Hér fer af stað fyrsta greinin af sex. Í þessum pistli skoðum við hvað vinnslusamningur er í raun og veru og hvers vegna íslenskt atvinnulíf þarf að vera á tánum og fylgjast grannt með breytingum á þeim. Í hluta 2 tek ég fyrir stóru breytingarnar sem hafa hrist upp í markaðnum undanfarna mánuði, í hluta 3 dreg ég saman allar leiðirnar sem ég veit um og liggja að sömu gervigreindar módelunum, í hluta 4 fer ég yfir afleiðingarnar fyrir kaupendur og þjónustuaðila, í hluta 5 tek ég fyrir gögn sem leka gegnum kóða í hugbúnaðarþróun, og í lokahluta 6 tek ég fyrir módelvalið sjálft og hvað skiptir máli í samtali við þjónustuaðila.

Að hleypa gervigreind inn í fyrirtækið án þess að rýna í vinnslusamningana er dálítið eins og aðbjóða dularfullum gesti inn á skrifstofuna, rétta honum möppu með viðkvæmustu gögnunum þínum og treysta því í blindni að hann fari með hana beint í læsta geymslu en ekki úr landi.

Til þess að tryggja að þessi gestur labbi ekki einfaldlega út og fari á eitthvað flakk með gögnin þín þurfum við skýrar leikreglur og það er nákvæmlega það hlutverk sem vinnslusamningnum er ætlað að gegna.

Vinnslusamningur (e. Data Processing Agreement, oft skammstafað DPA) er lagalegt samkomulag á milli ábyrgðaraðila (fyrirtækisins þíns sem á gögnin) og vinnsluaðila (þjónustuaðilans sem meðhöndlar gögnin fyrir þína hönd).

Þessi samningur á að kveða skýrt á um hvar gögnin eru geymd, hver hafi aðgang að þeim, í hvaða tilgangi og hvað gerist ef öryggisbrestur verður. Þetta er ekki valkvætt; samkvæmt GDPR og íslenskum persónuverndarlögum gilda strangar kröfur um hvernig þriðji aðili má meðhöndla persónuupplýsingar fyrir þig.

Hugmyndin er sáraeinföld: Þú átt að vita hver er að vinna með gögnin þín og á hvaða forsendum.

Veruleikinn er hins vegar flóknari

Það kemur á óvart hversu sjaldan er kafað ofan í saumana á þessum samningum og mörg fyrirtæki og stofnanir virðast treysta einfaldlega því sem skýjarisarnir hafa áður slegið föstu: Að gögnin séu í Evrópu og að það hafi jú allt verið í góðu lagi þegar vinnslusamningurinn var lesinn fyrir þrem árum.

En í dag breytist tæknilandslagið miklu hraðar en svo að hægt sé að ganga að hlutunum sem vísum eða treysta því að þeir haldist óbreyttir. Stundum upplifir fólk ákveðin óþægindi þegar málið er borið upp, enda er auðvelt að halda að ábyrgðin liggi annars staðar og að einhver annar sé búinn að hugsa þetta til enda.

Á meðan LinkedIn fyllist stanslaust af færslum um hversu öflug Claude og GPT módelin eru orðin, langar flesta hreinlega bara að fá nýjustu og bestu verkfærin í hendurnar í vinnunni. Þá er oft treyst um of á að söluaðilinn, stóru tæknifyrirtækin eða bara „einhver" sé með þessi mál á hreinu.

Sannleikurinn er hins vegar sá að þetta er loforð sem heldur ekki af sjálfu sér.

Þessi grein er tilraun til að ramma inn landslagið og setja á blað þau atriði sem mér finnst að við hjá íslenskum fyrirtækjum og stofnunum ættum að ræða miklu meira.

