet. 

Dersom Metas praksis ender med å bli kjent ulovlig, kan selskapet risikere erstatningsansvar overfor millioner av europeiske brukere. Saken illustrerer økt oppmerksomhet rundt teknologiselskapers plikt til å ivareta personvernet, også i forbindelse med utvikling av kunstig intelligens.

Etter hvert som man forstår hvor viktige LLM’ene fremover, er det kanskje ikke forbausende at det nå høres stemmer som sier at LLM’er må være offentlig eid. Det er en artikkel om dette i the Guardian, se lenke under. Der sies at man kan bygge offentlige, åpent tilgjengelige LLM-er – trent på kuraterte, flerspråklige, historisk baserte korpuser fra biblioteker, museer og arkiver. Disse modellene kan være transparente og akademiske og støttet av offentlig finansiering. 

Er dette mulig? Tja, mulig er det nok, men det fremstår ikke som veldig sannsynlig at det vil skje. 

• Large language models that power AI should be publicly owned
• noyb sends Meta ‘cease and desist’ letter over AI training. European Class Action as potential next step

---

Krav til AI literacy

I henhold til artikkel 4 i AI Act skal både tilbydere og brukere av AI-systemer sørge for at ansatte og andre som håndterer AI-systemer på deres vegne, har tilstrekkelig AI-kompetanse til å forstå hvordan systemene fungerer, hvordan de skal brukes, og hvilke risikoer som kan oppstå. 

I EU trådte artikkel 4 i kraft tidligere i år, så for virksomheter som har aktivitet i Eu, er dette allerede relevant stoff. For Norge som EØS-land er det greit å forberede seg, reglene kommer. 

Dette gjelder særlig de som aktivt utvikler, implementerer eller administrerer AI-løsninger, men i bredere forstand også ansatte som påvirkes av, eller jobber tett med, disse systemene. EU-kommisjonen har kommet med en FAQ over temaet som belyser sentrale krav. Under er noen hovedpunkter.

• Detaljeringsgrad av kunnskap: Kunnskapsnivået varierer etter hvor komplekst AI-systemet er, og hvilken rolle personen har i organisasjonen. Teknikere og utviklere trenger gjerne dypere forståelse av algoritmedesign, datasett-kvalitet og etiske implikasjoner, mens ikke-tekniske roller typisk må kjenne grunnleggende prinsipper, muligheter og begrensninger ved AI. Hovedmålet er at alle relevante aktører skal kunne bruke AI-systemer forsvarlig og korrekt, og ha nok innsikt til å identifisere eventuelle utfordringer eller feil.
• Treningstiltak: Trening for å sikre AI literacy kan inkludere workshops, e-læringskurs og kontinuerlig opplæring i nye utviklinger innen AI-feltet. Blant annet kan organisasjoner integrere praktiske øvelser, demonstrasjoner av reelle brukstilfeller og tverrfaglig samarbeid mellom IT-avdelinger og andre forretningsområder. Siden AI-teknologi er i stadig utvikling, vil det ofte være behov for løpende oppdatering av ansattes kompetanse, gjerne med eksterne foredragsholdere eller interne faggrupper som følger med i forskningen.
• Krav til sertifisering: Det finnes ingen eksplisitt krav i artikkel 4 i AI Act om en offisiell, sentralisert sertifisering for AI-kompetanse. Likevel kan enkelte bransjer eller virksomheter vurdere å ta i bruk frivillige sertifiseringsordninger for å sikre at de ansatte oppnår et visst kunnskapsnivå. 
• Risikobasert tilnærming er OK: AI Act er bygget rundt en risikobasert tilnærming, som innebærer at kravene til sikkerhet og dokumentasjon tilpasses hvor kritisk det aktuelle AI-systemet er for helse, sikkerhet eller grunnleggende rettigheter. På samme måte kan virksomheter tilpasse omfang og innhold i opplæringsprogrammene sine ut fra risikoen knyttet til systemet eller bruken av det. Har man et høyrisiko AI-system, vil det være behov for mer grundig opplæring og tydeligere rutiner, mens mindre komplekse eller lavrisiko-systemer kan kreve et enklere opplæringsopplegg.

Så hva betyr dette i praksis? Mange av oss har ulike versjoner av nanolearning på informasjonssikkerhet og personvern. Det kan være lurt med noe tilsvarende på AI. 

Selve FAQ’en finner du her:

• AI Literacy – Questions & Answers

---

Guidelines fra Kommisjonen om forbudt AI-praksis 

Mange av eksemplene på forbudt AI er heldigvis ikke relevant for mange. Få i vår verdensdel arbeider med «social scoring» og lignende, men å registrere følelser i arbeidslivet er en type AI som tilbys, men som antakelig ikke er mye brukt i Norge. Likevel er det viktig å vite hva som regnes som forbudt følelsesregistrering på arbeidsplassen. Det er antakelig en type forbudt AI vi kommer nærmest. 

Guidelinen er på en bagatell av 140 sider med typisk EU-tekst, så her er et utvalg av hva jeg tror er mest praktisk for mange. Gjør din bedrift noe som kan være i grenseland, må du lese guidelinen nøye.

