Samarbejdspartnere og AI

AI benyttes efterhånden bredt i erhvervslivet og sandsynligvis også af en del af din virksomheds samarbejdspartnere. Det kan komme dig til gode i form af en bedre ydelse eller pris, men risikoen forbundet med brugen af AI spiller også en rolle for dine samarbejder.

‍

Hvordan skal du så i praksis forholde til samarbejdspartneres brug af AI?

Den korte version er, at du ikke behøver at ligge søvnløs om natten, eller udvide alle kontrakter med et alenlangt tillæg om AI. Men du bør forholde dig til den reelle risiko for din virksomhed og i lyset deraf tage passende forholdsregler, inklusive justeringer til jeres kontraktbestemmelser.

‍

De væsentligste juridiske aspekter, du skal være opmærksom på, er:

• Behandlingen af persondata
• Beskyttelsen af fortrolig information
• Ejerskab til immaterielle rettigheder til ydelsen
• Krænkelse af andres rettigheder
• Leverancens kvalitet

‍

Afdæk risikoen

Leverandøren af toiletpapir har en lidt anden risikoprofil end leverandøren af skræddersyet softwarekode eller et nyt produktdesign.

Din tilgang bør tilpasses den konkrete samarbejdspartner, samarbejdets karakter og de involverede ydelser (men du kan sagtens følge en standardiseret tilgang for en kategori af samarbejdspartnere).

Start derfor med at vurdere risikoen i relation til samarbejdet - også med tanke på den fremtidige udvikling heraf.

I nogle tilfælde vil risikoen være tilpas begrænset til, at en ellers fornuftig kontrakt uden AI-specifik regulering rækker. Foruden leverandører af toiletpapir kan det være tilfælde, hvor AI spiller en helt perifer rolle, eller eventuelle rettighedsmæssige konsekvenser er overskuelige og til at leve med.

Udenfor de tilfælde bør du overveje en mere specifik regulering af samarbejdspartnerens brug af AI evt. gennem tilpasning af virksomhedens standardkontrakter.

‍

Tilpas kontrakten

Persondata

Behandler samarbejdspartneren persondata som databehandler, skal der indgås en databehandleraftale, der fastlægger behandlingens karakter og formål, typer af personoplysninger, behandlingssikkerhed m.v. Dette vil i de fleste tilfælde også være tilstrækkeligt dækkende, når samarbejdspartneren benytter AI i forbindelse med behandlingen - anvendelsen af AI kalder altså ikke i sig selv på yderligere kontraktregulering.

Bevæger man sig i retning af løsninger klassificeret som højrisiko-systemer i AI-forordningen (f.eks. systemer indenfor områderne biometri, uddannelse, beskæftigelse og visse væsentlige tjenester), bør der derudover stilles krav om samarbejdspartnerens efterlevelse af AI-forordningen henset til de potentielle afledte konsekvenser for din virksomhed.

‍

Fortrolig information

Samarbejdspartnerens brug af AI med din virksomheds fortrolige information indebærer en risiko for kompromittering ved, at informationen fremadrettet indgår i løsningens dataset og kan komme uvedkommende (f.eks. dine konkurrenter) til gode.

Mange kontrakter vil i forvejen indeholde bestemmelser om fortrolighed. Det kan dog være en god idé at præcisere, at indtastning af fortrolig information i prompts vil udgøre en uberettiget videregivelse.

‍

Er det faktisk tilsigtet, at samarbejdspartneren benytter AI-løsninger til behandling af fortrolig information, bør man sikre sig, at stiller passende krav til IT-infrastruktur og sikkerhedsforanstaltninger i den forbindelse. Det kan f.eks. være krav om:

• Implementering af generelt relevante foranstaltninger som minimering af mængden af delt fortrolig information, mærkning, kryptering, adgangskontrol, monitorering og træning
• Behandling i et lukket/lokalt miljø hos samarbejdspartneren, som ikke giver en tredjepartsudbyder eller andre uvedkommende adgang til informationen
• I hvilket omfang informationen efterfølgende må indgå i løsningens datasæt

‍

Immaterialretlig beskyttelse og krænkelse

Er samarbejdspartneren involveret i leverancer eller processer, der resulterer i aktiver, som du ønsker beskyttet af immaterielle rettigheder?

Så skal du være opmærksom på, at brugen af AI-løsninger kan spænde ben for det. Det kan være en konsekvens af løsningens brugervilkår, eller af manglende opfyldelse af krav til en bagvedliggende menneskelig kreativ eller innovativ indsats for at opnå immaterialretlig beskyttelse.

