I tillegg til vurderinger som gjøres ved innføring av vanlige IKT-systemer, som personvernkonsekvensvurdering (ehelse.no) (eng. Data Protection Impact Assesment; DPIA) og risiko- og sårbarhetsanalyse (ROS), kan denne fasen innebære å gjøre en konsekvensvurdering av KI-systemet, for å fange opp andre og KI-spesifikke risikoer [120].
Krav om gjennomføring av en DPIA vil ofte kunne være tilfelle ved bruk av KI, siden det foreløpig er snakk om ny og innovativ teknologi (i henhold til personvernforordningen[121]). Når KI-forordningen trer i kraft, vil det bli et krav om at virksomheter gjennomfører en FRIA[122] for høyrisiko-KI-systemer brukt på enkelte områder som kan påvirke menneskerettigheter, dersom de leverer tjenester til allmenheten. Hensikten med en FRIA er å beskytte grunnleggende rettigheter, øke tilliten til KI og forebygge negative konsekvenser.
En konsekvensvurdering av grunnleggende rettigheter (FRIA) er en detaljert analyse av:
- Virksomhetens prosesser
- Hvordan vil KI-systemet bli brukt i praksis?
- Tidsperiode og hyppighet
- Hvor lenge og hvor ofte vil systemet bli brukt?
- Berørte personer
- Hvilke kategorier av personer eller grupper vil sannsynligvis bli påvirket?
- Spesifikke risikoer
- Hvilke risikoer for skade kan oppstå for de berørte personene?
- Tiltak for menneskelig tilsyn
- Hvordan vil man sikre menneskelig kontroll og overvåking av systemet?
- Tiltak for å håndtere risiko
- Hvilke tiltak vil bli iverksatt for å minimere eller eliminere de identifiserte risikoene?
En KI-konsekvensvurdering kan omfatte (men er ikke begrenset til) områder som påvirker pasientsikkerhet, rettferdighet, transparens, forklarbarhet, cybersikkerhet, informasjonssikkerhet, personvern, finansielle konsekvenser, tilgjengelighet og menneskerettigheter, og å oppdage eventuell ondsinnet bruk av systemet [123]. Det kan være noe overlapp mellom en slik KI-konsekvensvurdering, DPIA og FRIA. Det kan derfor være hensiktsmessig å gjennomføre disse vurderingene samtidig. Det finnes flere kilder til hvordan man kan gjøre konsekvensvurdering, og ulike maler [124][125][126]. Det danske Datatilsynet har publisert en mal tiltenkt en personvernkonsekvensvurdering ved bruk av personopplysninger i KI-systemer [127].
NIST har utgitt et risikorammeverk for kunstig intelligens (NIST AI RMF 1.0). Dette rammeverket kan benyttes til å bygge en struktur rundt håndtering av risiko knyttet til kunstig intelligens, og gir en oversikt over de ulike typene av risiko som bør vurderes.
Disse vurderingene ligger til grunn for virksomhetens plan for risikohåndtering og er bestemmende for hvilke tiltak som er nødvendige å implementere utover det som er beskrevet i KI-systemets bruksanvisning [128][129].
[120] Virksomhetene må følge kravene i personopplysningsloven og personvernforordningen, jf. https://lovdata.no/dokument/NL/lov/2018-06-15-38/gdpr/ARTIKKEL_25#gdpr/ARTIKKEL_25.
[121] GDPR artikkel 35: L_2016119EN.01000101.xml (eur-lex.europa.eu)
[122] Fundamental rights impact assessment (FRIA), KI-forordningen artikkel 27
[123] Se også ISO/IEC 42001:2023: Ledelsessystem for kunstig intelligens.
[129] Artikkel 26 i KI-forordningen