Siðareglur LEGIER og „SANDIC by LEGIER“ samstæðunnar um gervigreind

Efnisyfirlit

Tilkynning: Ef sjálfvirka skráin virðist tóm, vinsamlegast hægrismelltu í Word → „Uppfæra reit“.

 

• 1. Formáli og gildissvið
• 2. Grunngildi og leiðarljós
• 3. Stjórnarhættir og ábyrgð (Siðanefnd gervigreindar, RACI)
• 4. Laga- og reglugerðarrammi (ESB lög um gervigreind, GDPR, DSA, höfundarréttarlög, viðskiptalög)
• 5. Áhættuflokkun og áhrifamat á gervigreind (AIIA)
• 6. Gagnasiðfræði og gagnavernd (lagalegir grundvellir, DPIA, vafrakökur, þriðju lönd)
• 7. Líftími líkans og gagna (líftími vélanáms, gagnakort, líkankort)
• 8. Gagnsæi, skýranleiki og notkunarleiðbeiningar
• 9. Mannleg tengsl og eftirlitsskyldur
• 10. Öryggi, traustleiki og „red teaming“ (skjót innspýting, jailbreak)
• 11. Framboðskeðja, mannréttindi og sanngjörn vinnuafl (Nútímaþrælahald, LkSG-hliðstæða)
• 12. Fordómastjórnun, sanngirni og aðgengi (viðkvæmir viðskiptavinir, aðgengi)
• 13. Framleiðslugervigreind, upprunavottun og merkingar (C2PA, vatnsmerking)
• 14. Efni, stjórnun og DSA-ferli (tilkynningar, kvartanir, gagnsæi)
• 15. Notkun á léni (fréttir, gögn, heilsa, flug, snekkjur, fasteignir, greiðsla/viðskipti/traust/mynt, bílar)
• 16. Þriðju aðilar, innkaup og áhættustýring birgja
• 17. Rekstrar-, eftirlits-, neyðar- og endurreisnaráætlanir
• 18. Atvik og úrbætur (siðfræði, gagnavernd, öryggi)
• 19. Mælikvarðar, lykilárangursvísar og trygging (innri/ytri)
• 20. Þjálfun, vitundarvakning og menningarbreytingar
• 21. Innleiðing og vegvísir (0–6 / 6–12 / 12–24 mánuðir)
• 22. Hlutverk og RACI fylki
• 23. Gátlistar (AIIA yfirlit, gagnaútgáfa, gangsetningarhlið)
• 24. Eyðublöð og sniðmát (fyrirmyndarkort, gagnakort, atviksskýrsla)
• 25. Orðalisti og heimildir

1. Formáli og gildissvið

Þessar reglur setja fram bindandi meginreglur, ferla og eftirlit fyrir þróun, innkaup, rekstur og notkun gervigreindar innan LEGIER samstæðunnar. Þær eiga við um starfsmenn, stjórnendur, vinnsluaðila, birgja og samstarfsaðila innan samstæðunnar.

Það samþættir núverandi fyrirtækjastefnur (gagnavernd, stafrænar þjónustuferlar, stjórnarhætti fyrirtækja, sjálfbærni, mannréttindastefnu, yfirlýsingu um nútímaþrælahald) og útvíkkar þær til að innihalda kröfur sem tengjast gervigreind.

 

Markmið er að gera ávinning og nýsköpun mögulega, stjórna áhættu og vernda réttindi notenda, viðskiptavina og almennings.

 

2. Grunngildi og leiðarljós

 

• Mannleg reisn og grundvallarréttindi forgangsraða hagkvæmni. Gervigreind þjónar fólki – aldrei öfugt.
• Lögleg fylgni: Fylgni við Lög ESB um gervigreind, GDPR, DSA og staðlar sem eru sértækir fyrir hvern geira. Engin notkun á ólöglegum starfsháttum.
• Ábyrgð og ábyrgð: Ábyrgur eigandi er tilnefndur fyrir hvert gervigreindarkerfi; ákvarðanir eru gagnsæjar og umdeildar.
• Hófshlutfall: Jafnvægi milli tilgangs, áhættu, umfangs íhlutunar og samfélagslegra áhrifa.
• Gagnsæi og skýranleiki: Viðeigandi upplýsingar, skjöl og samskiptaleiðir varðandi virkni, gagnaaðgengi og takmarkanir.
• Réttlæti og aðgengi: Kerfisbundin hlutdrægnipróf, vernd viðkvæmra hópa, aðgengi og fjöltyngi.
• Öryggi og seigla: Öryggi með hönnun, ítarleg vörn, stöðug herðing og eftirlit.
• Sjálfbærni: Skilvirkni líkana og gagnavera (orka, PUE/CFE), líftímasýn gagna/líkana.

