Kartlegging av forsikringsføretaka sin bruk av avansert teknologi

1. Innleiing

Den teknologiske utviklinga går raskt, og forsikringsføretaka bruker i aukande grad avanserte analysemetodar, for eksempel basert på kunstig intelligens (KI), i ulike delar av verksemda. For å få betre kunnskap om bruken i forsikringsføretaka av avansert teknologi har Finanstilsynet gjennomført ei kartlegging som har omfatta totalt 31 forsikringsføretak. I dette notatet er hovudpunkta frå kartlegginga samanfatta.

Finanstilsynet gjennomførte ei tilsvarande kartlegging i 2022. Kartlegginga omfatta åtte store og mellomstore skade- og livsforsikringsføretak (tre av desse var forsikringsgrupper). I den grad det er grunnlag for det, blir utviklinga frå 2022 til 2024 kommentert.

Finanstilsynet viser til likelydande brev om kundevern til skadeforsikringsføretaka 5. mars 2024¹⁾ og ein rapport frå EIOPA si ekspertgruppe, "Consultative Expert Group on Digital Ethics in Insurance", om prinsipp for styring og kontroll av KI, som blei publisert i 2021.²⁾

Nærare om kartlegginga

Finanstilsynet sende 14. mai 2024 brev til 31 forsikringsføretak med førespurnad om informasjon om ulike forhold knytte til avansert teknologi, sjå vedlegget. Svarfristen var 12. juni 2024. Dei 31 føretaka omfattar alle dei ti livsforsikringsføretaka og totalt 21 "ordinære" skadeforsikringsføretak.

Føretaka blei bedne om å gjere greie for bruken deira av avansert teknologi (bruksområde, type teknologi, formål og kor lenge teknologien har vore i bruk), kompetanse på ulike nivå i styret og administrasjonen og dessutan korleis utviklinga og bruken av avansert teknologi er integrerte i føretaket sitt system for styring og kontroll, organisering av utvikling, bruk og vedlikehald av avansert teknologi, og under dette eventuell utkontraktering og bruk av konsulentar. Vidare blei føretaka bedne om å gjere greie for korleis dei varetek etikk, forklarbarheit og openheit, IKT-sikkerheit og robustheit, datakvalitet og personvern. Føretaka blei òg bedne om å gjere greie for identifiserte risikoar og utfordringar ved bruk av avansert teknologi og dessutan for planar eller igangverande prosjekt for bruk av avansert teknologi som ikkje er gjennomførte.

Grunnlaget for denne rapporten er dei skriftlege tilbakemeldingane frå føretaka. Kartlegginga er reint kvalitativ, og dette vil òg prege oppsummeringa. Det er krevjande å gi eit fullstendig bilete under kvart av punkta, men vi har samanfatta generelle observasjonar og referert til enkelte svar for å gi eksempel. Omgrepet “avansert teknologi” kan ein forstå noko ulikt, men i resten av rapporten blir dette brukt som eit samleomgrep. Finanstilsynet har foreløpig ikkje vore i dialog med føretaka, men enkelte føretak vil tilsynet følge opp som eit ledd i den løpande tilsynsverksemda.

I oppsummeringa av resultata i punkt 2 er spørsmåla frå Finanstilsynet sitt kartleggingsbrev refererte til i innleiinga. Under nokre av punkta er det òg referert frå relevante delar av EIOPA sin rapport om prinsipp for styring og kontroll av KI frå 2021.

Kort oppsummert viser kartlegginga at avansert teknologi blir brukt i svært ulik grad i forsikringsføretaka. Generelt har skadeforsikringsføretaka teke i bruk avansert teknologi i større grad enn livsforsikringsføretaka. Eit fleirtal av føretaka legg vekt på kompetanse og kapasitet i alle delar av verksemda, og det blir lagt mest vekt på i føretaka som i størst grad bruker avansert teknologi. Samanlikna med kartlegginga i 2022 er det ikkje noko klart bilete av at kompetansen er auka.

Føretak med omfattande bruk av avansert teknologi har i større grad retningslinjer og rammeverk for bruk av avansert teknologi. Samanlikna med 2022 har enkelte føretak utarbeidd nye styrande dokument og oppdatert allereie eksisterande dokument for å dekke problemstillingar knytte til avansert teknologi.

Utvikling, bruk og vedlikehald av ny teknologi blir gradvis ein viktigare del av verksemda i fleire føretak. Føretaka legg vekt på å bygge tilstrekkeleg kompetanse og kapasitet internt. Utkontraktering og bruk av konsulentar blir nytta ved behov, og dei blir hovudsakleg nytta i utviklings- og rådgivingsfasen.

