AI:s etiska regler för LEGIER- och "SANDIC by LEGIER"-koncernen

Innehållsförteckning

Obs! Om den automatiska katalogen visas tom, högerklicka i Word → "Uppdatera fält".

1. ingress och tillämpningsområde

I denna kod anges bindande principer, processer och kontroller för utveckling, upphandling, drift och användning av AI inom LEGIER-koncernen. Den gäller för hela koncernen och omfattar medarbetare, chefer, uppdragstagare, leverantörer och samarbetspartners.

Den integrerar befintliga koncernriktlinjer (dataskydd, processer för digitala tjänster, bolagsstyrning, hållbarhet, policy för mänskliga rättigheter, uttalande om modernt slaveri) och utvidgar dem till att omfatta AI-specifika krav.

Mål är att möjliggöra fördelar och innovation, göra riskerna hanterbara och skydda användarnas, kundernas och allmänhetens rättigheter.

2. grundläggande värderingar och vägledande principer

Människovärde och grundläggande rättigheter står över ekonomisk effektivitet. AI tjänar människor - aldrig tvärtom.
Rättslig överensstämmelse: Överensstämmelse med EU:s AI-lag, GDPR, DSA och branschspecifika standarder. Ingen användning av förbjudna metoder.
Ansvar och ansvarsskyldighet: En ansvarig ägare utses för varje AI-system; besluten är spårbara och kan överklagas.
Proportionalitet: Balans mellan syfte, risk, ingripandets intensitet och social påverkan.
Öppenhet och förklarbarhet: Tillräckliga informations-, dokumentations- och kommunikationskanaler om funktionalitet, datasituationer och begränsningar.
Rättvisa och inkludering: Systematiska tester av partiskhet, skydd av utsatta grupper, tillgänglighet och flerspråkighet.
Säkerhet och motståndskraft: Konceptbaserad säkerhet, djupförsvar, kontinuerlig härdning och övervakning.
Hållbarhet: Effektivitet hos modeller och datacenter (energi, PUE/CFE), livscykelperspektiv för data/modeller.

3. styrning och ansvar (AI:s etikråd, RACI)

AI:s etiska nämnd (AIEB): Tvärvetenskaplig (teknik, juridik/överensstämmelse, dataskydd, säkerhet, redaktion/produkt, människor). Arbetsuppgifter: Uppdatering av policyer, utfärdande av godkännanden (särskilt högrisk), beslut om konflikter, övervakning av rapporter.

Roller: Use Case Owner, Model Owner, Data Steward, DPO, Security Lead, Responsible Editor, Service Owner, Procurement Lead.

Kommittéer och portar: AIIA-godkännande före driftsättning; ändringsråd för väsentliga ändringar; årliga ledningsgenomgångar.

RACI-principen: Tydlig ansvarsfördelning för varje aktivitet (Responsible, Accountable, Consulted, Informed).

4. Ramverk för lagstiftning och standardisering (EU:s AI-lag, GDPR, DSA, upphovsrätt, handelsrätt)

EU-AI-Akt: Riskbaserat ramverk med förbud, skyldigheter för högrisk-system, dokumentation, loggning, styrning, transparensskyldigheter; stegvis tillämpning från 2025/2026.
GDPR: Rättslig grund (artikel 6/9), registrerades rättigheter, inbyggt/förvaltat integritetsskydd, konsekvensbedömning avseende dataskydd, överföring till tredje land (artikel 44 ff.).
DSA: Plattformsprocesser för anmälan, klagomål, transparensrapporter, riskbedömningar av stora plattformar.
Upphovsrätt & närstående rättigheter / personliga rättigheter: Tydliga licenskedjor, bild- och namnrättigheter, tredje parts hemvisträttigheter.
Branschspecifika krav (t.ex. luftfart/sjörätt/hälsa) måste också uppfyllas.

5. riskklassificering och konsekvensbedömning av AI (AIIA)

Klassificering:

Förbjudna metoder (inte tillåtna)
System med hög risk (strikta skyldigheter)
Begränsad risk (transparens)
Minimerad risk

AIIA-förfarande: Beskrivning Syfte/omfattning, intressenter, rättslig grund, datakällor; riskanalys (rättslig, etisk, säkerhet, partiskhet, miljöpåverkan); riskreduceringsplan; beslut (godkännande av AIEB).

Nya bedömningar: För väsentliga förändringar, årligen för hög risk; dokumentation i det centrala registret.

6. dataetik och dataskydd (rättslig grund, DPIA, cookies, tredje land)

Dataminimering och begränsning av ändamål; Pseudonymisering/anonymisering föredras.
Öppenhet och insyn: Information om dataskydd, kanaler för information och radering; portabilitet; möjligheter att göra invändningar.
Cookies/spårning: Hantering av samtycke; återkallande; IP-anonymisering; endast godkända verktyg.
Överföringar till tredje land: Endast med lämpliga garantier (SCC/tillräcklighet); regelbunden kontroll av underleverantörerna.
DPIA: Obligatoriskt för högriskbearbetning; dokumentera tekniska/organisatoriska åtgärder (TOM).

