AI's etiske kodeks for LEGIER og "SANDIC by LEGIER"-gruppen

Indholdsfortegnelse

Bemærk: Hvis den automatiske mappe er tom, skal du højreklikke i Word → "Opdater felt".

 

• 1. Præambel og anvendelsesområde
• 2. Grundlæggende værdier og vejledende principper
• 3. Ledelse og ansvar (AI Ethics Board, RACI)
• 4. Juridiske og standardiseringsmæssige rammer (EU AI Act, GDPR, DSA, copyright, handelslovgivning)
• 5. Risikoklassificering og AI-konsekvensvurdering (AIIA)
• 6. Dataetik og databeskyttelse (retsgrundlag, DPIA, cookies, tredjelande)
• 7. Model- og datalivscyklus (ML-livscyklus, datakort, modelkort)
• 8. Gennemsigtighed, forklarlighed og brugerinstruktioner
• 9. Menneske i kredsløbet og tilsynsopgaver
• 10. Sikkerhed, robusthed og red-teaming (prompt injection, jailbreaks)
• 11. Forsyningskæde, menneskerettigheder og fair arbejde (moderne slaveri, LkSG-analog)
• 12. Håndtering af bias, retfærdighed og inklusion (sårbare kunder, tilgængelighed)
• 13. Generativ AI, bevis for oprindelse og mærkning (C2PA, vandmærke)
• 14. Indhold, moderation og DSA-processer (rapportering, klager, gennemsigtighed)
• 15. Domænespecifik brug (nyheder, data, sundhed, luftfart, lystbåde, ejendom, betaling/handel/trust/mønt, biler)
• 16. Tredjeparter, indkøb og risikostyring af leverandører
• 17. Drift, observerbarhed, nød- og genstartsplaner
• 18. Hændelser og afhjælpning (etik, databeskyttelse, sikkerhed)
• 19. Metrikker, KPI'er og sikkerhed (intern/ekstern)
• 20. Træning, bevidsthed og kulturel forandring
• 21. Implementering og køreplan (0-6 / 6-12 / 12-24 måneder)
• 22. Ruller og RACI-matrix
• 23. Tjeklister (AIIA kort, datafrigivelse, go-live gate)
• 24. Formularer og skabeloner (modelkort, datakort, hændelsesrapport)
• 25 Ordliste og referencer

1. Præambel og anvendelsesområde

Dette kodeks beskriver bindende principper, processer og kontroller for udvikling, indkøb, drift og brug af AI i LEGIER koncernen. Det gælder i hele koncernen for medarbejdere, ledere, kontraktbehandlere, leverandører og partnere.

Den integrerer eksisterende koncernretningslinjer (databeskyttelse, processer for digitale tjenester, virksomhedsledelse, bæredygtighed, menneskerettighedspolitik, erklæring om moderne slaveri) og udvider dem til at omfatte AI-specifikke krav.

 

Mål er at muliggøre fordele og innovation, gøre risici håndterbare og beskytte brugernes, kundernes og offentlighedens rettigheder.

 

2. Grundlæggende værdier og vejledende principper

 

• Menneskelig værdighed og grundlæggende rettigheder står over økonomisk effektivitet. AI tjener mennesker - aldrig omvendt.
• Juridisk overensstemmelse: Overensstemmelse med EU's lov om kunstig intelligens, GDPR, DSA og sektorspecifikke standarder. Ingen brug af forbudt praksis.
• Ansvar og ansvarlighed: Der udpeges en ansvarlig ejer for hvert AI-system; beslutninger kan spores og anfægtes.
• Proportionalitet: Balance mellem formål, risiko, interventionsintensitet og social effekt.
• Gennemsigtighed og forklarlighed: Tilstrækkelig information, dokumentation og kommunikationskanaler om funktionalitet, datasituationer og begrænsninger.
• Retfærdighed og inklusion: Systematisk bias-testning, beskyttelse af sårbare grupper, tilgængelighed og flersprogethed.
• Sikkerhed og modstandsdygtighed: Security-by-design, defence-in-depth, kontinuerlig hærdning og overvågning.
• Bæredygtighed: Effektivitet af modeller og datacentre (energi, PUE/CFE), livscyklusvisning af data/modeller.