For å vareta etiske problemstillingar viser eit fleirtal av føretaka til dokument som eigne generelle etiske retningslinjer, personvernerklæringar, sentrale retningslinjer for sikkerheit, handtering av data og kvitvasking. For å sikre openheit og forklarbarheit oppgir mange føretak at utvikla KI-system skal utformast slik at avgjerdsprosessar og funksjonen til algoritmane skal kunne forklarast, og at det skal vere kjent kva for faktorar som påverkar avgjerdene. For å vareta IT-sikkerheit viser føretaka til eigne IKT-sikkerheitstiltak og retningslinjer for å etterleve personopplysningslova. Fleire føretak påpeiker at det er nødvendig med grundig testing, trening og validering av KI-systemet for å sikre at det oppfyller robustheits- og sikkerheitskrava.

Av risikoar og utfordringar ved bruk av avansert teknologi oppgir føretaka strategisk risiko, operasjonell risiko, omdømmerisiko, juridisk risiko, klimarisiko og finansiell risiko.

I punkt 3 følger Finanstilsynet sine forventingar til føretak som nyttar avansert teknologi i verksemda.

2. Oppsummering av kartlegginga

2.1 Bruk

Finanstilsynet spurde i kartlegginga om bruksområde, type teknologi, formål og kor lenge teknologien hadde vore i bruk.  

Av dei 31 forsikringsføretaka som er omfatta av kartlegginga, oppgav tolv føretak at dei bruker lite eller ingen avansert teknologi. Desse føretaka har òg få planar om å bruke slik teknologi i næraste framtid. I tillegg er det om lag fem føretak som nyttar avansert teknologi berre til enkle prosessar for å effektivisere og automatisere verksemda.

I motsett ende av skalaen er åtte føretak som oppgir omfattande bruk av avansert teknologi. Desse føretaka verkar å bruke teknologien i heile eller fleire delar av verdikjeda. Også fleire andre føretak tek i bruk ny teknologi, stort sett i form av chatbot i kundekommunikasjon, effektivisering og automatisering av koding og tekstskriving, og dessutan identifisering av svindel ved behandling av forsikringssaker.

Generelt har skadeforsikringsføretaka teke i bruk avansert teknologi i større grad enn livsforsikringsføretaka. Dei har òg meir omfattande planar om auka bruk i åra som kjem. I all hovudsak bruker dei større føretaka meir avansert teknologi enn dei mindre. Dei mindre føretaka oppgir manglande kompetanse, ikkje identifisert tilstrekkeleg forretningsverdi og/eller for lite og manglande kvalitet på data som årsaker til at dei i liten eller ingen grad nyttar avansert teknologi.

Kartlegginga viser at avansert teknologi blir nytta på ei rekke område i føretaka. Sju føretak oppgir å nytte avansert teknologi i tilknyting til prising/tariffering. Eit stort antal føretak oppgir å nytta avansert teknologi i tilknyting til distribusjon, rådgiving og sal. Fleire føretak oppgir bruk av avansert teknologi for å avdekke forsikringssvindel. I tillegg oppgir føretaka å nytte teknologien i ei rekke interne prosessar, slike som test av program, feilsøking, sporing av "flaskehalsar", dokumentklassifisering og dokumentsøk, oppgjer og HR-oppgåver.

Samanlikna med kartlegginga i 2022 oppgir dei åtte føretaka at det er noko auka bruk av avansert teknologi, særleg for å effektivisere interne arbeidsprosessar (Copilot).

2.2 Kompetanse

Finanstilsynet spurde i kartlegginga om kompetansen i føretaket ved utvikling og bruk av ny teknologi, og bad om at kompetansen til styret, leiinga og kontrollfunksjonane blei særskild omtalte.

EIOPA stiller i sine "AI Governance Principles" fleire krav til kompetanse i styret, leiinga og kontrollfunksjonane. Styret har det overordna ansvaret for bruken av ny teknologi i føretaket, og styremedlemmene bør ha tilstrekkeleg forståing for korleis KI blir brukt og dei potensielle risikoane knytte til dette. Kompetansen til styret bør regelmessig oppdaterast for å forstå både implementering og bruk.

Leiinga skal sikre at KI-aktivitetar blir utførte i samsvar med strategien til føretaket og dei overordna retningslinjene. Dette inkluderer utvikling eller oppdatering av strategiar for KI, og for IT og risikostyring. Leiinga skal sikre klar intern kommunikasjon om bruk av KI i organisasjonen.