7. Modell- och datalivscykel (ML-livscykel, datakort, modellkort)

Livscykel för data: Förvärv → Bevarande → Märkning → Kvalitetsgranskning → Versionering → Bevarande/Deletion.

Modellens livscykel: Problemdefinition → Val av arkitektur → Utbildning/finjustering → Utvärdering (offline/online) → Release → Drift → Övervakning → Omskolning/pensionering.

Datakort: Ursprung, representativitet, kvalitet, snedvridningsresultat, begränsningar i användningen.

Modellkort: Syfte, utbildningsdata, riktmärken, mätvärden, begränsningar, förväntade felmönster, vad man bör och inte bör göra.

Proveniens och reproducerbarhet: Hashar, data-/modellversioner, pipelineverifieringar.

8. Transparens, förklarbarhet och användarinstruktioner

Märkning för AI-interaktion och AI-genererat innehåll.
Förklaringsbarhet: Använd fallanpassade, lekmannavänliga förklaringar (lokala/globala).
Instruktioner för användare: Syfte, huvudsakliga påverkansfaktorer, gränser; metoder för återkoppling och korrigering.

9. Människan i loopen och tillsynsuppgifter

Mänsklig tillsyn som standard för relevanta beslut (särskilt hög risk).
Fyrögonprincipen för redaktionellt/socialt känsliga uppdrag.
Åsidosättande/annullering av funktioner; eskaleringsvägar; dokumentation.

10. Säkerhet, robusthet och "red-teaming" (prompt injection, jailbreaks)

Hotmodellering (STRIDE + AI-specifik): Prompt injektion, förgiftning av utbildningsdata, modellstöld, läckage av dataskydd.
Red teaming och kontradiktoriska tester; förebyggande av jailbreak; hastighetsbegränsning; utdatafiltrering; hemlig skanning.
Robusthet: Reservmeddelanden, skyddsräcken, rollback-planer; kanariefåglar; kaostester för säkerhet.

11. Leverantörskedja, mänskliga rättigheter och rättvisa arbetsvillkor (modernt slaveri, LkSG-analog)

Due diligence avseende mänskliga rättigheter: Riskanalys, uppförandekod för leverantörer, avtalsenliga åtaganden, revisioner, korrigerande åtgärder.
Modernt slaveri: Årlig deklaration, medvetandegörande, rapporteringskanaler.
Arbetsnormer: Rättvisa löner, arbetstider, hälsoskydd, skydd av visselblåsare.

12. hantering av partiskhet, rättvisa och inkludering (utsatta kunder, tillgänglighet)

Fördomskontroller: Analyser av datauppsättningar, balansering, olika testgrupper, rättvisemått; dokumenterad begränsning.
Kunder i riskzonen: Skyddsmål, alternativa kanaler, tydligt språk; inget utnyttjande av kognitiva svagheter.
Tillgänglighet: WCAG-konformitet; flerspråkighet; inkluderande förhållningssätt.

13. Generativ AI, ursprungsbevis och märkning (C2PA, vattenstämpel)

Märkning: Synliga etiketter/metadata för AI-innehåll; ledtrådar för interaktioner.
Garantier för ursprung: C2PA-kontext, signaturer/vattenstämplar så långt det är tekniskt möjligt.
Upphovsrätt/skydd av tjänster: Klargör licenser, utbilda i efterlevnad av data, dokumentera rättighetskedjan.

14. Processer för innehåll, moderering och DSA (rapportering, klagomål, transparens)

Rapporteringskanaler: Användarrapportering med låg tröskel; prioriterad behandling av olagligt innehåll.
Klagomålsprocesser: Transparent motivering, invändning, upptrappning.
Rapporter om insyn: Periodisk publicering av relevanta nyckeltal och åtgärder.

15. Domänspecifik användning (nyheter, data, hälsa, flyg, yachter, fastigheter, pay/trade/trust/coin, bilar)

Nyheter/publicering: Forskningshjälp, översättning, moderering; tydlig märkning av generativt innehåll.
SCANDIC DATA: Säker AI/HPC-infrastruktur, klientseparation, HSM/KMS, observerbarhet, artefakter för efterlevnad.
Hälsa: Evidensbaserad användning, mänskligt slutligt beslut, inga otestade diagnoser.
Flyg/Yachter: Säkerhetsprocesser, mänsklig övervakning, nödrutiner.
Estate: Värderingsmodeller med rättvisekontroll; ESG-integrering.
Betalning/handel/förtroende/pengar: Bedrägeribekämpning, kundkännedom/AML, marknadsövervakning, förklarliga beslut.
Bilar: Personanpassade tjänster med strikt dataskydd.

