Denne politik fastlægger de overordnede rammer for anvendelse af kunstig intelligens på SDU.

Anvendelsen af kunstig intelligens er i hastig udvikling og har allerede betydning for SDU’s kerneopgaver inden for forskning, uddannelse og administration. Samtidig medfører brugen af kunstig intelligens nye risici i forhold til kvalitet, ansvar, etik, databeskyttelse og lovgivning.

Denne politik er udarbejdet for at sikre et fælles, institutionelt grundlag for ansvarlig anvendelse af kunstig intelligens på SDU og for at skabe klarhed om principper, ansvar og rammer på tværs af organisationen.

Politikken gælder hele SDU. Dvs. den gælder for både ansatte (VIP og TAP) samt studerende. 

Alle former for brug af kunstig intelligens i forbindelse med arbejde (forskning, undervisning, administration) og uddannelse på SDU er omfattet politikken.

Anvendelse af kunstig intelligens ved SDU skal ske i overensstemmelse med nedenstående principper, som er forankret i SDU’s AI-kodeks og universitetets værdigrundlag.

• Menneskecentreret anvendelse og ansvar 
  Kunstig intelligens skal støtte ikke erstatte menneskelig dømmekraft, faglighed og relationer. Mennesker har altid ansvar for beslutninger, vurderinger og output, hvor kunstig intelligens indgår.
• Kvalitet og faglig validitet
  Brug af kunstig intelligens må ikke underminere faglig kvalitet. AI-genereret indhold skal vurderes kritisk, verificeres og kvalitetssikres af den ansvarlige medarbejder.
• Transparens
  Anvendelse af kunstig intelligens i akademiske, administrative og organisatoriske sammenhænge skal være gennemsigtig og i overensstemmelse med gældende retningslinjer.
• Etik og ansvarlighed
  Kunstig intelligens må ikke anvendes til formål, der strider mod SDU’s værdier eller samfundets etiske standarder, herunder manipulation, snyd, diskrimination, overvågning eller uretfærdig behandling.
• Lovmedholdelighed og databeskyttelse
  Kunstig intelligens må kun anvendes på måder, der overholder gældende lovgivning, herunder ophavsret, immaterialret, GDPR, samt SDU’s politikker for data- og informationssikkerhed.
• Bæredygtighed
  Anvendelse og valg af AI-løsninger skal ske med opmærksomhed på miljømæssige og samfundsmæssige konsekvenser og i sammenhæng med SDU’s klima og bæredygtighedsmål.

Udvalget for informationssikkerhed og databeskyttelse (UID) på SDU har ansvar for den overordnede AI-politik.

System- og procesejere har ansvar for at fastlægge nærmere regler for anvendelse af kunstig intelligens i deres system- eller hovedproces. Fx fastlægger HR via retningslinje nærmere regler for anvendelse af kunstig intelligens i ansættelsesprocessen.

Lokale retningslinjer for AI må ikke være i strid med AI-politikken eller evt. retningslinjer som hovedprocesejer har fastlagt.

Ledelsen har ansvar for at medarbejdere gøres bekendt med politikken.

Medarbejderne har ansvar for at gøre sig bekendt med og efterleve politikken og tilhørende retningslinjer samt eventuelle underliggende instrukser.

SDU sikrer, at medarbejdere har et passende niveau af AI‑kompetence (AI‑literacy) i forhold til deres arbejdsopgaver. Anvendelse af nye eller ændrede AI‑løsninger skal ske inden for SDU’s etablerede governance‑rammer og kan være underlagt risikovurdering, godkendelse og opfølgning.

Anvendelse af kunstig intelligens på SDU skal ske i overensstemmelse med Europa- Parlamentets og Rådets forordning (EU) 2024/1689 om kunstig intelligens (AI Act).
Forordningen bygger på et risikobaseret princip, hvor krav og begrænsninger afhænger af, hvordan og til hvilket formål AI anvendes.