Etterlevingsfunksjonen skal overvake regelverksendringar og at KI-verktøya som blir brukte, overheld gjeldande lover og forskrifter, som GDPR og Solvens II. Risikostyringsfunksjonen skal vurdere om kontroll-, test- og tilbakemeldingskriterium i rammeverket for risikostyring er relevante for KI, og sikre at dataa er representative. Internrevisjonen skal vurdere kvaliteten og effektiviteten til KI-algoritmane og styringsprosessane.

Kompetansen i føretaka

Eit fleirtal av føretaka legg vekt på kompetanse og kapasitet i alle delane av verksemda. I føretaka som i størst grad bruker avansert teknologi, legg dei vekt på å tiltrekke seg, bevare og utvikle kompetanse på området.

Fleire føretak oppgir at kompetansen i styret, leiinga og kontrollfunksjonane er gode, men utan å konkretisere nærare kva kunnskap desse har.

I styrar til føretaka er inntrykket at kompetansen hovudsakleg kjem frå fleire års arbeid med teknologi i ulike posisjonar i føretaket, arbeid med ulike pilotprosjekt i utviklinga av avansert teknologi og opplæringsprogram. Eitt føretak oppgir at dei følger regulatoriske krav til kompetanse, og dessutan krav frå eigarane. Eitt føretak oppgir at styret er samansett av ulike toppleiarar i bransjar der det er mykje bruk av og kunnskap om kompleks teknologi. Eitt føretak oppgir planar om å gjennomføre ei digital kartlegging av modenskap for å avdekke mogleg kompetansegap i styret.

Mange føretak framhevar at det er viktig at leiinga har kompetanse på avansert teknologi fordi dei er avgjerdstakarar ved alle nye initiativ om bruk og utvikling av ny teknologi. For desse føretaka blir styret berre informert ved behov. I leiinga til føretaka blir det opplyst at kompetansen kjem frå teknologiutdanning på ulike nivå, arbeidserfaring, i tillegg til løpande behandling av saker knytte til bruk og styring og kontroll av teknologien. I enkelte føretak har leiargruppa òg gått gjennom opplæring frå eksterne aktørar.

Eitt føretak oppgir at teknologikompetansen til leiarane er tilpassa dei underliggande ansvarsområda. Eitt føretak oppgir at dei gjennom fleire år har hatt fokus på å handtere risiko for manglande kompetanse på området, og har utarbeidd ein strategi for kompetanse som skal møte framtidas behov. Eitt føretak har etablert ei eiga arbeidsgruppe for ny teknologi der fleire har både utdanning og praktisk erfaring frå området.

Kompetansen til kontrollfunksjonane synest å vere varierande. Eitt føretak oppgir at fleire medarbeidarar i kontrollfunksjonane har delteke på eksterne seminar, i tillegg til at enkelte har teknologi- og regelverkskompetanse. Her blir òg kompetansen sikra gjennom innkjøpsprosessen i føretaket. Eitt føretak legg særleg vekt på kompetanse i aktuar-, etterlevings- og risikostyringsfunksjonen, og eit anna føretak oppgir òg kompetansen til aktuarfunksjonen som viktig. Fleire føretak oppgir at dei har grunnleggande kompetanse i kontrollfunksjonane, slik som oversikt over regulatoriske krav og personvernreglar. Eitt føretak oppgir å sikre fagleg kompetanse i alle ledd gjennom mellom anna eit etterlevingsforum og sikkerheits- og personvernforum. Nokre føretak oppgir òg at enkelte funksjonar har relevant utdanning for å bruke ny teknologi.

Kartlegginga viser at det er ein samanheng mellom graden av bruken av avanserte teknologien og kompetansen i styret, leiinga og kontrollfunksjonane. Føretaka som bruker mykje avansert teknologi, vurderer kompetansen sin som tilstrekkeleg, med ulik grad av konkretisering. Føretaka med lite bruk svarer generelt mindre omfattande. Her har enkelte valt å ikkje kartlegge kompetansen, medan andre har beskrive kompetansen som "grunnleggande".

Samanlikna med kartlegginga i 2022 er det ikkje noko klart bilete av at kompetansen er auka. Somme føretak oppgir likevel at kompetansen på fleire nivå er auka som følge av arbeid med å utvikle interne system og prosessar.

2.3 Integrering i systemet for styring og kontroll

Finanstilsynet spurde i kartlegginga korleis utvikling og bruk av ny teknologi er integrert i systemet i føretaket for styring og kontroll, under dette kva for retningslinjer som er etablerte for styring og kontroll med bruk av slik teknologi, og på kva for nivå i organisasjonen dette er forankra. Finanstilsynet bad om at det blei gjort greie for resultatet av den siste kontrollen dersom etterlevinga av retningslinjene heilt eller delvis har vore gjenstand for kontroll.  