3. Ledelse og ansvar (AI Ethics Board, RACI)

AI's etiske råd (AIEB): Tværfaglig (teknik, jura/compliance, databeskyttelse, sikkerhed, redaktion/produkt, mennesker). Opgaver: Opdatering af politikker, udstedelse af godkendelser (især højrisiko), beslutning om konflikter, overvågning af rapporter.

Roller: Use Case Owner, Model Owner, Data Steward, DPO, Security Lead, Responsible Editor, Service Owner, Procurement Lead.

Komitéer og gateways: AIIA-godkendelse før go-live; change advisory board for væsentlige ændringer; årlige ledelsesevalueringer.

RACI-princippet: Klar tildeling af ansvar for hver aktivitet (Ansvarlig, Ansvarlig, Konsulteret, Informeret).

 

4. Juridiske og standardiseringsmæssige rammer (EU AI Act, GDPR, DSA, copyright, handelslovgivning)

• EU-AI-Act: Risikobaseret ramme med forbud, forpligtelser for højrisikosystemer, dokumentation, logning, styring, gennemsigtighedsforpligtelser; forskudt anvendelse fra 2025/2026.
• GDPR: Retsgrundlag (art. 6/9), registreredes rettigheder, indbygget privatliv/standardindstillinger, konsekvensanalyse vedrørende databeskyttelse (DPIA), tredjelandsoverførsler (art. 44 ff.).
• DSA: Platformsprocesser for anmeldelse, klager, gennemsigtighedsrapporter, risikovurderinger af store platforme.
• Ophavsret & naborettigheder / personlige rettigheder: Klare licenskæder, billed-/navnerettigheder, tredjeparts domicilrettigheder.
• Branchespecifikke krav (f.eks. luftfart/maritim lovgivning/sundhed) skal også overholdes.

5. Risikoklassificering og AI-konsekvensvurdering (AIIA)

Klassificering:

1. Forbudt praksis (ikke tilladt)
2. Højrisikosystemer (strenge forpligtelser)
3. Begrænset risiko (gennemsigtighed)
4. Minimeret risiko

AIIA-procedure: Beskrivelse Formål/omfang, interessenter, juridisk grundlag, datakilder; risikoanalyse (juridisk, etisk, sikkerhed, bias, miljøpåvirkning); afhjælpningsplan; beslutning (AIEB-godkendelse).

Revurderinger: For væsentlige ændringer, årligt for høj risiko; dokumentation i det centrale register.

 

6. Dataetik og databeskyttelse (retsgrundlag, DPIA, cookies, tredjelande)

• Dataminimering og formålsbegrænsning; Pseudonymisering/anonymisering foretrækkes.
• Gennemsigtighed: Information om databeskyttelse, informations- og sletningskanaler; portabilitet; indsigelsesmuligheder.
• Cookies/sporing: Samtykkehåndtering; tilbagekaldelse; IP-anonymisering; kun godkendte værktøjer.
• Overførsler fra tredjelande: Kun med passende garantier (SCC/tilstrækkelighed); regelmæssig test af underbehandlerne.
• DPIA: Obligatorisk for højrisikobehandling; dokumenter tekniske/organisatoriske foranstaltninger (TOM).

7. Model- og datalivscyklus (ML-livscyklus, datakort, modelkort)

Livscyklus for data: Erhvervelse → Kuratering → Mærkning → Kvalitetssikring → Versionering → Opbevaring/slettelse.

Modellens livscyklus: Problemdefinition → Valg af arkitektur → Træning/finjustering → Evaluering (offline/online) → Frigivelse → Drift → Overvågning → Omskoling/tilbagetrækning.

Datakort: Oprindelse, repræsentativitet, kvalitet, resultater af bias, begrænsninger i brugen.

Modelkort: Formål, træningsdata, benchmarks, metrikker, begrænsninger, forventede fejlmønstre, do's/don'ts.

Oprindelse og reproducerbarhed: Hashes, data-/modelversioner, pipelineverifikationer.

 

8. Gennemsigtighed, forklarlighed og brugerinstruktioner

• Mærkning til AI-interaktion og AI-genereret indhold.
• Forklarlighed: Brug skræddersyede, lægmandsvenlige forklaringer (lokale/globale).
• Brugervejledning: Formål, vigtigste påvirkningsfaktorer, grænser; feedback- og korrektionsmetoder.

9. Menneske i kredsløbet og tilsynsopgaver

• Menneskeligt tilsyn som standard for relevante beslutninger (især høj risiko).
• Fire-øjne-princippet for redaktionelt/socialt følsomme opgaver.
• Override/annullere funktioner; eskaleringsstier; dokumentation.