3. Stjórnarhættir og ábyrgð (Siðanefnd gervigreindar, RACI)

Siðanefnd gervigreindar (AIEB): Þverfaglegt (tækni, lögfræði/eftirfylgni, gagnavernd, öryggi, ritstjórn/vöruframleiðsla, starfsfólk). Ábyrgð: Uppfæra stefnur, gefa út samþykki (sérstaklega þau sem eru áhættusöm), leysa úr ágreiningi og fylgjast með skýrslum.

Rúlla: Eigandi notkunartilviks, eigandi líkans, gagnaumsjónarmaður, persónuverndarfulltrúi, öryggisstjóri, ábyrgur ritstjóri, þjónustueigandi, innkaupastjóri.

Nefndir og gáttir: Samþykki AIIA fyrir útgáfu; Ráðgjafarnefnd um breytingar vegna efnislegra breytinga; árleg stjórnendateymi.

RACI meginreglan: Skýr úthlutun ábyrgðar fyrir hverja starfsemi (Ábyrgð, Ábyrgð, Samráð, Upplýst).

 

4. Laga- og reglugerðarrammi (ESB lög um gervigreind, GDPR, DSA, höfundarréttarlög, viðskiptalög)

• Lög ESB um gervigreind: Áhættumiðað rammaverk með bönnum, skyldum fyrir kerfi með mikla áhættu, skjölun, skráningu, stjórnarháttum og gagnsæiskröfum; framkvæmd í áföngum frá 2025/2026.
• GDPR: Lagaleg grundvöllur (6. gr./9), réttindi skráðra einstaklinga, friðhelgi einkalífs með innbyggðri persónuvernd/sjálfgefinni persónuvernd, mat á áhrifum á persónuvernd (DPIA), millifærslur til þriðju landa (44. gr. o.fl.).
• DSA: Ferli tilkynninga, kvartana, gagnsæisskýrslna og áhættumats fyrir stóra palla.
• Höfundarréttur og aukahöfundarréttur / persónuréttindi: Hreinsar leyfiskeðjur, mynda-/nafnaréttindi, húsréttindi þriðja aðila.
• Sértækar kröfur fyrir atvinnugreinina (t.d. flug-/sjóréttarlög/heilbrigðislög) verður einnig að fylgja.

5. Áhættuflokkun og áhrifamat á gervigreind (AIIA)

Flokkun:

1. Bönnuð starfsemi (ekki leyfð)
2. Hááhættukerfi (strangar skyldur)
3. Takmörkuð áhætta (gagnsæi)
4. Lágmarksáhætta

AIIA ferli: Lýsing á tilgangi/umfangi, hagsmunaaðilum, lagalegum grundvelli, gagnaheimildum; áhættugreiningu (lagalegri, siðferðilegri, öryggis-, hlutdrægni-, umhverfisáhrifa); mótvægisaðgerð; ákvörðun (samþykki AIEB).

Endurmat: Fyrir efnislegar breytingar, árlega fyrir atriði með mikla áhættu; skjölun í miðlægri skrá.

 

6. Gagnasiðfræði og gagnavernd (lagalegir grundvellir, DPIA, vafrakökur, þriðju lönd)

• Gagnalágmörkun og tilgangstakmörkun; Dulnafnvæðing/nafnleysi er æskilegt.
• Gagnsæi: Upplýsingar um gagnavernd, upplýsingar og eyðingarleiðir; flytjanleiki; andmælamöguleikar.
• Vafrakökur/rakningar: Samþykkisstjórnun; afturköllun; nafnleynd IP-talna; aðeins samþykkt verkfæri.
• Flutningar frá þriðja landi: Aðeins með viðeigandi ábyrgðum (SCC/fullnægjandi öryggi); reglulegum úttektum á undirvinnsluaðilum.
• Persónuverndarmat: Skyldubundið fyrir vinnslu með mikilli áhættu; skjalfesta tæknilegar/skipulagslegar ráðstafanir (TOM).