EIOPA legg seks prinsipp til grunn for styring av ny teknologi i forsikring i rapporten sin. Prinsippa er knytte til proporsjonalitet, rettferd og ikkje-diskriminering, openheit og forklarbarheit, tilstrekkeleg menneskeleg tilsyn, datastyring og – dokumentasjon og dessutan stabilitet og robustheit i systema.

Overordna om styring og kontroll

Inntrykket er at føretak med omfattande bruk av avansert teknologi har meir planverk, sentrale retningslinjer og rammeverk, samtidig som meir av arbeidet er forankra i overordna, til dels styrebehandla dokument. Fleire føretak har utarbeidd eller utarbeider ein policy for bruk av ny teknologi. Eitt føretak som er i sluttfasen i denne prosessen, oppgir ansvarskjensle, openheit, rettferd, teknisk robustheit, sikkerheit og beredskap, og datastyring og personvern som overordna prinsipp. Føretaket poengterer òg at utvikling og bruk av KI må skje innanfor regelverket, der lov om behandling av personopplysingar står sentralt. Eitt føretak oppgir å ha retningslinjer for bruk av KI som er baserte på nasjonale og internasjonale lover, reglar og standardar for KI, og dessutan etiske prinsipp og verdiar. Fleire føretak oppgir å ta utgangspunkt i "AI Act" som trer i kraft i EU i 2026 i arbeidet med KI-strategiane sine. To føretak svarer at bruk av ny teknologi er forankra i den overordna IT-strategien til konsernet, og at dei utarbeider styrande dokument for KI som skal gjelde for heile konsernet.

Fleire føretak, også føretak med forholdsvis omfattande bruk av avansert teknologi, viser til styrande dokument som instruksar for produkttilsyn, utkontraktering, informasjonssikkerheit, operasjonell risiko, og dessutan retningslinjer for utvikling, testing og produksjonssetting av programvarer. Eitt føretak oppgir at forankring skjer gjennom ulike interne prosessar som introduksjonsprogram for nytilsette, det obligatoriske kompetanseårshjulet til medarbeidaran og avdelings- og seksjonssamlingar.

Føretak med avgrensa bruk av ny teknologi viser til retningslinjer, styring av operasjonell risiko og IT-system, men enkelte av desse føretaka har òg utarbeidd styrande dokument for framtidig bruk av ny teknologi. Fleire føretak svarer at avansert teknologi vil bli innlemma i systemet for styring og kontroll dersom det skal takast i bruk i framtida. Eitt føretak har forankra i leiargruppa at risikovurderingar skal takast før endeleg avgjerd. Somme føretak nemner òg behovet for meir kunnskap før teknologien kan brukast meir.

Samanlikna med 2022 har enkelte av dei åtte føretaka oppgitt å ha utarbeidd nye styrande dokument, og oppdatert allereie eksisterande dokument, for å dekke problemstillingar knytte til avansert teknologi.

Uavhengig kontroll

EIOPA skriv i rapporten sin at føretaka bør gjennomføre regelmessige revisjonar og kontrollar for å sikre at KI-system fungerer etter hensikta og samsvarer med det gjeldande regelverket.

Svært få føretak har svart at dei har gjennomført spesifikke kontrollar som gjeld bruk av avansert teknologi. To føretak svarer at dei utfører jamlege kontrollar tilpassa risikoen ved bruk av ny teknologi. Kontrollane blir gjennomførte i tråd med styrevedtekne planar, og kvar enkelt leiar er ansvarleg for internkontroll og risikostyring innanfor ansvarsområdet sitt. Eitt føretak gjennomførte ein revisjon av maskinlæringsmodellen sin med vekt på datafangst og databruk, programmeringskodar, modelleringsmetodar og forklarbarheite i 2024. I dette føretaket har internrevisjonen og etterlevingsfunksjonen òg gjort fleire andre kontrollar som omfattar etterleving av krav til å behandle personopplysingar og krav til informasjonssikkerheit.

Blant føretaka med mindre bruk av avansert teknologi har det ikkje blitt gjennomført nokon kontrollar som spesifikt adresserer utvikling og bruk av ny teknologi. Nokon svarer at dei har internkontrollrutinar rundt GDPR og personvern. Nokre føretak oppgir at slike kontrollar, i tillegg til andre aspekt knytte til etikk og etterleving, vil bli utførte før bruken av ny teknologi blir operasjonalisert.

