Fra Albania til Uruguay — og med Norge i rekken. Et historisk bredt koalisjonsopprop fra 61 datatilsyn verden over retter nå kraftig kritikk mot produsentene av generative KI-verktøy, med deepfakes som den fremste trusselen mot personvern og informasjonsintegritet.
Norske Datatilsynet er blant underskriverne, ifølge Digi.no, og markedsignalet er klart: teknologiselskaper som utvikler og tilbyr verktøy for å lage kunstig manipulert innhold, vil møte koordinert, internasjonal motstand.
Hva er egentlig problemet med deepfakes?
Deepfakes – digitalt manipulert video, lyd eller bilder som fremstiller virkelige personer i situasjoner de aldri befant seg i – har eksistert i noen år, men kvaliteten og tilgjengeligheten av verktøyene har eksplodert det siste året. Det gjør problemet langt mer presserende enn tidligere.
Datavernmyndighetene peker på en rekke alvorlige konsekvenser: spredning av desinformasjon, identitetstyveri, svindel og ikke minst ikke-konsensuelle intime bilder – såkalt «deepfake-porno» – som rammer enkeltpersoner hardt.
– Dette sier noe om hvor alvorlig utviklingen er, ifølge kildene som omtaler det globale initiativet.
Eksisterende lovverk gjelder allerede – men håndheves sjelden
Et sentralt poeng i initiativet er at deepfakes som involverer gjenkjennbare personer, allerede i dag reguleres under eksisterende personvernlovgivning. I Europa betyr det GDPR.
Når et deepfake-verktøy benytter noen sitt ansikt, stemme eller kropp på en gjenkjennbar måte, er det per definisjon behandling av personopplysninger – og det krever et rettslig grunnlag, i de fleste tilfeller eksplisitt samtykke fra den det gjelder.
Nederlanske Autoriteit Persoonsgegevens (AP) og EUs personvernråd (EDPB) har tidligere understreket dette poenget. Biometriske data, som ansiktstrekk, er særlig sensitiv kategori under GDPR artikkel 9, og behandling av slike data er i utgangspunktet forbudt uten eksplisitt samtykke.
EUs KI-forordning setter nye standarder
EUs KI-forordning, som gradvis trer i kraft fra 2025 og utover, innfører bindende krav om at KI-systemer som genererer deepfakes, skal merke innholdet tydelig som kunstig produsert. Brudd på de alvorligste bestemmelsene kan utløse bøter på inntil seks prosent av et selskaps globale omsetning, ifølge de tilgjengelige kildene.
Kina har på sin side innført egne «deep synthesis»-regler som krever vannmerking eller tekstmarkering av alt KI-generert innhold. Storbritannias Online Safety Act fra 2023 pålegger plattformer å fjerne ikke-konsensuelle intime bilder, inkludert deepfakes.
Deteksjon henger etter teknologien
Et gjennomgående problem som trekkes frem i forskningsmaterialet rundt initiativet, er at teknologi for å avdekke deepfakes fortsatt er langt bak teknologien for å lage dem. Dette understreker behovet for regulering og digital kompetanse i befolkningen, ikke bare teknologiske løsninger.
Datatilsynenes samlede budskap er at industrien ikke kan vente på at deteksjonsverktøyene tar igjen. Ansvaret må plasseres hos dem som lager og distribuerer verktøyene – ikke utelukkende hos forbrukeren eller den som rammes.
Hva betyr dette for norske virksomheter?
For norske selskaper og utviklere som jobber med generativ KI, er meldingen tydelig: Datatilsynets deltakelse i dette internasjonale initiativet signaliserer økt oppmerksomhet og trolig skjerpet tilsyn. Virksomheter som behandler biometriske data i forbindelse med KI-generert innhold, bør gjennomgå sine rettslige grunnlag og dokumentere sine risikovurderinger.
GDPR gjelder allerede, EUs KI-forordning er på vei, og nå har 61 tilsynsmyndigheter gitt beskjed om at de ser det samme retningen — og at de samarbeider om å håndheve det.