16. tredje part, upphandling och riskhantering för leverantörer

Due diligence före onboarding: Säkerhetsnivå/dataskyddsnivå, dataplatser, underbiträden, certifikat.
Kontrakt: Revisionsrättigheter, klausuler om transparens och avhjälpande, SLA/OLA-mätningar.
Övervakning: KPI:er för resultat, utbyte av resultat/incidenter, exitplaner.

17. Drift, observerbarhet, nöd- och återstartsplaner

Operation: Observerbarhet (loggar, mätvärden, spår), SLO/SLI-hantering, kapacitetsplanering.
Nödläge: Runbooks, DR-tester, återställningstider, kommunikationsplaner.
Konfiguration/sekretesshantering: Lägsta privilegium, rotationer, härdning.

18. incidenter och åtgärder (etik, dataskydd, säkerhet)

Etiska incidenter: Oönskad diskriminering, desinformation, oklart ursprung - omedelbara åtgärder och granskning av AIEB.
Incidenter som rör dataskydd: Rapporteringsprocesser till DPO/övervakning; information till berörda parter; analys av grundorsaker.
Säkerhetsincidenter: CSIRT-förfaranden, kriminalteknik, lärdomar, förebyggande åtgärder.

19. Mätetal, KPI:er och försäkran (intern/extern)

Obligatoriska KPI:er: 100 % AIIA-täckning av produktiva AI-användningsfall; 95 % utbildningsgrad; 0 öppna kritiska revisionsresultat.
Rättvisemått: Olikartad påverkan, utjämnade odds (använd fallspecifik).
Hållbarhet: Energi-/PUE- och koldioxidsiffror för datacenter; modellernas effektivitet.

20. Utbildning, medvetenhet och kulturell förändring

Obligatorisk utbildning (årligen): AI-etik, dataskydd, säkerhet, medieetik; målgruppsspecifika moduler.
Kampanjer för att öka medvetenheten: Guider, "brown-bag"-möten, konsultationstimmar, interna "communities of practice".
Kultur: Ledarskap som förebild, felkultur, belöning av ansvarsfullt beteende.

21. Implementering & färdplan (0-6 / 6-12 / 12-24 månader)

0-6 månader: Inventering av AI-användningsfall; AIIA-process; minimikontroller; utbildningsvåg; screening av leverantörer.
6-12 månader: Utrullning av red teaming; första transparensrapporterna; energiprogram; slutföra RACI.
12-24 månader: Anpassning till ISO/IEC-42001; begränsad säkerhet; kontinuerlig förbättring; CSRD/ESRS-förberedelser (om tillämpligt).

22. roller & RACI-matris

Ägare av användningsfall (A): Syfte, fördelar, KPI:er, budget, omprövningar.
Modell-ägare (R): Data/utbildning/utvärdering, modellkort, driftövervakning.
Dataskyddsombud (C/A för dataskydd): Rättslig grund, DPIA, registrerades rättigheter.
Säkerhetschef (C): Hotmodellering, red teaming, TOM.
Ansvarig utgivare (C): Medieetik, märkning, rättelseregister.
Ägare av tjänsten (R): Drift, SLO, incidenthantering.
Upphandlingsledare (R/C): Tredje part, avtal, exitplaner.

23. checklistor (AIIA kort, datautlämning, go-live gate)

AIIA snabbkontroll: Syfte? Rättslig grund? Berörda parter? Risker (juridiska/etiska/säkerhet/fördomar/miljö)? Begränsning? HIL-kontroller?
Data släpps: Laglig källa? Minimering? Bevarande? Tillgång? Tredje land?
Go-Live-Gate: Artefakter kompletta (data/modellkort, loggar)? Red Team-resultat hanterade? Övervakning/DR inrättad?

24. formulär och mallar (modellkort, datakort, incidentrapport)

Modell-Kort-Template: Syfte, data, utbildning, riktmärken, begränsningar, risker, ansvariga personer, kontakt.
Data-Card-Template: Ursprung, licens, kvalitet, representativitet, kontroll av partiskhet, restriktioner för användning.
Mall för incidentrapport: Incident, effekter, berörda personer, omedelbara åtgärder, grundorsak, åtgärd, lärdomar.

25 Ordlista & referenser

Ordlista: AI-system, generativ AI, högrisk-system, AIIA, HIL, C2PA, red teaming, DPIA, RACI, SLO/SLI.

Referenser:

EU:s AI-lag
GDPR
DSA
OECD:s AI-principer
NIST AI RMF
ISO/IEC 42001
Interna riktlinjer (dataskydd, DSA-processer, modernt slaveri, hållbarhet)

Obs! Denna AI-kod kompletterar LEGIERs befintliga riktlinjer, som t.ex: (dataskydd, digitala tjänster, mänskliga rättigheter/leverantörskedjan, bolagsstyrning, hållbarhet, modernt slaveri). Den är en integrerad del av LEGIER-koncernens (LEGIER Beteiligungs mbH) ramverk för efterlevnad.