Fleire føretak oppgir å ha gjennomført internrevisjonar knytte til utkontraktering i samband med kjøp av digitale tenester, og dessutan etterleving av retningslinjer på IKT-området.

2.4 Organisering

Finanstilsynet spurde i kartlegginga om organisering av utvikling, bruk og vedlikehald av ny (avansert) teknologi, under dette eventuell utkontraktering og bruk av konsulentar. 

Utvikling, bruk og vedlikehald av ny teknologi blir gradvis ein viktigare del av verksemda i fleire føretak. Generelt er inntrykket at føretaka legg vekt på å bygge tilstrekkeleg kompetanse og kapasitet internt. Utkontraktering og bruk av konsulentar skal berre nyttast ved behov, og dei blir hovudsakleg nytta i utviklings- og rådgivingsfasen.

Eitt føretak oppgir at dei i framtida truleg vil nytte utkontraktering for intern prosessautomatisering, medan KI/maskinlæring i analytiske modellar vil ligge hos analyseavdelinga i føretaket, der avdelinga vil ha ansvaret for rapportering, overvaking og kontroll. Fleire andre føretak oppgir at utkontraktering og eksterne konsulentar berre blir brukte til interne prosessar og til chatbot-plattformer, men ikkje for maskinlæring i avansert prising, avansert handtering av kunderelasjonar og i analyse av kundekommunikasjon. Eitt føretak oppgir at utkontraktering og konsulentbruk blir avgrensa til systemleverandørar av forsikringssystema og har inga utkontraktering av ny avansert teknologi.

Eitt føretak oppgir at dei i samsvar med IT-leverandørstrategien deira kjøper inn standardløysingar og basisplattformer framfor å utvikle dette sjølv. Bruken av teknologien skal styrast av dei tilsette, supplert av konsulentar dersom det kan bidra til å sikre skalerbarheit og auka gjennomføringskraft.

Eitt føretak har etablert eit KI-forum der tilsette kan diskutere bruk av ny teknologi i føretaket. IT/sikkerheitsavdelinga har ansvaret, medan dei ulike avdelingane bruker forumet til innspel og vurderingar basert på behov.

Fleire føretak får chatbot-løysinga si levert frå ein ekstern leverandør (Boost.ai). I tillegg nyttar mange føretak utkontraktering til Microsoft for å bruke ulike program dei tilbyr. Desse løysingane blir hovudsakleg nytta til å effektivisere verksemda, sjå avsnitt 2.1 om bruksområde.

Fleire føretak oppgir å ha etablert eit kompetansesenter som er ansvarleg for å utvikle felles prinsipp knytte til å utvikle KI, og som hjelper verksemdsområda med ressursar og kompetanse ved behov. Også andre føretak har samla medarbeidarar som jobbar med kunstig intelligens i eit eige team.

Eitt føretak har omfattande retningslinjer for bruk av teknologi. Føretaket utkontrakterer all utvikling og drift av system til aktørar innan EU, der tilgangen og bruken av data blir regulerte av internasjonale avtalar.

2.5 Varetaking av etikk, sikkerheit med meir

Finanstilsynet spurde i kartlegginga korleis føretaket varetek etikk, forklarbarheit og openheit, IKT-sikkerheit og robustheit, datakvalitet på interne og eksterne data, og personvern.

EIOPA legg til grunn at bruk av ny teknologi kan føre til urettferd, mindre openheit og mindre tilsyn. Det er forventa at føretaka har tydelege bruksvurderingar av KI og tiltak for å sikre at dette blir unngått.

Etikk

Heile 22 av dei 31 føretaka i kartlegginga viser til dokument som eigne generelle etiske retningslinjer, personvernerklæringar, sentrale retningslinjer for sikkerheit, handtering av data og kvitvasking for etiske problemstillingar. Fire føretak har ikkje oppgitt korleis etiske standardar blir varetekne ved bruk av ny teknologi, men oppgir at dei vil vurdere å etablere retningslinjer ved bruk av meir avansert teknologi i framtida. Fem føretak har etablerte retningslinjer for bruk av ny teknologi, men for fleire av desse er retningslinjene kortfatta og generelle.

Fleire føretak gjennomfører jamleg obligatoriske e-læringskurs på område som GDPR, antikvitvasking og sikkerheit. Eitt føretak oppgir å ha etikk i KI som ein del av det årlege etikk-kurset sitt. Eitt føretak viser til AI-visjonen "sin" og andre styrande dokument.

Eitt føretak oppgir at eksisterande prosessar og rammeverk for personvern, IKT-sikkerheit og robustheit blir tilpassa i samsvar med særeigne krav som følger av ny teknologi.

