Det flyger runt mycket om AI just nu konstaterar advokat Caroline Olstedt Carlström, specialiserad på dataskydd, och Gastón Fernández Palma som är compliance officer på advokatbyrån Cirio.
Och AI Act, EU:s nya AI-förordning, adderar till stressen, inte minst hos cio:er. Men att detaljläsa den 458 sidor tjocka förordningen är inte vad advokatbyrån rekommenderar i första hand.
– Det handlar egentligen inte om lagstiftningen för de flesta vanliga företag som inte är Microsoft eller så. För den vanliga cio:n är utmaningen snarare att se till att den egna organisationen till att börja med är tillräcklig förberedd. Att använda den internkontroll som kommit på plats efter GDPR, säger Caroline Olstedt Carlström.
– Tipset till cio:er är att de ska ta på sina dataskyddsglasögon – hur ser processerna ut och vad finns redan på plats?
Samma bedömningar som GDPR
I grunden handlar det nämligen om inledningsvis samma bedömningar som man måste göra redan i dag kopplat till GDPR – vilka kontroller ska göras, hur ska informationen behandlas, hur lång tid ska den användas, vad är syftet och så vidare.
– Om man har de här processerna på plats så är AI-förordningen en förlängning av det för det handlar ofta om behandling av personuppgifter. Sedan måste man också ha kontroll över immateriella rättigheter och se till att inte företagshemligheter läcker också. Men har man dataskyddet under kontroll så lägger detta bara på ett extra lager.
Gastón Fernández Palma tycker också det är viktigt att ha med sig att den nya förordningen bara är en pusselbit när det gäller AI.
– Det finns redan mycket lagstiftning som träffar AI i dag, förutom GDPR också sekretesslagstiftning exempelvis. Det här är mer en struktur för it-folk har koll på hur data flödar in, förvaltas, avvecklas.
Förutom att se till att de interna affärsprocesserna och strukturerna finns på plats, som de redan nu borde göra, så är det viktigt att fundera kring vad man faktiskt vill göra framåt.
– Visst kan man ta sikte på att hantera ett kärnkraftverk men är det verkligen det som är avsikten? Allt måste passera samma process – på många företag finns en evangelist eller tre när det gäller AI och då gäller det att hugga tag i dem snabbt så de inte springer i väg på egen hand.
Måste utbilda organisationen
För att lyckas hantera AI på ett sätt som både följer alla regler och också är gynnsamt för den egna verksamheten krävs också att man har kunskap så att man förstår vad AI är och vilka tillämpningar som finns – och här kanske cio:n har sin viktigaste roll enligt Gastón Fernández Palma.
– Jag är compliance officer på Cirio själv och jag jobbar väldigt nära it-chefen – vi träffas varje dag. Cio:n måste ta ansvar för att utbilda organisationen och hantera förväntningar, så att alla vet vad som går att göra och inte,
Inte minst verktyg som Chat GPT som demokratiserar AI gör att det krävs väldigt tydliga instruktioner för vad som är tillåtet.
– Även om det inte direkt bryter någon lag så riskerar du att tappa värde om något som är guld värt läcker ut.
Utbildning gäller alla i organisationen, från styrelse och ledning ner till golvet. I dag finns ofta ett gap mellan en styrelse som inte vet så mycket om AI men ligger på för att tekniken ska användas och verkligheten.
Koppla kunskap till strategi
– Det finns en ”fear of missing out” där styrelsen är jättepå och mån om att man inte ska tappa i förhållande till konkurrenter. Det går sedan vidare till en ledningsgrupp som ofta inte har den kunskapen – så det finns ett klart utbildningsbehov där, säger Caroline Olstedt Carlström.
Risken är annars att det inte finns någon tydlig riktning från styrelsen samtidigt som det stoppar upp andra projekt för att prioritera AI medan organisationen inte vet vad de faktiskt ska springa på. Utbildning och tydlighet blir nyckeln här. När de finns mer kunskap kan det som görs kopplas till en strategi.
– Det gäller att snabbt få ett internt ramverk där man definierar vilka behoven är, vad man får göra och inte och utbilda kring det.
Många organisationer skapar AI-råd men Caroline Olstedt Carlström förordar också gärna att mandatet för en dataskyddskommitté kan vidgas till att inkludera AI för att inte missa något.
Utbildning, kontroll och transparens
Så vad är då de viktigaste råden till en cio som funderar på hur AI och den nya förordningen ska hanteras?
– Utbildning, utbildning, utbildning, säger Gastón Fernández Palma.
Caroline Olstedt Carlström pekar på tre punkter.
– Intern kontroll och utbildning är det första. Sedan att man arbetar på sin compliance genom dokumentation, att man sätter sina legala och etiska överväganden på pränt. Och så att man fortsätter jobba på transparensen – förklarar vad man gör och informerar.