AI och regelefterlevnad – vad bör byrån tänka på?

Det finns olika typer av AI-modeller som har olika grad av självständighet beroende på hur de är utformade. Förenklat kan man skilja mellan regelbaserade system som är förutsägbara och ger samma utfall vid samma indata och mer avancerade AI-modeller, såsom generativ AI, som är mer anpassningsbara och kan generera olika resultat. När man pratar om AI i dagligt tal, avses ofta generativ AI.

AI kan utgöra ett värdefullt stöd i det dagliga arbetet men dess användning måste ske i enlighet med tillämpliga lagar och regler. Det innebär i korthet att innan ett AI-verktyg tas i bruk, ska byrån ha klart för sig för vilka ändamål verktyget ska användas samt ha gjort en riskbaserad bedömning som resulterat i att byrån bedömt att användningen inte riskerar att bryta gällande lagkrav samt de åtaganden som har gjorts gentemot dem vars data behandlas i verktyget, exempelvis i kundavtal. Det inkluderar bland annat att ha tekniska och organisatoriska åtgärder på plats för att skydda den data som behandlas mot obehörig tillgång. När verktyget väl har tagits i bruk behöver byrån även säkerställa att kraven fortsatt uppfylls, vilket förutsätter en process för löpande utvärdering av verktyget och dess användning. Det är således en hel del att tänka på, vilket kräver både relevant kunskap och kompetens.

AI är ofta ett kraftfullt verktyg som kan användas för en rad olika ändamål. När det används för att tillhandahålla tjänster till kunder, är det särskilt viktigt att beakta att AI-genererade resultat kan innehålla felaktigheter, bias eller vara ofullständiga. AI-genererade resultat kan därför inte användas utan att först ha granskats för att säkerställa deras riktighet. Beroende på i vilket sammanhang ett AI-verktyg används, kan det även finnas risk för att generade resultat gör intrång i annans rättigheter, såsom exempelvis upphovsrättigheter.

Om personuppgifter ingår i den data som behandlas i ett AI-verktyg, så gäller dataskyddsförordningen för behandlingen. Det innebär bland annat att de grundläggande principerna ska följas, såsom krav på laglig grund för behandlingen, att uppgifterna endast får behandlas för specifikt angivna och berättigade ändamål, att inte mer uppgifter än nödvändigt behandlas, att de uppgifter som behandlas skyddas mot obehörig eller otillåten behandling och att de registrerade informeras om behandlingen. Vidare kan det krävas att ett biträdesavtal ingås med leverantören. Ett sådant avtal reglerar leverantörens behandling av personuppgifter i syfte att säkerställa att behandlingen sker i enlighet med dataskyddsförordningen och byråns instruktioner.

Revisorer omfattas av lagstadgad tystnadsplikt enligt bland annat revisorslagen, medan redovisnings- och lönekonsulter samt rådgivare som regel har åtagit sig tystnadsplikt gentemot sina kunder i avtal. Därutöver finns bestämmelser om tystnadsplikt i yrkesetiska regler. Byrån behöver därför ha processer och kontroller på plats för att säkerställa att data och information som omfattas av tystnadsplikt skyddas mot obehörig åtkomst och röjande.

Användningen av AI aktualiserar särskilda frågor ur ett sekretessperspektiv, inte minst med tanke på att data ofta lämnar den egna miljön och kan bli tillgänglig för tredje parter (t.ex. en programvaruleverantör). Det finns därmed en risk för att data obehörigen röjs. Att mata in kunddata i en extern AI-tjänst – till exempel en generativ chatbot – kan i värsta fall innebära ett obehörigt röjande av uppgifter. Det är därmed särskilt viktigt att säkerställa att användningen av AI-verktyg inte riskerar att leda till att gällande lagar och regler åsidosätts.

Innan ett tredjepartsverktyg tas i bruk finns det flera saker som byrån bör tänka på. Byrån bör göra en samlad bedömning av leverantören för att säkerställa att leverantörens behandling av data uppfyller tillämpliga lagar och regler samt de åtaganden som följer av byråns kundavtal. Bedömningen bör göras inför anskaffandet av ett nytt verktyg och följas upp genom löpande utvärderingar för att säkerställa att kraven fortsatt uppfylls.

I denna bedömning bör byrån bland annat beakta vem/vilka som får tillgång till data, om leverantören har förbundit sig att inte använda data för egna syften (till exempel för att träna sina modeller), var data lagras, särskilt vid överföring av data utanför EU/EES, samt vilka tekniska och organisatoriska skyddsåtgärder som används för att skydda data. Det bör även säkerställas att byrån har möjlighet att styra och följa upp hur data behandlas genom tydliga instruktioner och avtalsvillkor.

Om flera leverantörer eller underleverantörer är involverade, exempelvis via integrationer, behöver byrån även förstå dataflödena, vem/vilka som behandlar data, var behandlingen sker och hur data skyddas i de olika leden.

Utan tydliga svar på dessa frågor finns det risk för att tillämpliga lagar och regler åsidosätts. Av denna anledning bör byrån endast använda verktyg som tillhandahålls av en leverantör med vilken den har en etablerad avtalsrelation med tydliga avtalsvillkor som reglerar hur data hanteras, skyddas och lagras.

Revisors tystnadsplikt är en grundläggande princip som kommer till uttryck i flera lagar och regler, bland annat i 26 § revisorslagen. Tystnadsplikten genombryts i vissa fall och gäller inte i de fall där revisorn har en lagstadgad skyldighet att lämna uppgifter till exempeli revisionsberättelsen.

FAR har uppmärksammat att bestämmelserna i 26 § revisorslagen är så pass långtgående att de i vissa avseenden kan hämma branschens tekniska utveckling, och har därför vänt sig till regeringen med begäran om en översyn. Syftet är att uppnå tydliga och rättssäkra ramar som möjliggör innovation utan att kompromissa med sekretessen. Utöver de begränsningar som följer av tystnadsplikten ska även andra gällande lagar och regler beaktas, såsom exempelvis dataskyddsregler, AI-förordningen och upphovsrättsliga regler. Till dess att reglerna om tystnadsplikt har ändrats gäller det att vara extra försiktig.

En inte ovanlig fråga är vad som händer om ett AI-verktyg genererar ett felaktigt resultat, t.ex. ett fel i en årsredovisning eller en skatteberäkning som orsakar kunden skada. Svaret är att användningen av AI inte medför någon förändring av ansvarsfördelningen, såvida något annat inte har överenskommits i det aktuella uppdragsavtalet. Gällande lagregler är således teknikneutrala, vilket innebär att det inte är möjligt att undgå ansvar genom att hänvisa till att det var AI-verktyget som gjorde fel. AI‑genererade resultat behöver därför alltid granskas innan de används.

AI bör ses som ett stöd i arbetet. Användningen förutsätter mänskligt överinseende av personer som har relevant kunskap och kompetens inom det område som det genererade resultatet avser. Det är viktigt att genererade resultat granskas innan de används.

AI-utvecklingen går snabbt. EU:s AI-förordning, som trädde i kraft i augusti 2024, tillämpas stegvis fram till 2027 och ställer nya krav på transparens, riskhantering och dokumentation. I Sverige har regeringen tagit fram en nationell AI-strategi för att främja Sveriges AI-utveckling. FAR följer utvecklingen och verkar för att branschen ska få goda förutsättningar att kunna använda AI på ett ansvarsfullt sätt.