AI Security Rider (AI-sikkerhedstillæg)

Hvad indeholder en AI Security Rider?

En AI Security Rider dækker typisk fem hovedområder, som tilsammen skaber en ramme for sikker brug af AI-løsninger i en virksomhedskontekst.

Datarettigheder og træningsbegrænsninger er det første og ofte vigtigste punkt. Tillægget specificerer, at leverandøren ikke må bruge virksomhedens data til at træne eller forbedre sine egne modeller, medmindre der foreligger eksplicit skriftligt samtykke. Det er en afgørende beskyttelse, fordi mange AI-platforme som standard bruger inputdata til modelforbedring.

Transparens og dokumentation er det andet fokusområde. Leverandøren skal oplyse, hvilke AI-modeller der anvendes, hvordan de er trænet, og hvilke data de har adgang til. Hvis leverandøren skifter underliggende model eller opdaterer systemets adfærd, skal virksomheden informeres på forhånd.

Sikkerhedskrav og adgangskontrol udgør det tredje element. Tillægget definerer krav til kryptering, adgangsbegrænsning og logning af alle interaktioner med AI-systemet. Det inkluderer ofte krav om penetrationstests og løbende sikkerhedsaudits specifikt rettet mod AI-komponenterne.

Hændelseshåndtering og notifikation er det fjerde område. Leverandøren forpligtes til at rapportere sikkerhedshændelser, AI-hallucinationer med alvorlige konsekvenser eller datalæk inden for en defineret tidsramme, typisk 72 timer, i overensstemmelse med gældende regulering.

Consile hjælper virksomheder med at udarbejde AI Security Riders, der beskytter jeres data og sikrer compliance med EU AI Act. Kontakt os for en uforpligtende vurdering af jeres AI-leverandøraftaler.

Hvorfor virksomheder har brug for en AI Security Rider

Standardkontrakter for softwareleverancer blev designet i en tid, hvor systemer var deterministiske: samme input gav altid samme output. AI-systemer er fundamentalt anderledes. De lærer, tilpasser sig og kan generere uforudsigelige resultater. Denne forskel gør, at eksisterende kontraktskabeloner efterlader betydelige juridiske og operationelle huller.

For virksomheder, der håndterer følsomme data, er risikoen konkret. Ifølge forskning fra Microsoft angiver 80% af virksomhedsledere datalækage som deres største bekymring ved AI-implementering. En AI Security Rider adresserer denne bekymring direkte ved at fastlægge klare regler for, hvordan data må bruges, opbevares og beskyttes.

EU AI Act stiller desuden krav om, at virksomheder, der anvender højrisiko-AI-systemer, kan dokumentere deres leverandørers compliance. En AI Security Rider giver det kontraktuelle grundlag for denne dokumentation. Uden den risikerer virksomheden at stå uden juridisk rygdækning, hvis leverandørens AI-system forårsager problemer.

I praksis ser vi, at virksomheder i regulerede brancher som finans, sundhed og offentlig forvaltning allerede kræver AI-specifikke kontrakttillæg. Tendensen breder sig hurtigt til andre sektorer, efterhånden som ansvarlig AI bliver en prioritet på ledelsesniveau.

Hvad en AI Security Rider ikke er

En AI Security Rider er ikke en erstatning for virksomhedens interne AI-politik eller AI Governance-ramme. Den regulerer forholdet til en specifik leverandør, ikke hvordan medarbejderne internt bruger AI. En virksomhed, der har en stærk AI Security Rider i sine leverandøraftaler, men ingen intern AI-politik, har kun løst halvdelen af udfordringen.

Det er heller ikke en teknisk sikkerhedsstandard i sig selv. En AI Security Rider refererer til standarder som ISO 27001, SOC 2 eller NIST AI RMF, men den erstatter dem ikke. Den fungerer som det kontraktuelle instrument, der forpligter leverandøren til at overholde disse standarder.

Endelig er en AI Security Rider ikke en engangsøvelse. AI-teknologien udvikler sig hurtigt, og tillægget skal revideres løbende, typisk årligt, for at afspejle nye risici, nye reguleringsmæssige krav og ændringer i leverandørens AI-produkter.