Hopp til innhold
SafeMedia AI
Alle artikler

Perspektiv

Hvorfor vi bygde DeclassifAI i Norge

Suverenitet, standarder, vannkraft, et tilsyn som publiserer sandkassearbeidet sitt, og en befolkning som allerede forventer at programvare tar personvern på alvor. Et perspektiv på hva Norge gir et AI-selskap som andre steder ikke gjør.

7 min lesningAv SafeMediAI Redaksjon

Det finnes en versjon av denne teksten som åpner med en fjord. Vi skal ikke skrive den versjonen. Norge har rikelig med fjorder, og det er ikke derfor vi er her. Vi er her på grunn av en bestemt kombinasjon av regulering, infrastruktur og kultur som viser seg å være uvanlig godt egnet for å bygge AI for regulert arbeid.

Dette er perspektivartikkelen i serien vår. De andre artiklene tar de juridiske og tekniske linjene seriøst. Denne får lov til å si hva vi mener.

Tilsynet er foran feltet

Den ene tingen som betyr mest for et AI-selskap som bygger for regulert arbeid, er kvaliteten på tilsynet. Et tilsyn som har tenkt grundig på AI-spørsmål ved utrulling, har publisert arbeidet sitt i detalj, og åpner for dialog med bransjen, er verdt mer enn et skattelette eller et anskaffelsesprogram.

Datatilsynet er det tilsynet. AI-strategien fra 2024[1] forplikter etaten til å bygge reell teknisk kompetanse på AI. Den regulatoriske sandkassa, i drift siden 2020, har gitt åtte publiserte sluttrapporter. Tilsynets holdning til generativ AI, formidlet gjennom ChatGPT-øyeblikket i 2023, behandler utrullingsspørsmål som ingeniørproblemer med strukturerte svar, ikke som pressemeldingsstoff.

Det får praktiske konsekvenser. Da vi bygde DeclassifAIs sladde-pipeline, var spørsmålene vi stilte oss selv, de samme som NTNU-Copilot-sandkasserapporten stilte: hvor flyter dataene, hvem kan ha tilgang, hva er behandlingsgrunnlaget, hva logges, hvem går gjennom. De spørsmålene er offentlige, finnes på tilsynets nettsider, i gjennomarbeidet form. Å bygge for dem er mer arbeid enn å bygge for «GDPR-samsvar» som markedsføringspåstand. Det er også tydelig hva som er ferdig.

Suverenitet er en reell begrensning, ikke et slagord

Norsk regulert arbeid har et ekstra lag som de fleste andre EU-land ikke har: Sikkerhetsloven.[2] Loven stiller spesifikke krav til virksomheter som håndterer skjermingsverdig informasjon om statssikkerheten, blant annet aktsomhetsvurdering av leverandørkjeden og krav til behandlingssted.

De fleste sky-AI-tilbud kan ikke oppfylle disse kravene uten endringer, og mange kan ikke oppfylle dem i det hele tatt. For norske forsvarsleverandører, deler av energi- og telekomsektoren, og store deler av offentlig sektor, er suverenitet ikke en preferanse, men en begrensning i anskaffelsen. Å designe programvare med den begrensningen fra starten, i den jurisdiksjonen som definerer den, er en annen oppgave enn å bygge om en global SaaS-løsning i ettertid.

Det samme gjelder, med tilpasninger, for svensk, finsk, dansk, og i økende grad for fransk og tysk regulert arbeid. Det arkitektoniske mønsteret som oppfyller Sikkerhetsloven, lar seg overføre til de fleste av Europas suverenitetsbevisste sektorer. Å bygge det fra starten her er billigere enn å gjenoppfinne det etter en kontraktsvinning.

Vannkraft er en stille AI-faktor

Dette er det undervurderte praktiske: Norge produserer rundt 98 % av strømmen sin fra fornybare kilder, hovedsakelig vannkraft, og har et av Europas reneste nett målt etter karbonintensitet.[3] Industri-strømprisene er i mange regioner blant de laveste i Europa. Klimaet er kjølig nok til at datasentre slipper å betale så mye for kjøling som de gjør lenger sør i Europa.

For et AI-selskap er dette ikke abstrakt. Regnekraft til inferens og trening er den største variable kostnaden i virksomheten. Å plassere den på et rent, billig nett er en konkurransefordel som vokser med tida. Det er også en kundefordel: regulerte kjøpere tar i økende grad hensyn til karbonintensiteten til AI-leverandørene sine, og et ærlig norsk fotavtrykk ser bedre ut enn et karbonkompensasjonsregnskap på et amerikansk Midtvesten-nett.

Resultatet er et lite, men voksende økosystem av AI-infrastruktur i Norge, særlig rundt Stavanger, Oslo og Gjøvik-korridoren. Vi er en del av det, bevisst.

Offentlig sektor kjøper programvare slik du vil at den skal kjøpes

Norsk offentlig anskaffelse av programvare har sine frustrasjoner, som hos alle andre. Men det underliggende mønsteret er sunt på en måte som betyr noe for et AI-selskap: offentlig sektor kjøper programvare, også AI-programvare, med detaljert teknisk gransking, reelle høringsrunder og vilje til å finansiere utvikling av løsninger som tar konkrete samfunnshensyn.