Forklarbarheit og openheit

Fleire føretak viser her til eigne personvernerklæringar og generelle etiske retningslinjer som er tilgjengelege på den eksterne nettsida til føretaket. Føretak med lite bruk av avansert teknologi oppgir at dei generelt prøver å vere opne og transparente med kundane sine, og at dei skal vere i stand til å forklare avgjerdene som blir tekne, utan at det er behov for spesielle tiltak.

Mange føretak oppgir at utvikla KI-system skal utformast slik at avgjerdsprosessar og funksjonen til algoritmane skal kunne forklarast, og at det skal vere kjent kva for faktorar som påverkar avgjerdene. I dei interne retningslinjene til føretaka er det krav til data nytta av KI-løysingar, dokumentasjon og bruk av forklarbare metodar. Fleire føretak nemner bruken av "Shapley-verdiar" for å forklare ein enkelprediksjon basert på settet av forklaringsvariablar til modellen.

I tilfelle der ei automatisert behandling påverkar kunden i stor grad, oppgir to føretak at kunden skal orienterast særskilt om dette, og at dei har rett til å krevje manuell behandling.

Eitt føretak oppgir at det stiller krav om at berre variablar som inngår i grunntariffen, kan nyttast i prising basert på ein maskinlæringsmodell. Effektar funne av modellen skal kunne forklarast, og produktsjefen skal godkjenne og forstå effektane av kvar variabel. Eitt føretak oppgir å stille særleg høge krav til forklarbarheit i prisinga.

IKT-sikkerheit og robustheit

Generelt viser føretaka til eigne tiltak for IKT-sikkerheit og retningslinjer for å etterleve personopplysningslova. Desse tiltaka og retningslinjene er ikkje spesifikke for KI. Fleire føretak påpeiker at det er nødvendig med grundig testing, trening og validering av KI-systemet for å sikre at det oppfyller krava til robustheit og sikkerheit.

Eitt føretak som har vore utsett for data-hacking, har forbetra IKT-sikkerheita, og det blir gjennomført ei kartlegging og oppfordring frå ein uavhengig rådgivar for å betre IKT-sikkerheita.

Eitt føretak oppgir å gjennomføre sikkerheitstesting av alle eksternt tilgjengelege applikasjonar, og nettverket deira blir skanna månadleg for sårbarheiter. Fleire føretak oppgir å gjennomføre årlege katastrofe- og gjenopprettingsøvingar. To føretak oppgir å ha utkontraktert testing og administrasjon av IKT-sikkerheit.

Datakvalitet på interne og ekstern data

Også på dette punktet viser mange føretak til interne retningslinjer for kva krav som blir stilte for å sikre datakvalitet. I tillegg oppgir fleire føretak å verifisere data opp mot eksterne kjelder, slik som Folkeregisteret. Fleire føretak oppgir at datakvaliteten blir følgd opp gjennom overvaking og sjekkar av datakvaliteten som fangar opp større avvik, og dessutan trening og testing av KI-systemet. Dataa som blir nytta, må vere så fullstendige, relevante og oppdaterte som mogleg, sett opp mot formålet med bruken.

To føretak oppgir at dei vedlikeheld data som dannar grunnlag for bruk og utvikling av KI, i eit sentralt etablert datavarehus. Eitt føretak oppgir at datakvaliteten blir sikra gjennom eit sett med innebygde valideringskontrollar ved input og prosessering, i tillegg til daglege kontrollar som sikrar fullstendigheit og nøyaktigheit av dataflyt mellom systema. Kontrollane er både automatiske og manuelle.

Personvern

Totalt 23 av dei 31 føretaka oppgir eksplisitt i svaret at dei følger eller vil følge GDPR og andre personvernreglar ved bruk av avansert teknologi. To føretak har eigne prinsipp for personvern som gjeld spesifikt bruk av avansert teknologi. Seks av føretaka har ikkje kommentert bruken av ny teknologi opp mot personvern.

2.6 Risikoar og utfordringar

Finanstilsynet bad i kartlegginga føretaka gjere greie for identifiserte risikoar og utfordringar ved bruk av ny (avansert) teknologi. Vi bad vidare om eksempel på risikovurderingar ved innføring av ny teknologi på nye område.