7. Líftími líkans og gagna (líftími vélanáms, gagnakort, líkankort)

Líftími gagna: Öflun → Sýsla → Merkingar → Gæðahlið → Útgáfustjórnun → Varðveisla/eyðing.

Líftími líkans: Skilgreining vandamáls → Val á arkitektúr → Þjálfun/fínstilling → Mat (Ótengdur/Á netinu) → Útgáfa → Rekstrarstjórnun → Eftirlit → Endurþjálfun/Hætt notkun.

Gagnakort: Uppruni, dæmigerðleiki, gæði, niðurstöður skekkju, takmarkanir á notkun.

Fyrirmyndarkort: Tilgangur, þjálfunargögn, viðmið, mælikvarðar, takmarkanir, væntanleg villumynstur, hvað skal/ekki skal gera.

Uppruni og endurtekningarhæfni: Kóðatölur, gagna-/líkanútgáfur, sönnunargögn fyrir leiðslum.

 

8. Gagnsæi, skýranleiki og notkunarleiðbeiningar

• Merkingar fyrir gervigreindarsamskipti og efni sem er búið til með gervigreind.
• Útskýranleiki: Notið sérsniðnar skýringar að hverju tilviki fyrir sig, aðgengilegar leikmönnum (staðbundnum/alþjóðlegum).
• Leiðbeiningar fyrir notendur: Tilgangur, helstu áhrifaþættir, takmarkanir; endurgjöf og leiðréttingarleiðir.

9. Mannleg tengsl og eftirlitsskyldur

• Mannlegt eftirlit sem staðalbúnaður fyrir viðeigandi ákvarðanir (sérstaklega þær sem eru áhættusamar).
• Fjögurra augna meginreglan fyrir ritstjórnarlega/félagslega viðkvæm verkefni.
• Hnekkja/hætta við aðgerðir; stigvaxandi leiðir; skjölun.

10. Öryggi, traustleiki og „red teaming“ (skjót innspýting, jailbreak)

• Ógnalíkön (STRIDE + sértæk fyrir gervigreind): Skjót innspýting, eitrun á þjálfunargögnum, þjófnaður líkana, leki á friðhelgi einkalífs.
• Rauð teyming og andstæðingaprófanir; forvarnir gegn flótta; hraðatakmörkun; úttakssía; leynileg skönnun.
• Sterkleiki: Varaleiðbeiningar, vegrið, afturvirkar áætlanir; losun kanarífugla; öryggisprófanir á óreiðu.

11. Framboðskeðja, mannréttindi og sanngjörn vinnuafl (Nútímaþrælahald, LkSG-hliðstæða)

• Áreiðanleikakönnun á mannréttindum: Áhættugreining, kóði birgja, samningsbundnar skuldbindingar, úttektir, úrbætur.
• Nútímaþrælahald: Árleg yfirlýsing, vitundarvakning, skýrslugerðarleiðir.
• Vinnustaðlar: Sanngjörn laun, vinnutími, heilsuvernd; vernd uppljóstrara.

12. Fordómastjórnun, sanngirni og aðgengi (viðkvæmir viðskiptavinir, aðgengi)

• Hlutdrægnipróf: Gagnasöfnunargreining, jafnvægi, ýmsar prófunarhópar, sanngirnismælikvarðar; skjalfestar mótvægisaðgerðir.
• Viðkvæmir viðskiptavinir: Verndarmarkmið, aðrar leiðir, skýrt tungumál; engin nýting á hugrænum veikleikum.
• Aðgengi: WCAG-Samræmi; fjöltyngi; aðgengileg samskipti.