Digitaliseringsdirektoratet har lagt fram en strategi for digitalisering av offentlig sektor[4] som behandler AI både som verktøy og som regulatorisk tema. Kombinasjonen av en kompetent tilsynsmyndighet (Datatilsynet) og en kompetent kjøper (Digdir og fagdepartementene) skaper et uvanlig seriøst AI-marked i offentlig sektor.

For et selskap som bygger personvernbevarende AI, er dette riktig type etterspørsel. Kjøperne stiller spørsmålene som tvinger deg til å bygge de riktige tingene. Å snakke med en norsk kommune om en sladde-pipeline er vesentlig forskjellig fra å snakke med en amerikansk SaaS-kjøper for bedrift. Begge samtaler kan være produktive; bare den ene ender med programvare som tåler tilsynsgjennomgang uten større redesign.

En befolkning som allerede forventer personvern

Norge har, som resten av Norden, en grunnleggende kulturell forventning om at personopplysninger håndteres nøye. Standardantakelsen når et programvareprodukt håndterer sensitiv informasjon, er at det skal foreligge en dokumentert personvernposisjon, at samtykket skal være informert, og at lagringstiden skal minimeres. Dette er ikke unikt for Norge, men det er sterkere innleiret her enn i mange markeder.

For et AI-selskap er dette en brukerrettet fordel. Funksjonene som betyr noe for regulerte kjøpere (synlige revisjonslogger, kildehenvisninger, standardvalg som favoriserer dataminimering, konfigurerbar lagringstid), er også funksjoner vanlige norske brukere legger merke til og belønner. Å bygge programvare som respekterer brukeren, er det samme ingeniørarbeidet som å bygge programvare som tåler en gjennomgang fra Datatilsynet.

Avveiningene vi godtar

Vi bør være ærlige om hva Norge ikke er.

Det er ikke det største markedet. Økonomien i å bygge fra Norge er avhengig av at vi selger inn til resten av Europa og EØS, og det gjør vi. Mesteparten av kundebasen vår er utenfor landet.

Det er ikke et tyngdepunkt for venture-kapital. Å bygge her betyr å godta at kapitalinfrastrukturen er tynnere enn i Storbritannia eller Bay Area. Selskaper som lykkes herfra, har en tendens til å finansiere vekst gjennom omsetning heller enn gjennom egenkapital. For et AI-selskap i regulert arbeid, med jevne B2B-kontrakter og lavere markedsføringsbudsjett enn forbruker-AI, passer det fint.

Det er ikke et lavskatteland. Norsk selskapsskatt ligger på linje med EU-snittet, og personskatten er høyere enn i mange tech-eksportmarkeder. Det vi får igjen, er en kvalitet på offentlige tjenester og infrastruktur som gjør at selskapet kan rekruttere og beholde folk uten å måtte konkurrere på leveomkostninger alene.

Det er ikke det varmeste klimaet. Vi jobber innendørs. Datasentrene er fornøyde med det.

Hva Norge er, for et AI-selskap

Til sammen tegner det et tydelig bilde. Norge gir et AI-selskap:

  • Et tilsyn som har publisert arbeidet sitt i detalj og åpner for strukturert dialog.
  • Et rettslig rammeverk som tar suverenitet på alvor; nok til at det blir reelle anskaffelseskrav, som igjen blir konkurransefortrinn.
  • En energiinfrastruktur som får regnekraftøkonomien til å gå opp.
  • Et marked i offentlig sektor som kjøper programvare slik du vil at den skal kjøpes.
  • En kulturell grunnlinje som belønner de riktige standardvalgene.

Ingen av disse er unike. Hver av dem finnes et annet sted i en eller annen form. Kombinasjonen er uvanlig. Det er grunnen til at DeclassifAI er bygget i Gjøvik, og ikke i Berlin eller Dublin eller Palo Alto.

En avsluttende observasjon

Det er en gjentakende antakelse i AI-debatten at de eneste stedene som betyr noe, er USA (for kapital og talent) og Kina (for utrullinger i statsskala). Europa er i den rammen et tilsyn og et marked, ikke en bygger. Antakelsen er feil, og de neste få årene kommer til å gjøre det enda tydeligere.

De viktigste AI-utrullingene i regulert arbeid det neste tiåret vil komme på steder der tilsynet har tenkt klart, anskaffelsen er seriøs, infrastrukturen er suveren, og de kulturelle standardvalgene belønner personvern. Norge har alle fire. Det har, i ulike blandinger, også Nederland, Estland, Frankrike, Tyskland og en håndfull andre.

For et selskap som bygger AI for regulert arbeid, er ikke spørsmålet «hvor er tyngdepunktet for AI», men «hvor er tyngdepunktet for den typen AI vi bygger». For oss har svaret vært det samme siden vi startet: her, på dette nettet, under dette tilsynet, i dette markedet. To år inn ser svaret fortsatt riktig ut.

Kilder

  1. Datatilsynet, Strategi for arbeidet med kunstig intelligens (22. mars 2024)
  2. Lov om nasjonal sikkerhet (Sikkerhetsloven, LOV-2018-06-01-24)
  3. Norges vassdrags- og energidirektorat (NVE), Statistikk over kraftproduksjon
  4. Digitaliseringsdirektoratet, Strategi for digitalisering av offentlig sektor 2024-2030

Relaterte artikler