Siðareglur LEGIER og „SANDIC eftir LEGIER“ um gervigreind

Efnisyfirlit

Tilkynning: Ef sjálfvirka skráin virðist tóm, vinsamlegast hægrismelltu í Word → „Uppfæra reit“.

• 1. Formáli og gildissvið
• 2. Grunngildi og leiðarljós
• 3. Stjórnarhættir og ábyrgð (Siðanefnd gervigreindar, RACI)
• 4. Laga- og reglugerðarrammi (ESB lög um gervigreind, GDPR, DSA, höfundarréttur, viðskiptaréttur)
• 5. Áhættuflokkun og áhrifamat á gervigreind (AIIA)
• 6. Gagnasiðfræði og gagnavernd (lagalegur grundvöllur, DPIA, vafrakökur, þriðju lönd)
• 7. Líftími líkans og gagna (líftími ML, Data kort, líkankort)
• 8. Gagnsæi, skýranleiki og leiðbeiningar fyrir notendur
• 9. Mannleg tengsl og eftirlitsskyldur
• 10. Öryggi, traustleiki og „red teaming“ (skjót innspýting, jailbreak)
• 11. Framboðskeðja, mannréttindi og sanngjörn vinna (Nútímaþrælahald, LkSG-hliðstæða)
• 12. Fordómastjórnun, sanngirni og aðgengi (viðkvæmir viðskiptavinir, aðgengi)
• 13. Framleiðslugervigreind, upprunavottun og merkingar (C2PA, vatnsmerki)
• 14. Efni, stjórnun og DSA-ferli (skýrslugerð, kvartanir, gagnsæi)
• 15. Notkun á léni (Fréttir, Data, Health, Flug, Yachts, Estate, Pay/Viðskipti/Trust/Mynt, Cars)
• 16. Þriðju aðilar, innkaup og áhættustýring birgja
• 17. Rekstrar-, eftirlits-, neyðar- og endurræsingaráætlanir
• 18. Atvik og úrræði (siðfræði, gagnavernd, öryggi)
• 19. Mælikvarðar, lykilárangursvísar og trygging (innri/ytri)
• 20. Þjálfun, vitundarvakning og menningarbreytingar
• 21. Innleiðing og vegvísir (0–6 / 6–12 / 12–24 mánuðir)
• 22. Hlutverk og RACI fylki
• 23. Gátlistar (stutt AIIA, gagnaútgáfa, gangsetningarhlið)
• 24. Eyðublöð og sniðmát (fyrirmyndarkort, Data kort, atviksskýrsla)
• 25. Orðalisti og heimildir

1. Formáli og gildissvið

Þessir kóðar setja bindandi meginreglur, ferla og eftirlit fyrir þróun, innkaup, rekstur og notkun gervigreindar innan LEGIER samstæðunnar. Þeir eiga við um starfsmenn, stjórnendur, gagnavinnsluaðila, birgja og samstarfsaðila innan samstæðunnar. Þeir samþætta núverandi stefnur samstæðunnar (gagnavernd, stafræn þjónustuferli, stjórnarhætti fyrirtækja, sjálfbærni, mannréttindastefnu, yfirlýsingu um nútímaþrælahald) og víkka þá út til að ná yfir kröfur sem tengjast gervigreind. Markmið Það er til að gera ávinning og nýsköpun mögulega, gera áhættu viðráðanlega og vernda réttindi notenda, viðskiptavina og almennings. 2. Grunngildi og leiðarljós  

• Mannleg reisn og grundvallarréttindi Gervigreind hefur forgang fram yfir hagkvæmni. Gervigreind þjónar mannkyninu – aldrei öfugt.
• Lögleg fylgni: Fylgni við Lög ESB um gervigreind, GDPR, DSA sem og staðlar sem eru sértækir fyrir hvern geira. Engin notkun á ólöglegum starfsháttum.
• Ábyrgð og ábyrgð: Hvert gervigreindarkerfi hefur tilnefndan eiganda sem ber ábyrgð á ákvörðunum þess; þessar ákvarðanir eru gagnsæjar og hægt er að áfrýja þeim.
• Hófshlutfall: Jafnvægi milli tilgangs, áhættu, umfangs íhlutunar og samfélagslegra áhrifa.
• Gagnsæi og útskýranleiki: Viðeigandi upplýsingar, skjöl og samskiptaleiðir varðandi virkni, gagnaframboð og takmarkanir.
• Réttlæti og aðgengi: Kerfisbundin hlutdrægnipróf, vernd viðkvæmra hópa, aðgengi og fjöltyngi.
• Öryggi og seigla: 1TP63Hönnunaröryggi, dýptarvörn, stöðug herðing og eftirlit.
• Sjálfbærni: Skilvirkni líkana og gagnavera (orka, PUE/CFE), líftímasýn gagna/líkana.