SDU anvender en risikobaseret tilgang til anvendelse af kunstig intelligens. Det indebærer, at anvendelse af kunstig intelligens vurderes i forhold til formål, konsekvenser og risici, herunder påvirkning af mennesker, data, rettigheder og institutionens omdømme.

SDU har lav risikovillighed i anvendelser, hvor kunstig intelligens kan få væsentlig betydning for enkeltpersoner, retssikkerhed, databeskyttelse eller akademisk integritet, og højere risikovillighed i anvendelser med begrænset konsekvens og tydelig menneskelig kontrol.

SDU skal som selvejende institution underlagt offentlig forvaltning udvise særlig opmærksomhed på, at anvendelse af AI til understøttelse af myndighedsopgaver har klar og entydig lovhjemmel.

AI‑systemer skal vurderes efter følgende overordnede risikokategorier:

• Minimeret og begrænset risiko (fx generativ AI til tekst, analyse og administrative opgaver) kan anvendes, forudsat at gældende krav om transparens, databeskyttelse,
  akademisk integritet og menneskelig ansvarlighed overholdes.
• Højrisiko‑AI (fx systemer anvendt til ansættelse, optag, bedømmelse, eksamen, disciplinære forhold eller adgang til rettigheder og ydelser) må kun anvendes efter
  særskilt godkendelse og under forudsætning af dokumenteret risikostyring, meningsfuld menneskelig involvering, mulighed for kontrol samt løbende kvalitetssikring.
• Forbudte AI‑praksisser, jf. AI Act, må ikke anvendes på SDU. Dette omfatter bl.a. social scoring, manipulativ adfærdsstyring, uretmæssig biometrisk identifikation eller andre anvendelser, der krænker grundlæggende rettigheder.

AI-lovgivningen stiller bl.a. krav om risikostyring, dokumentation, logning, menneskeligt tilsyn, transparens og hændelsesrapportering.

Hvor AI anvendes til at generere indhold, analyser eller beslutningsstøtte, skal der sikres relevant transparens om anvendelsen, og der skal altid være en klart identificerbar ansvarlig menneskelig afsender. AI‑genereret output må ikke anvendes uden faglig vurdering og kritisk stillingtagen.

AI-agenter/AI-assistenter bliver både i litteraturen samt i forskellige udbyderes produktnavne blandet sammen, og der findes ikke en entydig definition, hverken i internationale standarder eller i juridisk forstand. I denne politik skelnes der mellem AI-agenter/AI-assistenter og agentisk AI, som er de mere autonome virtuelle assistenter (se afsnit 10).

AI-agenter/AI-assistenter kan tilpasses, så de kan svare ud fra afgrænsede kilder og tage højde for angivet kontekst eller opsatte regler.

AI-agenter/AI-assisistenter kan benyttes til ”vibe coding”, som er en form for softwareudvikling, hvor naturligt sprog anvendes som primært input til en AI‑agent eller AI‑assistent, der omsætter brugerens forespørgsler til kode, testcases, konfigurationsfiler eller forslag til arkitektur.
Metoden kan anvendes til både udvikling, vedligeholdelse og kvalitetssikring af software, men ændrer ikke ved det menneskelige ansvar for designvalg, korrekthed, sikkerhed og anvendelse.

Anvendelse af AI-agenter må ikke erstatte fagligt ansvar, ledelsesmæssig beslutningstagning eller akademisk dømmekraft.