Eit fleirtal av føretaka har gjennomført risikovurderingar knytte til bruken av ny teknologi. Her blir mellom anna dårleg datakvalitet nemnd, for svak intern kompetanse, manglande etterleving av regelverk og informasjonssikkerheit, urimeleg forskjellsbehandling og risikoen for at maskinlæring er tilbakeskodande og sårbar for regulatoriske endringar. Det er dei større føretaka og som i større grad bruker avansert teknologi, som har mest detaljerte forklaringar. Under blir det gitt eksempel på problemstillingar føretaka har oppgitt under ulike kategoriar av risiko:

Strategisk risiko

Som strategisk risiko blir det oppgitt generelt at det er auka risiko ved bruk av nye og uprøvde teknologiar, og dessutan at mangel på kompetanse kan føre til ineffektiv og feilaktig bruk av ny teknologi.

Operasjonell risiko

Føretaka oppgir mange ulike eksempel på operasjonell risiko knytte til bruken av avansert teknologi. Det er risiko for personvernbrot gjennom systematisk overvaking av kundar og tilsette, og risiko for deling av sensitiv informasjon. Eitt føretak oppgir òg risiko for feil bruk av tenester, det vil seie at brukarar legg inn verksemds- eller kundeinformasjon som fører til brot på konfidensialitet.

Det er òg oppgitt risiko for urimeleg forskjellsbehandling og diskriminering på grunn av skeivskapar i data, og dessutan feilaktige resultat når ulike kjelder blir kombinerte. Automatiserte avgjerder kan takast på feil avgjerdsgrunnlag ved at det blir nytta data som ikkje er relevante, og som kan påverke modellar og gi uryddig informasjon. Vidare er det risiko for at KI-system tek avgjerder som strir mot etiske retningslinjer eller samfunnsverdiar. Maskinlæring er tilbakeskodande og sårbar for regulatoriske endringar. Det kan derfor vere ein risiko for at endra føresetnader ikkje blir fanga opp i eksisterande modellar.

Vidare blir risiko oppgitt for avhengigheit av eksterne leverandørar for KI-løysingar, noko som kan føre til utfordringar med pålitelegheit og integrasjon. Vidare er det risiko for at ingen blir haldne ansvarlege for avgjerder som er tekne av KI-system, og at det er ein overdriven tillit til desse systema. For mindre føretak som er meir avhengige av eksterne leverandørar, kan det vere ein risiko for at dei ikkje evnar å tilpasse seg endra marknadsforhold eller regulatoriske krav raskt nok.

Risiko for sikkerheitsbrot gjennom avanserte phishing-angrep og hacking blir òg oppgitt som ein operasjonell risiko.

Omdømmerisiko

Risikoen for at KI-modellar er uforståelege for brukarane og kan føre til mangel på tillit, blir oppgitt som eksempel på omdømmerisiko. Også dårleg kundeoppleving ved bruk av ein virtuell kundebehandlar samanlikna med bruk av personleg dialog er eit eksempel på dette. Nærståande med dette er risiko for at meir digitalisering kan gjere det vanskeleg for dei med dårleg teknisk kompetanse, eller dei som har reduserte kognitive evner. Manglande brukarkompetanse kan òg føre til at kunden oppgir sensitive opplysingar for eksempel i samtale med ein chatbot. Også risikoen for lekkasje av kjeldekodar og kundedata blir oppgitt som omdømmerisiko.

Juridisk risiko

Her blir det oppgitt risiko for at KI-system ikkje overheld gjeldande lover og forskrifter, noko som kan føre til juridiske konsekvensar.

Klimarisiko

Her blir det oppgitt risiko for at trening og drift av KI-modellar kan ha ein negativ miljøpåverknad, spesielt med omsyn til energiforbruk.

Finansiell risiko

Eksempel på finansiell risiko er at lisenskostnadene blir for høge i forhold til produktivitetsforbetringa det gir, og dessutan at føretak med avgrensa finansielle og menneskelege ressursar ikkje evnar å halde tritt med teknologiske framsteg og dermed taper konkurranseevne i marknaden.

Fleire føretak oppgir at dei har valt å ikkje gjennomføre risikovurderingar på dette området før det blir ein større og meir vesentleg del av drifta.

2.7 Planar og prosjekt

Finanstilsynet spurde i kartlegginga om føretaket sine planar eller igangverande prosjekt for bruk av ny (avansert) teknologi som ikkje er gjennomført (bruksområde, type teknologi, formål og når teknologien er forventa å vere i bruk).

Fleire føretak, både større og mindre, har planar om auka bruk av avansert teknologi framover. Skadeforsikringsføretaka har mest omfattande planar; 11 av desse føretaka oppgir konkrete planar for auka bruk av avansert teknologi. Tre føretak oppgir å ha planar om bruk av avansert teknologi i prissettinga. Eitt føretak har moglege planar om bruk av ny teknologi ved rådgiving, oppgjer og automatisering av oppseiingar av forsikringsavtalar. Eitt føretak ønsker å nytte avansert teknologi for å avdekke svindel. I denne oppsummeringa blir det ikkje referert til planane føretaka har om bruk av avansert teknologi til reine interne prosessar.