3. Stjórnarhættir og ábyrgð (Siðanefnd gervigreindar, RACI)

Siðanefnd gervigreindar (AIEB): Þverfagleg störf (tækni, lögfræði/reglugerð, gagnavernd, öryggi, ritstjórn/vara, starfsfólk). Ábyrgð: Þróun leiðbeininga, veiting samþykkis (sérstaklega fyrir verkefni með mikilli áhættu), lausn ágreinings, eftirlit með skýrslum. Rúlla: Eigandi notkunartilviks, eigandi líkans, Data ráðsmaður, persónuverndarfulltrúi, 1TP63 leiðtogi ferðamála, ábyrgur ritstjóri, þjónustueigandi, innkaupastjóri. Nefndir og gáttir: Samþykki AIIA fyrir útgáfu; ráðgjafarnefnd um efnislegar breytingar; árleg stjórnendateymi. RACI meginreglan: Skýr ábyrgðarskipting fyrir hverja starfsemi (Ábyrgð, Ábyrgð, Samráð, Upplýst).

4. Laga- og reglugerðarrammi (ESB lög um gervigreind, GDPR, DSA, höfundarréttur, viðskiptaréttur)

• Lög ESB um gervigreind: Áhættumiðað rammaverk með bönnum, skyldum fyrir kerfi með mikla áhættu, skjölun, skráningu, stjórnarháttum og gagnsæisskyldum; stigvaxandi innleiðing frá 2025/2026.
• GDPR: Lagalegur grundvöllur (6. gr./9), réttindi skráðra einstaklinga, innbyggð friðhelgi einkalífs/sjálfgefin friðhelgi einkalífs, mat á áhrifum á gagnavernd (DPIA), flutningur til þriðju landa (44. gr. o.fl.).
• DSA: Ferli kerfisins fyrir skýrslugjöf, kvartanir, gagnsæisskýrslur og áhættumat á stórum kerfum.
• Höfundarréttur og skyld réttindi / persónuverndarréttindi: Skýrar leyfiskeðjur, mynda-/nafnaréttindi, eignarréttur þriðja aðila.
• Sértækar kröfur fyrir atvinnugreinina (t.d. flug-/sjólög/Health) verður einnig að vera farið eftir.

5. Áhættuflokkun og áhrifamat á gervigreind (AIIA)

Flokkun:

1. Bönnuð starfsemi (ekki leyfð)
2. Hááhættukerfi (strangar skyldur)
3. Takmörkuð áhætta (gagnsæi)
4. Lágmarksáhætta

AIIA ferli: Lýsing á tilgangi/umfangi, hagsmunaaðilum, lagalegum grundvelli, gagnaheimildum; áhættugreiningu (lagalegri, siðferðilegri, öryggis-, hlutdrægni-, umhverfisáhrifa); mótvægisaðgerð; ákvörðun (samþykki AIEB). Endurmat: Ef um verulegar breytingar er að ræða, árlega í tilfellum þar sem mikil áhætta er á verkinu; skráning í miðlæga skrá.

6. Gagnasiðfræði og gagnavernd (lagalegur grundvöllur, DPIA, vafrakökur, þriðju lönd)

• Gagnalágmörkun og tilgangstakmörkun; Dulnafnvæðing/nafnleysi er æskilegt.
• Gagnsæi: Upplýsingar um gagnavernd, aðgangs- og eyðingarmöguleikar; flytjanleiki; möguleikar á andmælum.
• Vafrakökur/rakningar: Samþykkisstjórnun; afturköllun; nafnleynd IP-talna; aðeins samþykkt verkfæri.
• Flutningar til þriðja lands: Aðeins með viðeigandi ábyrgðum (SCC/fullnægjandi öryggi); reglulegum prófunum á undirvinnsluaðilum.
• Persónuverndarmat: Skyldubundið fyrir vinnslu með mikilli áhættu; skjalfesta tæknilegar/skipulagslegar ráðstafanir (TOM).