13. Framleiðslugervigreind, upprunavottun og merkingar (C2PA, vatnsmerking)

• Merkingar: Sýnileg merki/lýsigögn fyrir gervigreindarefni; tilkynningar meðan á samskiptum stendur.
• Sönnun uppruna: C2PA-Samhengi, undirskriftir/vatnsmerki þar sem það er tæknilega mögulegt.
• Höfundarréttur/tengd réttindi: Skýra leyfi; samræmi við þjálfunargögn; skrá réttindakeðju.

14. Efni, stjórnun og DSA-ferli (tilkynningar, kvartanir, gagnsæi)

• Skýrslurásir: Lágþröskuldstilkynningar notenda; forgangsraðað vinnslu ólöglegs efnis.
• Kvörtunarferli: Gagnsæ réttlæting, andmæli, stigmagnun.
• Gagnsæisskýrslur: Regluleg birting viðeigandi lykiltalna og mælikvarða.

15. Notkun á léni (fréttir, gögn, heilsa, flug, snekkjur, fasteignir, greiðsla/viðskipti/traust/mynt, bílar)

• Fréttir/Útgáfa: Aðstoð við rannsóknir, þýðing, umsjón; skýr merking á skapandi efni.
• SCANDIC GÖGN: Örugg gervigreind/HPC innviði, fjölleiguþjónusta, HSM/KMS, fylgjastnleiki, samræmisartifaktir.
• Heilsa: Notkun byggð á vísindalegum gögnum, lokaákvörðun hjá mönnum, engar óprófaðar greiningar.
• Flug/Snekkjur: Öryggisferli, eftirlit manna, neyðarráðstafanir.
• Bú: Verðmatslíkön með sanngirnisathugunum; samþætting ESG.
• Greiða/Viðskipti/Traust/Mynt: Svikavarnir, KYC/AML, markaðseftirlit, útskýranlegar ákvarðanir.
• Bílar: Sérsniðin þjónusta með ströngum gagnaverndaraðferðum.

16. Þriðju aðilar, innkaup og áhættustýring birgja

• Áreiðanleikakönnun fyrir ráðningu: Öryggis-/friðhelgisstig, staðsetningar gagna, undirvinnsluaðilar, vottorð.
• Samningar: Endurskoðunarréttindi, gagnsæi og úrbótaákvæði, SLA/OLA mælikvarðar.
• Eftirlit: Lykilárangursvísar (KPIs) fyrir frammistöðu, miðlun niðurstaðna/atvika, útgönguáætlanir.

17. Rekstrar-, eftirlits-, neyðar- og endurreisnaráætlanir

• Aðgerð: Athugunarhæfni (logar, mælikvarðar, rakningar), SLO/SLI stjórnun, afkastagetuáætlanagerð.
• Neyðarástand: Keyrslubækur, DR-prófanir, endurheimtartímar, samskiptaáætlanir.
• Stillingar/leynistjórnun: Minnst forréttindi, skiptingar, herðing.

18. Atvik og úrbætur (siðfræði, gagnavernd, öryggi)

• Siðferðisleg atvik: Óæskileg mismunun, rangar upplýsingar, óljós uppruni – tafarlausar aðgerðir og endurskoðun AIEB.
• Atvik í gagnavernd: Tilkynningarferli til persónuverndarfulltrúa/eftirlitsyfirvalda; upplýsingar fyrir þá sem verða fyrir áhrifum; greining á rót vandans.
• Öryggisatvik: Verklagsreglur eftirlitsstofnunar Bandaríkjanna (CSIRT), réttarrannsóknir, lærdómur af reynslu, fyrirbyggjandi aðgerðir.

19. Mælikvarðar, lykilárangursvísar og trygging (innri/ytri)

• Skyldubundnir lykilárangursvísar: 100% þekja AIIA á afkastamiklum notkunartilfellum gervigreindar; <14 dagar meðaltími til að leysa kvartanir; >95% þjálfunarhlutfall; 0 opnar mikilvægar niðurstöður endurskoðunar.
• Réttlætismælikvarðar: Mismunandi áhrif, jöfn líkur (sértækt fyrir notkunartilvik).
• Sjálfbærni: Mælingar á orkunotkun/PUE/kolefni í gagnaverum; skilvirkni líkana.