Berre eit fåtal livsforsikringsføretak har planar om meir bruk av avansert teknologi, primært til effektivisering av interne prosessar.

3. Finanstilsynet sine forventingar til forsikringsføretaka

Finanstilsynet legg til grunn at forsikringsføretak som nyttar avanserte analysemetodar, etterlever gjeldande sektorregelverk og dessutan andre krav, retningslinjer og tilråingar som er relevante for denne aktiviteten. Finanstilsynet viser spesielt til EIOPA-rapporten "Artificial Intelligence Governance Principles: Towards Ethical and Trustworthy Artificial Intelligence in the European Insurance Sector", som blei publisert i 2021.

For ei foreløpig og overordna oversikt over det juridiske rammeverket som gjeld for KI-system i forsikringssektoren, blir det vist til EIOPA sitt dokument "Factsheet on the regulatory framework applicable to Ai systems in the insurance sector".

Finanstilsynet forventar at føretaka etterlever prinsipp om forsvarleg styring og kontroll, og legg generelt til grunn at alle risikoane i føretaket er styrte.

Det er forventa at føretaka har tilstrekkeleg relevant kompetanse på alle område og nivå i verksemda – i styret, leiinga og kontrollfunksjonane. Styret har det overordna ansvaret for bruken av teknologi i føretaket, og styremedlemmene bør ha tilstrekkeleg forståing for korleis KI blir brukt og dei potensielle risikoane knytte til dette. Kompetansen til styret bør oppdaterast regelmessig.

Styret må sikre at føretaket har formålstenlege retningslinjer og rutinar for å identifisere, styre, overvake og rapportere risikoar knytte til bruk av avanserte analysemetodar. Rammeverket må vere etablert før slike metodar blir tekne i bruk. Finanstilsynet forventar at styret og leiinga har gjort grundige risikovurderingar før avgjerd og gjennomføring.

Føretaka bør sikre at data som blir nytta, er nøyaktige og relevante, enten dataa er henta frå interne eller eksterne kjelder. Data bør lagrast sikkert, og databehandlingsprosessar og modelleringsmetodar bør dokumenterast for å sikre sporbarheit og moglegheit for uavhengig kontroll.

Føretaka bør sikre tilstrekkeleg grad av menneskeleg tilsyn med system, prosessar og resultat. Føretaka bør vidare gjennomføre regelmessige revisjonar for å sikre at systema fungerer etter hensikta og samsvarer med gjeldande regelverk.

Bruk av avanserte analysemetodar med auka antal forklaringsvariablar kan gi meir nøyaktig klassifisering av risikodekningar, og slik sett bidra til at premiane i føretaket står i forhold til den risikoen som blir overteken. Bruk av meir omfattande og detaljerte data og meir avanserte analysemetodar kan likevel føre til at enkelte kundar og kundegrupper i praksis blir stengde ute frå forsikringskollektivet. Det er viktig at føretaka sikrar risikoutjamning mellom medlemmene i eit forsikringskollektiv, og tek omsyn til finansiell inkludering. Problemstillinga er spesielt relevant for produkt med høg samfunnsnytte, eller der avslag kan påverke sårbare kundegrupper særskilt.

Det kan oppstå ein ubalanse mellom føretaka, som kan utnytte store mengder data til å prise ein risiko, og innsikta og moglegheita kunden har til å vurdere om denne prisen er rimeleg sett i forhold til risikoen som blir overteken, og dei tenestene som blir ytte. Finanstilsynet legg til grunn at føretaka er bevisste denne moglege ubalansen. Finanstilsynet viser til kravet i lova om forsikringsverksemd om at premiane skal stå i forhold til den risikoen som blir overteken, og dei tenestene som blir ytte. Finanstilsynet legg til grunn at føretaka ikkje utviklar ein praksis der prisen blir maksimert ut frå kor mykje kunden er villig til å betale for forsikringsproduktet. Finanstilsynet legg til grunn at føretaka sikrar transparens i prisinga, og at prisen kan forklarast for kunden.

Noter

1) https://www.finanstilsynet.no/nyhetsarkiv/brev/2024/skadeforsikring-og-kundevern/

2) EIOPA – den europeiske tilsynsmyndigheita for forsikring og tenestepensjon:
Artificial Intelligence governance principles: towards ethical and trustworthy Artificial Intelligence in the European insurance sector (europa.eu)