Anvendelse af AI-agenter til vibe coding

Ved anvendelse af AI‑agenter til vibe coding skal der udvises særlig opmærksomhed på følgende forhold:

• Fagligt og juridisk ansvar
  AI‑genereret kode må ikke anvendes uden faglig gennemgang. Udvikleren har fortsat det fulde ansvar for, at koden er korrekt, sikker, licensmæssigt forsvarlig og i
  overensstemmelse med gældende lovgivning, interne krav og arkitekturprincipper.
• Informationssikkerhed og datahåndtering
  Fortrolige oplysninger, personoplysninger, sikkerhedskritiske konfigurationer, nøgler, tokens eller interne systemdetaljer må ikke indgå i prompts eller deles med AI‑tjenester, der ikke er godkendt af SDU RIO og SDU IT medmindre det sker i lukkede miljøer uden adgang for udbyderen af modellen.
• Supply chain‑ og licensrisici
  AI‑genereret kode kan indeholde mønstre, biblioteksvalg eller kodefragmenter, som indebærer licens‑ eller ophavsretsmæssige risici. Der skal derfor foretages samme
  vurdering af afhængigheder og licenser, som ved traditionel udvikling.
• Sikkerhed og sårbarheder
  AI‑genereret kode kan indeholde kendte eller ukendte sårbarheder, uhensigtsmæssige standardvalg eller svage sikkerhedsmekanismer. Koden skal derfor underlægges relevante sikkerhedstests, kodegennemgang og evt. statisk/dynamisk analyse på linje med øvrig software.
  • Overblik og vedligeholdelse
  Vibe coding kan føre til hurtig kodning uden tilstrækkelig arkitektonisk sammenhæng eller dokumentation. Software der bringes i drift skal sikres læsbarhed, versionering og dokumentation, således at løsninger kan vedligeholdes, overdrages og revideres.

Vibe coding må anvendes som et støttende værktøj, men må ikke erstatte faglig dømmekraft, ansvarlighed eller gældende udviklingsprocesser. Anvendelsen skal ske proportionalt med opgavens kritikalitet og under hensyntagen til de risici, der følger af automatiseret kodegenerering.

Agentisk AI forstås i denne politik som virtuelle assistenter, der på baggrund af mål, instruktioner eller kontekst kan udføre handlinger, koordinere opgaver, interagere med andre personer og systemer eller træffe (delvist) autonome valg over tid. Det kan være opgaver som at oprette eller nedlægge brugere, rydde op i dine dokumenter, sende mails og oprette møder eller købe togbilletter.

For enhver anvendelse af agentisk AI skal der være:

• En identificerbar ansvarlig person eller organisatorisk enhed.
• Mulighed for at overvåge, begrænse, afbryde eller tilsidesætte den agentiske AI’s handlinger.
• Dokumentation for formål, anvendelsesområde og væsentlige beslutninger understøttet af AI.

Medarbejdere og studerende må ikke installere eller anvende agentisk AI på SDU’s udstyr eller netværk, medmindre de har forståelse for og kontrol over løsningens funktion og adfærd.
Anvendes agentisk AI, som udfører skadelige handlinger på vegne af medarbejderen eller den studerende, påhviler ansvaret den pågældende og kan medføre ansættelsesretlige eller studiemæssige konsekvenser.

Agentisk AI må ikke have adgang til selvstændigt at downloade og installere software fra internettet (root-adgang). SDU IT kan i retningslinjer fastlægge nærmere regler for anvendelse af agentisk AI med adgang til SDU’s identitetsstyring og M365 miljø, herunder præcisering af hvilke adgange og rettigheder agentisk AI må have samt nærmere krav til dokumentation. Det aktuelle udgangspunkt er, at der ikke må implementeres agentisk AI med rettigheder i M365 uden forudgående kommunikation og accept af SDU IT.

I lukkede/kontrollerede miljøer som fx Ucloud eller miljøer anvist af SDU IT, er der intet til hinder for, at der kan eksperimenteres mere frit med agentisk AI.

Efterlevelse af denne politik indgår i SDU’s almindelige ledelses-, risiko- og complianceopfølgning.

Politikken revideres efter behov for at sikre fortsat overensstemmelse med gældende lovgivning, ændringer i risikobilledet samt SDU’s organisatoriske og teknologiske udvikling.