20. Þjálfun, vitundarvakning og menningarbreytingar

• Skyldubundin þjálfun (árlega): Siðfræði gervigreindar, gagnavernd, öryggi, siðfræði fjölmiðla; sértæk námskeið fyrir markhópa.
• Vitundarherferðir: Leiðbeiningar, brúnar töskur, viðtalstímar; innri starfshópar.
• Menning: Fyrirmyndarhlutverk leiðtoga, mistökamenning, umbun fyrir ábyrgar aðgerðir.

21. Innleiðing og vegvísir (0–6 / 6–12 / 12–24 mánuðir)

• 0–6 mánuðir: Skrá yfir notkunartilvik gervigreindar; ferli gervigreindar; lágmarkseftirlit; þjálfunarbylgja; skimun birgja.
• 6–12 mánuðir: Innleiða rauða teymisvinnu; fyrstu gagnsæisskýrslur; orkuáætlun; ljúka við RACI.
• 12–24 mánuðir: Samræming við ISO/IEC 42001; takmörkuð trygging; stöðugar umbætur; undirbúningur fyrir CSRD/ESRS (ef við á).

22. Hlutverk og RACI fylki

• Notkunartilvikseigandi (A): Tilgangur, ávinningur, lykilárangursvísar, fjárhagsáætlun, endurmat.
• Fyrirsætueigandi (R): Gögn/Þjálfun/Mat, Fyrirmyndarkort, Rekeftirlit.
• Persónuverndarfulltrúi (C/A fyrir persónuvernd): Lagalegur grundvöllur, DPIA, réttindi skráðra aðila.
• Öryggisleiðtogi (C): Ógnarlíkön, rauð teymi, TOM.
• Ábyrgðarritstjóri (C): Siðfræði fjölmiðla, merkingar, leiðréttingarskrá.
• Þjónustueigandi (R): Rekstrarstarfsemi, SLO, atvikastjórnun.
• Innkaupastjóri (R/C): Þriðju aðilar, samningar, útgönguáætlanir.

23. Gátlistar (AIIA yfirlit, gagnaútgáfa, gangsetningarhlið)

• Fljótleg athugun á AIIA: Tilgangur? Lagalegur grundvöllur? Þeir sem verða fyrir áhrifum? Áhætta (lagaleg/siðferðileg/öryggisleg/hlutdrægni/umhverfisleg)? Mótvægisaðgerðir? Stjórntæki vegna heilsufarsvandamála?
• Gögnin verða birt: Er heimildin lögmæt? Lágmörkun? Geymsla? Aðgangur? Frá þriðja landi?
• Opnunarhlið: Eru gripirnir tilbúnir (gögn/líkönskort, skrár)? Er niðurstöðum rauða teymisins svarað? Er eftirlit/afritunarferli sett upp?

24. Eyðublöð og sniðmát (fyrirmyndarkort, gagnakort, atviksskýrsla)

• Sniðmát fyrir kort: Tilgangur, gögn, þjálfun, viðmið, takmarkanir, áhætta, ábyrgðaraðilar, tengiliður.
• Sniðmát fyrir gagnakort: Uppruni, leyfi, gæði, dæmigert efni, hlutdrægniathuganir, notkunartakmarkanir.
• Sniðmát fyrir atviksskýrslu: Atburður, áhrif, áhrif, tafarlausar aðgerðir, rót orsök, úrræði, lærdómur.

25. Orðalisti og heimildir

Orðalisti: AI kerfi, generative AI, áhættukerfi, AIIA, HIL, C2PA, red teaming, DPIA, RACI, SLO/SLI.

Heimildir:

• Lög ESB um gervigreind
• GDPR
• DSA
• Meginreglur OECD um gervigreind
• NIST AI RMF
• ISO/IEC 42001
• Innri leiðbeiningar (gagnavernd, DSA-ferli, nútímaþrælahald, sjálfbærni)

Tilkynning: Þessi gervigreindarkóði bætir við núverandi stefnu LEGIER, þar á meðal um gagnavernd, stafræna þjónustu, mannréttindi/framboðskeðju, stjórnarhætti fyrirtækja, sjálfbærni og nútímaþrælahald. Hann er óaðskiljanlegur hluti af reglufylgniramma LEGIER-samstæðunnar (LEGIER Beteiligungs mbH).