Beslægtet hermed er risikoen for at krænke tredjeparter ved brugen af din samarbejdspartners leverancer. Det er ikke noget nyt fænomen, men AI forandrer risikobilledet en smule, fordi det sætter alle og enhver i stand til uden større anstrengelser at generere ”nyt” materiale, der kopierer eller lægger sig tæt op ad eksisterende beskyttede aktiver. AI kan heller ikke forventes at tage hensyn til markedsføringsretlige eller andre lovgivningsmæssige krav til indholdet.

‍

Er muligheden for immaterialretlig beskyttelse og risikoen for krænkelse af tredjemands rettigheder eller misligholdelse af lovgivningsmæssige krav af væsentlig betydning, bør du udover generelle bestemmelser herom forholde dig mere specifikt til AI.

• Må AI overhovedet benyttes?
• Hvilke løsninger?
• Hvordan må de benyttes, så man sikrer man et tilstrækkeligt menneskeligt kreativt/innovativt bidrag?
• Hvad siger relevante brugervilkår for AI-løsningen?
• Hvilke forholdsregler tages for at undgå krænkelse af tredjemands rettigheder eller af f.eks. markedsføringsretlige regler?

‍

Kvalitet

AI kan være en nyttig hjælper for din samarbejdspartner, der også kommer din virksomhed til gode i form af bedre ydelser eller pris. Det modsatte kan dog også være tilfældet.

Er samarbejdspartnerens særlige viden, kompetencer, personlige touch eller originalitet af afgørende betydning, hænger det ikke altid godt sammen med en omfattende brug af AI.

Derudover kan kombinationen af AI-løsningers evne til på ingen tid at generere professionelt udseende og overbevisende materiale og tendens til bias, diskrimination og hallucinationer, føre til en øget risiko for kvalitetsmangler, der kan være vanskelige at opdage.

Det betyder ikke, at du skal se spøgelser på gangene hos tætte, pålidelige samarbejdspartnere.  Men også af hensyn til kvaliteten kan det være på sin plads at interessere sig for samarbejdspartnerens adgang til at bruge AI og niveauet af menneskelig kontrol og anden kvalitetssikring i den forbindelse og gøre det til en del af kontraktens ydelsesbeskrivelse.

‍

Indsigt og monitorering

Selv skarpe bestemmelser om forbud mod brug af AI og et tungt sanktionskatalog kan vise sig ikke at opveje de faktiske konsekvenser af en eventuel tilsidesættelse for din virksomhed.

‍

I praksis kan det derfor være mindst lige så værdifuldt at kræve forudgående og løbende indsigt i og dokumentation af:

• Arbejdsprocesser og den faktiske brug af AI
• Hvilke AI-løsninger, der må anvendes - evt. begrænset til explainable AI eller XAI, der muliggør indsigt i, hvordan et givent resultat er nået
• Interne retningslinjer, træning og kommunikation til medarbejdere

Vær opmærksom på, at det forhold, at samarbejdspartneren ikke har implementeret AI-løsninger i eget IT-miljø og ikke officielt benytter AI, ikke eliminerer risikoen. En ukontrolleret brug af de frit tilgængelige AI-løsninger kan medføre en endnu større risiko, så forholdsregler i forhold til medarbejderes brug af sådanne løsninger er fortsat relevante.

‍

Hvad med din virksomheds egne forpligtelser?

Du skal naturligvis også være opmærksom på din egen virksomheds benyttelse af AI i forbindelse med jeres samarbejder.

Når det kommer til din virksomheds leverancer til samarbejdspartnere, har du ikke nødvendigvis en særlig interesse i specifik regulering om AI, om end det kan være hensigtsmæssigt at afstemme forventninger herom af hensyn til det gode samarbejde. Selv hvis kontrakten ikke indeholder specifikke bestemmelser om din virksomheds brug af AI, skal du dog være opmærksom på dine forpligtelser ifølge mere generelle bestemmelser om f.eks.

‍

·         Fortrolighed

·         Indeståelse for opnåelse/beskyttelse af immaterielle rettigheder m.v.

·         IT-sikkerhedsmæssige krav

·         Kvalitetsmæssige krav, der spiller ind på din adgang til at bruge AI

‍

Og husk at sikre dig, at involverede medarbejdere er bekendt med og overholder kravene via generelle retningslinjer, træning eller kommunikation.

‍