10. Sikkerhed, robusthed og red-teaming (prompt injection, jailbreaks)

• Trusselsmodellering (STRIDE + AI-specifik): Prompt injektion, forgiftning af træningsdata, modeltyveri, lækage af databeskyttelse.
• Red teaming & adversarial tests; forebyggelse af jailbreak; hastighedsbegrænsning; outputfiltrering; hemmelig scanning.
• Robusthed: Fallback prompts, guardrails, rollback-planer; canary releases; kaostests for sikkerhed.

11. Forsyningskæde, menneskerettigheder og fair arbejde (moderne slaveri, LkSG-analog)

• Due diligence på menneskerettighedsområdet: Risikoanalyse, adfærdskodeks for leverandører, kontraktlige forpligtelser, audits, afhjælpende foranstaltninger.
• Moderne slaveri: Årlig erklæring, bevidstgørelse, rapporteringskanaler.
• Arbejdsstandarder: Fair løn, arbejdstid, sundhedsbeskyttelse; beskyttelse af whistleblowere.

12. Håndtering af bias, retfærdighed og inklusion (sårbare kunder, tilgængelighed)

• Kontrol af bias: Analyser af datasæt, afbalancering, forskellige testgrupper, fairness-metrikker; dokumenteret afhjælpning.
• Kunder i farezonen: Beskyttelsesmål, alternative kanaler, klart sprog; ingen udnyttelse af kognitive svagheder.
• Tilgængelighed: WCAG-Konformitet; flersprogethed; inkluderende tilgang.

13. Generativ AI, bevis for oprindelse og mærkning (C2PA, vandmærke)

• Mærkning: Synlige etiketter/metadata for AI-indhold; hint til interaktioner.
• Garantier for oprindelse: C2PA-kontekst, signaturer/vandmærker, så vidt det er teknisk muligt.
• Ophavsret/beskyttelse af tjenester: Afklar licenser; træning af dataoverholdelse; dokumentation af rettighedskæden.

14. Indhold, moderation og DSA-processer (rapportering, klager, gennemsigtighed)

• Rapporteringskanaler: Lavtærskel-brugerrapportering; prioriteret behandling af ulovligt indhold.
• Klageprocesser: Gennemsigtig begrundelse, indsigelse, eskalering.
• Rapporter om gennemsigtighed: Periodisk offentliggørelse af relevante nøgletal og foranstaltninger.

15. Domænespecifik brug (nyheder, data, sundhed, luftfart, lystbåde, ejendom, betaling/handel/trust/mønt, biler)

• Nyheder/udgivelse: Forskningsassistance, oversættelse, moderering; tydelig mærkning af generativt indhold.
• SKANDALØSE DATA: Sikker AI/HPC-infrastruktur, klientadskillelse, HSM/KMS, observerbarhed, compliance-artefakter.
• Sundhed: Evidensbaseret brug, menneskelig endelig beslutning, ingen uprøvede diagnoser.
• Luftfart/Yachter: Sikkerhedsprocesser, menneskelig overvågning, nødprocedurer.
• Gods: Værdiansættelsesmodeller med fairness-tjek; ESG-integration.
• Betal/handl/tillid/penge: Svindelforebyggelse, KYC/AML, markedsovervågning, forklarlige beslutninger.
• Biler: Personlige tjenester med streng databeskyttelse.

16. Tredjeparter, indkøb og risikostyring af leverandører

• Due diligence før onboarding: Sikkerheds-/databeskyttelsesniveau, dataplaceringer, underbehandlere, certifikater.
• Kontrakter: Revisionsrettigheder, gennemsigtighed og afhjælpningsklausuler, SLA/OLA-målinger.
• Overvågning: Performance KPI'er, udveksling af resultater/hændelser, exitplaner.

17. Drift, observerbarhed, nød- og genstartsplaner

• Operation: Observerbarhed (logfiler, metrikker, spor), SLO/SLI-styring, kapacitetsplanlægning.
• Nødsituation: Runbooks, DR-tests, gendannelsestider, kommunikationsplaner.
• Konfiguration/hemmelighedshåndtering: Mindste privilegium, rotationer, hærdning.