7. Líftími líkans og gagna (líftími ML, Data kort, líkankort)

Líftími Data: Öflun → Sýsla → Merkingar → Gæðahlið → Útgáfustjórnun → Varðveisla/eyðing. Líftími líkans: Skilgreining vandamáls → Val á arkitektúr → Þjálfun/Fínstilling → Mat (Ótengdur/Á netinu) → Útgáfa → Rekstrarstjórnun → Eftirlit → Endurþjálfun/Hætt notkun. Data kort: Uppruni, dæmigerðleiki, gæði, niðurstöður skekkju, notkunartakmarkanir. Fyrirmyndarkort: Tilgangur, þjálfunargögn, viðmið, mælikvarðar, takmarkanir, væntanleg villumynstur, hvað skal/ekki skal gera. Uppruni og endurtekningarhæfni: Tölvukóðun, gagna-/líkanútgáfur, sönnunargögn fyrir leiðslur.

8. Gagnsæi, skýranleiki og leiðbeiningar fyrir notendur

• Merkingar fyrir gervigreindarsamskipti og efni sem er búið til með gervigreind.
• Útskýranleiki: Sértækar skýringar fyrir hvert notkunartilvik, sem eru skiljanlegar fyrir alla (staðbundnar/alþjóðlegar).
• Leiðbeiningar fyrir notendur: Tilgangur, helstu áhrifaþættir, takmarkanir; endurgjöf og leiðréttingaraðferðir.

9. Mannleg tengsl og eftirlitsskyldur

• Mannlegt eftirlit sem staðall fyrir viðeigandi ákvarðanir (sérstaklega þær sem eru áhættusamar).
• Fjögurra augna meginreglan fyrir ritstjórnarlega/félagslega viðkvæm verkefni.
• Hnekkja/hætta við aðgerðir; stigvaxandi leiðir; skjölun.

10. Öryggi, traustleiki og „red teaming“ (skjót innspýting, jailbreak)

• Ógnalíkön (STRIDE + sértæk fyrir gervigreind): Skjót innspýting, eitrun á þjálfunargögnum, þjófnaður líkana, gagnaleki.
• Rauð teyming og andstæðingaprófanir; forvarnir gegn flótta; hraðatakmörkun; úttakssía; 1TP63Skönnun á slóðum.
• Sterkleiki: Varaleiðbeiningar, vegrið, afturvirkar áætlanir; losun kanarífugla; öryggisprófanir á óreiðu.

11. Framboðskeðja, mannréttindi og sanngjörn vinna (Nútímaþrælahald, LkSG-hliðstæða)

• Áreiðanleikakönnun á mannréttindum: Áhættugreining, siðareglur birgja, samningsbundnar skuldbindingar, úttektir, úrbætur.
• Nútímaþrælahald: Árleg yfirlýsing, vitundarvakning, skýrslugerðarleiðir.
• Vinnustaðlar: Sanngjörn laun, vinnutími, heilbrigði og öryggi; vernd uppljóstrara.

12. Fordómastjórnun, sanngirni og aðgengi (viðkvæmir viðskiptavinir, aðgengi)

• Hlutdrægniathuganir: Greining gagnasafna, jafnvægi, fjölbreyttir prófunarhópar, sanngirnismælikvarðar; skjalfestar mótvægisaðgerðir.
• Viðkvæmir viðskiptavinir: Verndarmarkmið, aðrar leiðir, skýrt tungumál; engin nýting á hugrænum veikleikum.
• Aðgengi: WCAG-Samræmi; fjöltyngi; aðgengileg samskipti.

