AI-policy för SamCert AB
(Please find our AI-policy in English here.)
Inledning
Genom att fokusera på de positiva aspekterna av AI och dess potential att förbättra våra tjänster och processer, hoppas vi att denna policy kommer att uppmuntra till ansvarsfull och innovativ användning av AI inom SamCert AB och stödja våra kunder i sin AI-resa. Vi ser fram emot att utforska de många möjligheterna med AI tillsammans med våra anställda, konsulter och kunder.
Syfte
Denna policy syftar till att främja ansvarsfull och effektiv användning av artificiell intelligens (AI) inom SamCert AB. Vi ser AI som en möjlighet att förbättra våra tjänster och processer, samtidigt som vi respekterar integritetsskydd och korrekt hantering av personuppgifter. Policyn gäller hur vi ser på AI, att vi innehar nödvändig kompetens och hur vi använder AI i våra processer samt hur vi förmedlar detta till våra kunder och samarbetspartners. Som seniora konsulter inom ISO-ledningssystem ska vi vara välinformerade och uppdaterade samt stödja våra kunder i deras AI-resa med att utveckla sina affärsprocesser.
Målgrupp
Alla anställda, kontrakterade konsulter och våra kunder.
Med vår erfarenhet och AI bygger vi en hållbar framtid!
Ansvar
1. Ledning
VD är ansvarig för att sätta regler och godkänna all användning av AI-system* inom företaget.
2. Anställda och konsulter
Alla som använder AI-drivna verktyg (AI-system) på SamCert AB ska vara medvetna om deras ansvar för att använda tekniken etiskt och i enlighet med företagets värderingar. Användare ska vara medvetna om AI-modellernas begränsningar och potentiella partiskhet ”bias”. Alla anställda och konsulter ska identifiera och rapportera potentiella risker och möjligheter till VD via mailadressen kma@samcert.se. Avvikelser och incidenter ska tillika rapporteras.
3. Kunder
Vi tillfrågar och informerar våra kunder om hur vi använder AI i våra tjänster och vilka data som samlas in. Vi respekterar kundens integritet och använda AI endast för av kunden godkända ändamål.
Transparens och integritet
1. Transparens
Vi ska vara transparenta med användningen av AI i våra tjänster och kommunicera tydligt med våra kunder. Vi ska framhålla vikten av att alla användare förstår hur AI påverkar deras arbete och beslut.
2. Säkerhet och dataskydd
Vi ska säkerställa att våra AI-system är skyddade mot obehörig åtkomst och dataintrång. Personuppgifter som lagras eller samlas in av AI-system ska hanteras enligt gällande dataskyddslagar, inklusive GDPR och andra krav** på integritetsskydd, i enligt med vår integritetspolicy.
Utbildning och medvetenhet
1. Utbildning
Alla anställda och konsulter ska utbildas i AI-förståelse dvs ”AI Literacy” samt ansvarsfull användning av AI-system och dess etiska aspekter i enlighet med gällande personlig utbildningsplan. Vi genomför kontinuerlig utbildning för att hålla oss uppdaterade om AI-utveckling och hur AI-teknik används ansvarsfullt och etiskt, med tydliga riktlinjer.
2. Medvetenhet
Vi främjar medvetenhet om AI bland våra anställda, samarbetspartners och kunder. Grundregeln är att vi inte får använda några AI-system utan att de är godkända av SamCert AB. Förfrågan ska inkomma till VD varpå SamCert AB utvärderar och godkänner system med AI. Vi tillåter endast godkända AI-system för användning i vår verksamhet i enlighet med denna policy och gällande rutiner.
Övervakning och uppföljning
1. Övervakning
Vi övervakar användningen av AI för att säkerställa efterlevnad av denna policy. Eventuella avvikelser rapporteras till VD och utreds. Om personuppgifter röjs eller misstänks ha kommit ut i publika AI-system ska det utredas som en personuppgiftsincident.
2. Uppföljning
Denna policy granskas regelbundet och uppdateras vid behov.
Åtaganden
Vi åtar oss att följa alla relevanta lagar*** och andra krav som gäller för vår användning av AI. Dessutom åtar vi oss att ständigt förbättra vårt kvalitetsledningssystem för att säkerställa att vi fortsätter att använda AI på ett ansvarsfullt och effektivt sätt.
Fastställd 2024-08-28
Ann-Sofie Gustafsson
VD SamCert AB
* AI-system som används av SamCert: Copilot Edge for business. SamCerts SaaS-applikation ”Lagwebben” utvecklad av en programmeringsleverantör som använder .NET (Microsoft) baserat på våra krav. Lagwebben innehåller inga AI-funktioner för närvarande, men kan komma att göra det i framtiden.
** Dataskyddslagen, LEK (Lagen om elektronisk kommunikation), ePrivacy-direktivet (Privacy and Electronic Communications Directive) för egen del samt känna till följande lagkrav för våra kunders vägnar, Säkerhetsskyddslagen, Kameraövervakningslagen, Registerförfattningar (tex patientdatalagen), NIS-direktivet (Directive on Security of Network and Information Systems), Cybersecurity Act, Data Governance Act och Schrems II-beslutet.
NIS2 i Sverige: Utredningen har lämnat delbetänkandet SOU 2024:18 Nya regler om cybersäkerhet med förslag om hur NIS2-direktivet ska implementeras och föreslår att förslagen ska träda i kraft den 1 januari 2025.
***AI-förordningen (AI Act fastställdes av kommissionen den 13 juni 2024 och trädde ikraft 1 augusti 2024)