18. Hændelser og afhjælpning (etik, databeskyttelse, sikkerhed)

• Etiske hændelser: Uønsket diskrimination, desinformation, uklar oprindelse - øjeblikkelige foranstaltninger og AIEB-gennemgang.
• Hændelser med databeskyttelse: Rapporteringsprocesser til DPO/tilsyn; information til berørte parter; analyse af grundårsager.
• Sikkerhedshændelser: CSIRT-procedurer, kriminalteknik, erfaringer, forebyggende foranstaltninger.

19. Metrikker, KPI'er og sikkerhed (intern/ekstern)

• Obligatoriske KPI'er: 100 % AIIA-dækning af produktive AI-brugssager; 95 % træningsrate; 0 åbne kritiske revisionsresultater.
• Metrikker for retfærdighed: Uensartet påvirkning, udlignede odds (brug sagsspecifik).
• Bæredygtighed: Datacentrenes energi/PUE/kulstoftal; modellernes effektivitet.

20. Træning, bevidsthed og kulturel forandring

• Obligatorisk træning (årligt): AI-etik, databeskyttelse, sikkerhed, medieetik; målgruppespecifikke moduler.
• Oplysningskampagner: Vejledninger, brown-bag-sessioner, konsultationstimer; interne praksisfællesskaber.
• Kultur: Lederskab som rollemodel, fejlkultur, belønning af ansvarlig adfærd.

21. Implementering og køreplan (0-6 / 6-12 / 12-24 måneder)

• 0-6 måneder: Fortegnelse over AI-brugssager; AIIA-proces; minimumskontroller; træningsbølge; leverandørscreening.
• 6-12 måneder: Udrulning af red teaming; første gennemsigtighedsrapporter; energiprogram; færdiggørelse af RACI.
• 12-24 måneder: Tilpasning til ISO/IEC-42001; begrænset sikkerhed; løbende forbedringer; forberedelse af CSRD/ESRS (hvis relevant).

22. Ruller og RACI-matrix

• Ejer af brugssag (A): Formål, fordele, KPI'er, budget, revurderinger.
• Model-ejer (R): Data/træning/evaluering, modelkort, overvågning af afdrift.
• DPO (C/A for databeskyttelse): Retsgrundlag, DPIA, de registreredes rettigheder.
• Sikkerhedsansvarlig (C): Trusselsmodellering, red teaming, TOM'er.
• Ansvarlig redaktør (C): Medieetik, mærkning, korrektionsregister.
• Serviceejer (R): Drift, SLO, håndtering af hændelser.
• Leder af indkøb (R/C): Tredjeparter, kontrakter, exitplaner.

23. Tjeklister (AIIA kort, datafrigivelse, go-live gate)

• AIIA quick check: Formål? Juridisk grundlag? Berørte parter? Risici (juridiske/etiske/sikkerhedsmæssige/bias/miljømæssige)? Afhjælpning? HIL-kontroller?
• Udgivelse af data: Er kilden lovlig? Minimering? Opbevaring? Adgang? Tredjeland?
• Go-Live-Gate: Artefakter komplette (data/modelkort, logfiler)? Red Team-resultater behandlet? Overvågning/DR sat op?

24. Formularer og skabeloner (modelkort, datakort, hændelsesrapport)

• Model-kort-skabelon: Formål, data, træning, benchmarks, begrænsninger, risici, ansvarlige personer, kontakt.
• Data-kort-skabelon: Oprindelse, licens, kvalitet, repræsentativitet, bias-tjek, begrænsninger i brugen.
• Skabelon til hændelsesrapport: Hændelse, virkninger, berørte personer, øjeblikkelige foranstaltninger, grundårsag, afhjælpning, erfaringer.

25 Ordliste og referencer

Ordliste: AI-system, generativ AI, højrisikosystem, AIIA, HIL, C2PA, red teaming, DPIA, RACI, SLO/SLI.

Referencer:

• EU's lov om kunstig intelligens
• GDPR
• DSA
• OECD's AI-principper
• NIST AI RMF
• ISO/IEC 42001
• Interne retningslinjer (databeskyttelse, DSA-processer, moderne slaveri, bæredygtighed)

Bemærk: Dette AI-kodeks supplerer eksisterende LEGIER-retningslinjer, som f.eks: (Databeskyttelse, digitale tjenester, menneskerettigheder/leverandørkæde, virksomhedsledelse, bæredygtighed, moderne slaveri). Det er en integreret del af LEGIER Gruppens (LEGIER Beteiligungs mbH) compliance-rammeværk.