Guidelinen angir at følgende ikke er følelsesgjenkjenning, hvor jeg har uthevet ting jeg synes er spesielt verdt å merke seg:

• The observation that a person is smiling is not emotion recognition. 
• Identifying whether a person is sick is not emotion recognition. 
• A TV broadcaster using a device that allows to track how many times its news presenters smile to the camera is not emotion recognition. 
• Using AI recognition systems to infer a professional pilot’s or driver’s fatigue to alert them and suggest when to take brakes to avoid accidents is not ‘emotion recognition’, since emotion recognition does not include physical states such as pain or fatigue.
• An AI system inferring emotions from written text (content/sentiment analyses) to define the style or the tone of a certain article is not based on biometric data and therefore does not fall within the scope of the prohibition.

Samtidig angir den at følgende er følelsesgjenkjenning:

• Concluding that a person is happy is emotion recognition. An AI system that infers that an employee is unhappy, sad or angry towards customers (e.g. from body gestures, a frown or the lack of a smile) is ‘emotion recognition’. 
• Systems inferring from voice or body gestures, that a student is furious and about to become violent, is ‘emotion recognition’. 
• An AI system inferring emotions from key stroke (way of typing), facial expressions, body postures or movements is based on biometric data and falls within the scope of the prohibition.

Videre knyttes forbudet til «workplace» og forståelsen av hva som er en arbeidsplass er viktig. Guidelinen har følgende praktiske eksempler: 

• Using webcams and voice recognition systems by a call centre to track their employee’s emotions, such as anger, is prohibited. If only deployed for personal training purposes, emotion recognition systems are allowed if the results are not shared with HR responsible persons and cannot impact the assessment, promotion etc. of the person trained, provided that the prohibition is not circumvented and the use of the emotion recognition system does not have any impact on the work relationship. 
• Using voice recognition systems by a call centre to track their customers emotions, such as anger or impatience, is not prohibited by Article 5 (for example to help the employees cope with certain angry customers). 
• AI systems monitoring the emotional tone in hybrid work teams by identifying and inferring emotions from voice and imagery of hybrid video calls, which would typically serve the purpose of fostering social awareness, emotional dynamics management, and conflict prevention, are prohibited. 
• Using emotion recognition AI systems during the recruitment process is prohibited. 
• Using emotion recognition AI systems during the probationary period is prohibited.
• Using cameras by a supermarket to track its employees’ emotions, such as happiness, is prohibited. 
• Using cameras by a supermarket or a bank to detect suspicious customers, for example to conclude that somebody is about to commit a robbery, is not prohibited under Article 5(1)(f) AI Act, when it is ensured that no employees are being tracked and there are sufficient safeguards.

Reglene får tilsvarende bruk på utdanningsinstitusjoner og her kommer guidelinen med følgende eksempler:

• An AI-based application using emotion recognition for learning a language online outside an education institution is not prohibited under Article 5(1)(f) AI Act. By contrast, if students are required to use the application by an education institution, the use of such emotion recognition system is prohibited. 
• An education institution using AI-based eye tracking software when examining students online to track the fixation point and movement of the eyes (gaze point, e.g., to detect if unauthorized material is used) is not prohibited, because the system does not identify or infer emotions. By contrast, if the system is also used to detect emotions, such as emotional arousal and anxiousness, this would fall within the scope of the prohibition.
• Using an emotion recognition AI system by an education institution to infer the interest and attention of students is prohibited. By contrast, if only deployed for learning purposes in the context of a role-play (for example, for training actors or teachers), emotion recognition systems are allowed if the results cannot impact the evaluation or certification of the person being trained. 
• Using an emotion recognition AI system by an education institution during admissibility tests for new students is prohibited. 
• Using an AI system that allows to capture students talking to each other via their phones or other channels during online lectures by an education institution is not prohibited, since it does not infer emotions. By contrast, if the system is also used to detect emotions, such as emotional arousal, anxiousness and interest, this would fall within the scope of the prohibition. 

---

Guidelines fra Kommisjonen om definisjonen av AI

Ai Act definerer et AI-system på følgende måte i artikkel 3:

AI system’ means a machine-based system that is designed to operate with varying levels of autonomy and that may exhibit adaptiveness after deployment, and that, for explicit or implicit objectives, infers, from the input it receives, how to generate outputs such as predictions, content, recommendations, or decisions that can influence physical or virtual environments;

Ettersom AI Act har omfattende bestemmelser for systemer som omfattes av definisjonen, er det åpenbart viktig å vite når man er innenfor eller utenfor regelverket. 

Det er syv kriterier i setningen i artikkel 3 og guidelinen går nøye inn på alle. Det fører for langt å gå inne på dette her, men Oppsummeringsvis er det svært mange systemer som kan omfattes. Det står at systemets arkitektur og funksjonalitet er av gjørende elementer for om noe omfattes. De skriver også at de ikke klarer å lage en uttømmende liste over hva som omfattes. Samtidig er det slik at enklere systemer som faktisk omfattes av definisjonen, likevel kan slippe de strenge kravene. 

It’s complicated. Det må komme en oversikt over typiske systemer som slipper kravene, men jeg har ikke sett en fornuftig slik enda. Vi må komme tilbake til det. Du finner guidelines her.