Hvad er Data Governance i AI Act?

Hvad kræver AI Act af jeres data?

EU AI Act Artikel 10 specificerer, at trænings-, validerings- og testdata for højrisiko AI-systemer skal være underlagt passende data governance- og managementpraksis. Det er en bred formulering, men den dækker over meget konkrete krav.

For det første skal datasæt være relevante og tilstrækkeligt repræsentative i forhold til systemets tilsigtede formål. Hvis et AI-system skal bruges til kreditvurdering i Danmark, skal træningsdata afspejle den danske befolknings sammensætning. Data, der udelukkende repræsenterer ét segment, skaber modeller med systematisk bias.

For det andet skal data i videst muligt omfang være fejlfrie og komplette. Det lyder oplagt, men i praksis kræver det robuste processer for datarensning, validering og kvalitetssikring, der går langt ud over, hvad mange virksomheder har i dag.

For det tredje kræver loven, at virksomheder dokumenterer deres data governance-praksis. Det omfatter designvalg, dataindsamlingsmetoder, forberedelsestrin som annotation og labeling, bias-detektion og -mitigering samt eventuelle datamangler og begrænsninger.

Endelig skal datasæt tage højde for den specifikke kontekst, hvor AI-systemet skal anvendes, herunder geografiske, adfærdsmæssige og funktionelle karakteristika i driftsmiljøet.

Consile rådgiver danske virksomheder om data governance og AI Act-compliance. Kontakt os for at få en vurdering af, om jeres datapraksis lever op til kravene i Artikel 10.

Data governance i praksis for virksomheder

For de fleste virksomheder starter data governance for AI med en grundlæggende øvelse: at kortlægge, hvilke data der rent faktisk bruges til at træne og drive AI-systemer. Mange organisationer opdager, at deres AI-modeller trækker på data fra kilder, som aldrig er blevet formelt godkendt eller dokumenteret.

Næste skridt er at etablere klare roller og ansvar. AI Governance kræver samspil mellem datateams, compliance-funktioner, juridisk afdeling og forretningsejere. Uden klare ejerskaber ender data governance som en øvelse i PowerPoint-slides, der aldrig bliver til virkelighed.

I praksis indebærer compliance med Artikel 10, at virksomheder skal kunne dokumentere hele datalivscyklussen for hvert højrisiko AI-system: fra indsamling over forberedelse til anvendelse. Det inkluderer metadata-styring, versionskontrol af datasæt og dokumentation af, hvordan bias er testet og håndteret.

For virksomheder, der anvender foundation models fra tredjeparter, rejser data governance yderligere spørgsmål. Selvom I ikke har trænet modellen, har I som deployer stadig ansvar for at sikre, at den anvendes inden for rammerne af dens tilsigtede formål, og at input-data håndteres forsvarligt.

Den gode nyhed er, at god data governance ikke kun handler om compliance. Virksomheder, der investerer i datakvalitet og -styring, oplever også bedre modelperformance, færre hallucinationer og mere pålidelige AI-outputs.

Hvad data governance under AI Act ikke er

Data governance under AI Act er ikke det samme som GDPR-compliance. GDPR handler om beskyttelse af persondata, mens AI Act Artikel 10 fokuserer på kvaliteten og repræsentativiteten af de data, der bruges til at bygge AI-systemer. De to regelsæt supplerer hinanden, men opfyldelse af det ene garanterer ikke opfyldelse af det andet.

Det er heller ikke en engangsindsats. Data governance er en løbende proces, der skal vedligeholdes gennem hele AI-systemets livscyklus. Nye data, ændrede forretningsbetingelser eller opdaterede modeller kan kræve fornyet vurdering af, om datasættene stadig er repræsentative og tilstrækkelige.

Endelig er data governance ikke kun et teknisk anliggende. Det kræver organisatorisk forankring, ledelsesbeslutninger om acceptable risikoniveauer og en kultur, hvor datakvalitet betragtes som en strategisk prioritet snarere end en teknisk detalje.