13. Framleiðslugervigreind, upprunavottun og merkingar (C2PA, vatnsmerki)

• Merkingar: Sýnileg merki/lýsigögn fyrir gervigreindarefni; tilkynningar meðan á samskiptum stendur.
• Upprunavottorð: C2PA-Samhengi, undirskriftir/vatnsmerki eftir því sem tæknilega mögulegt er.
• Höfundarréttur/Nálægur réttur: Skýra leyfi; tryggja samræmi við þjálfunargögn; skrá réttindakeðjuna.

14. Efni, stjórnun og DSA-ferli (skýrslugerð, kvartanir, gagnsæi)

• Skýrslurásir: Lágþröskuldstilkynningar notenda; forgangsraðað vinnslu ólöglegs efnis.
• Kvörtunarferli: Gagnsæ útskýring, andmæli, stigmagnun.
• Gagnsæisskýrslur: Regluleg birting viðeigandi lykiltalna og mælikvarða.

15. Notkun á léni (Fréttir, Data, Health, Flug, Yachts, Estate, Pay/Viðskipti/Trust/Mynt, Cars)

• Fréttir/Útgáfa: Aðstoð við rannsóknir, þýðing, umsjón; skýr merking á skapandi efni.
• SCANDIC DATA: Örugg gervigreind/háþróuð tölvuinnviði (HPC), aðskilnaður leigjenda, HSM/KMS, fylgjastnleiki, samræmisartifaktir.
• Health: Notkun byggð á vísindalegum gögnum, lokaákvörðun hjá mönnum, engar óprófaðar greiningar.
• Flug/Yachts: Öryggisferli, eftirlit manna, neyðarráðstafanir.
• Estate: Matslíkön með sanngirnisathugunum; ESG-samþætting.
• Pay/Viðskipti/Trust/Mynt: Svikavarnir, KYC/AML, markaðseftirlit, útskýranlegar ákvarðanir.
• Cars: Sérsniðin þjónusta með ströngum gagnaverndaraðferðum.

16. Þriðju aðilar, innkaup og áhættustýring birgja

• Áreiðanleikakönnun fyrir ráðningu: Öryggis-/gagnaverndarstig, gagnastaðsetningar, undirvinnsluaðilar, vottorð.
• Samningar: Endurskoðunarréttindi, gagnsæis- og úrbótaákvæði, SLA/OLA mælikvarðar.
• Eftirlit: Lykilárangursvísar (KPIs) fyrir frammistöðu, miðlun niðurstaðna/atvika, útgönguáætlanir.

17. Rekstrar-, eftirlits-, neyðar- og endurræsingaráætlanir

• Aðgerð: Athugunarhæfni (logar, mælikvarðar, rakningar), SLO/SLI stjórnun, afkastaáætlun.
• Neyðarástand: Keyrslubækur, DR-prófanir, endurheimtartímar, samskiptaáætlanir.
• Stillingar/leyndarmálsstjórnun: Minnst forréttindi, skiptingar, herðing.

18. Atvik og úrræði (siðfræði, gagnavernd, öryggi)

• Siðferðileg atvik: Óæskileg mismunun, rangar upplýsingar, óljós uppruni – tafarlausar aðgerðir og endurskoðun AIEB.
• Atvik í gagnavernd: Tilkynningarferli til persónuverndarfulltrúa/eftirlitsyfirvalda; upplýsingar fyrir aðila sem málið varðar; greining á rót vandans.
• Öryggisatvik: Verklagsreglur eftirlitsstofnunar Bandaríkjanna (CSIRT), réttarrannsóknir, lærdómur af reynslu, fyrirbyggjandi aðgerðir.

19. Mælikvarðar, lykilárangursvísar og trygging (innri/ytri)

• Skyldubundnir lykilárangursvísar: 100 % AIIA þekja afkastamikil notkunartilvik gervigreindar; <14 dagar miðgildi lausnartíma kvartana; >95 % þjálfunarhlutfall; 0 opnar mikilvægar niðurstöður endurskoðunar.
• Réttlætismælikvarðar: Mismunandi áhrif, jöfn líkur (sértækt fyrir notkunartilvik).
• Sjálfbærni: Orku-/PUE-/kolefnismælingar gagnaveranna; skilvirkni líkananna.

20. Þjálfun, vitundarvakning og menningarbreytingar

• Skyldubundin þjálfun (árlega): Siðfræði gervigreindar, gagnavernd, öryggi, siðfræði fjölmiðla; sértæk námskeið fyrir markhópa.
• Vitundarherferðir: Leiðbeiningar, brúnar töskur, viðtalstímar; innri starfshópar.
• Menning: Fyrirmyndarhlutverk leiðtoga, menning þar sem lært er af mistökum, umbun fyrir ábyrgri hegðun.

21. Innleiðing og vegvísir (0–6 / 6–12 / 12–24 mánuðir)

• 0–6 mánuðir: Notkunartilvik fyrir birgðir með gervigreind; AIIA ferli; lágmarksstýringar; þjálfunarbylgja; birgjaskimun.
• 6–12 mánuðir: Innleiða rauða teymisvinnu; fyrstu gagnsæisskýrslur; orkuáætlun; ljúka við RACI.
• 12–24 mánuðir: Samræming við ISO/IEC 42001; takmörkuð trygging; stöðugar umbætur; undirbúningur fyrir CSRD/ESRS (ef við á).

22. Hlutverk og RACI fylki

• Notkunartilvikseigandi (A): Tilgangur, ávinningur, lykilárangursvísar, fjárhagsáætlun, endurmat.
• Fyrirsætueigandi (R): Gögn/Þjálfun/Mat, Fyrirmyndarkort, Rekeftirlit.
• Persónuverndarfulltrúi (C/A fyrir persónuvernd): Lagalegur grundvöllur, DPIA, réttindi skráðra aðila.
• Security leiðsla (C): Ógnarlíkön, rauð teymi, TOM.
• Ábyrgðarritstjóri (C): Siðfræði fjölmiðla, merkingar, leiðréttingarskrá.
• Þjónustueigandi (R): Rekstrarstarfsemi, SLO, atvikastjórnun.
• Innkaupastjóri (R/C): Þriðju aðilar, samningar, útgönguáætlanir.

23. Gátlistar (stutt AIIA, gagnaútgáfa, gangsetningarhlið)

• Fljótleg athugun AIIA: Tilgangur? Lagalegur grundvöllur? Aðilar sem verða fyrir áhrifum? Áhætta (lagaleg/siðferðileg/pólitísk/hlutdræg/umhverfisleg)? Mótvægisaðgerðir? Stjórntæki vegna heilsufarsvandamála?
• Gagnamiðlun: Lögleg uppspretta? Lágmörkun? Varðveisla? Aðgangur? Þriðja land?
• Opnunarhlið: Eru allir gripir til staðar (Data/líkanskort, skrár)? Hefur verið brugðist við niðurstöðum rauða teymisins? Er eftirlit/afritun stillt upp?

24. Eyðublöð og sniðmát (fyrirmyndarkort, Data kort, atviksskýrsla)

• Fyrirmyndarkortssniðmát: Tilgangur, gögn, þjálfun, viðmið, takmarkanir, áhætta, ábyrgðaraðilar, tengiliður.
• Data-kortssniðmát: Uppruni, leyfi, gæði, dæmigert efni, hlutdrægniathuganir, notkunartakmarkanir.
• Sniðmát fyrir atviksskýrslu: Atburður, áhrif, aðilar sem verða fyrir áhrifum, tafarlausar aðgerðir, rót orsök, úrræði, lærdómur.

25. Orðalisti og heimildir

Orðalisti: AI kerfi, generative AI, áhættukerfi, AIIA, HIL, C2PA, red teaming, DPIA, RACI, SLO/SLI. Heimildir:

• Lög ESB um gervigreind
• GDPR
• DSA
• Meginreglur OECD um gervigreind
• NIST AI RMF
• ISO/IEC 42001
• Innri leiðbeiningar (gagnavernd, DSA-ferli, nútímaþrælahald, sjálfbærni)

Tilkynning: Þessi gervigreindarkóði bætir við núverandi leiðbeiningar LEGIER, svo sem: (Persónuvernd, Stafræn þjónusta, Mannréttindi/Birgðakeðja, Stjórnarhættir fyrirtækja, Sjálfbærni, Nútímaþrælahald). Hann er óaðskiljanlegur hluti af reglufylgniramma LEGIER samstæðunnar (LEGIER Beteiligungs mbH).