Þrír skýjarisar og Ísland

Stóru skýjarisarnir þrír, Microsoft Azure, Amazon AWS og Google Cloud nálgast gervigreind á ólíkan hátt:

• Microsoft Azure: Býður upp á OpenAI-módel og Anthropic Claude í gegnum Microsoft Foundry (áður Azure AI Foundry), eða í gegnum Microsoft 365 Copilot sem velur módelin sjálfvirkt eftir eðli verkefnisins.
• Amazon AWS: Býður upp á Anthropic Claude og fleiri módel í gegnum Amazon Bedrock, og frá maí 2026 einnig í gegnum Claude Platform on AWS. OpenAI módelin eru svo komin í Preview frá apríl eftir að einkasamningi við Microsoft var rift.
• Google Cloud: Býður upp á Gemini og opin módel ásamt Claude í gegnum Vertex AI eða Gemini Enterprise Agent Platform eins og það heitir núna.

Á yfirborðinu virðast þessir þrír valkostir gera nokkurn veginn sama hlutinn: pakka inn módelum og selja sem þjónustu en um leið og byrjað er að spyrja hvar vinnsla á gervigreindarfyrirspurnum fer fram, fara hlutirnir að flækjast.

Enginn þessara þriggja aðila keyrir gervigreindarvinnslu sína á Íslandi. Næstu svæði (e. regions) þeirra eru:

• Azure: Vestur-Evrópa (Holland), Norður-Evrópa (Írland), Svíþjóð.
• AWS: Frankfurt, Stokkhólmur, Írland.
• Google Cloud: Frankfurt, Belgía, Holland, Finnland.

Þetta þýðir að á því augnabliki sem íslenskt fyrirtæki kallar í gervigreindina hjá einhverjum þessara þriggja, þá fara fyrirspurnir og gögn yfir landamæri til vinnslu, jafnvel þótt þau séu upprunalega hýst í íslensku gagnaveri. Þetta er ekki endilega vandamál, en það er staðreynd sem stjórnendur verða að vera meðvitaðir um.

Tvær hliðar persónuverndar

Til að átta okkur á landslaginu þurfum við þó að halda tveimur ólíkum hlutum algjörlega aðskildum, því persónuvernd í gervigreind skiptist í tvennt:

• Þjálfun á módelum: Má gervigreindin nota gögnin þín sem námsefni til að kenna næstu kynslóð af GPT eða Claude?
• Gagnastaðsetning og reiknivinna: Hvar í heiminum eru gögnin geymd og hvar fer vinnslan fram á meðan þú bíður eftir svari frá gervigreindinni?

Af hverju skiptir staðsetning máli ef gögnin eru ekki notuð í þjálfun?

Það er auðvelt að hugsa sem svo: „Ef vinnslusamningurinn okkar tryggir að Anthropic eða Microsoft noti ekki gögnin okkar til að þjálfa módelin sín, af hverju ætti mér ekki að vera alveg sama þótt fyrirspurnirnar okkar fari til Bandaríkjanna í örfáar sekúndur".

Svarið snýst um lögfræðilega vernd. Um leið og persónuupplýsingar (eins og ferilskrár, viðskiptavinaskrár, læknisfræðileg gögn eða jafnvel tölvupóstar starfsmanna) yfirgefa evrópska gagnasvæðið, fellur vernd GDPR-löggjafarinnar að hluta til úr gildi. Í Bandaríkjunum gilda nefnilega önnur lög (eins og FISA Section 702 og Cloud Act) sem gefa þarlendum leyniþjónustum og stjórnvöldum mun ríkari heimildir til að krefjast aðgangs að gögnum sem hýst eru eða unnin vestanhafs án þess að evrópskir ríkisborgarar hafi eitthvað um það að segja.

Fyrir íslenskt fyrirtæki (og sérstaklega þau sem starfa í fjármála-, lögfræði-, heilbrigðis- eða ríkisgeiranum) getur þessi flutningur á gögnum einn og sér talist ólöglegur samkvæmt persónuverndarlögum, alveg óháð því þótt enginn sé að „þjálfa" á gögnunum þínum.

Eins og við munum sjá í næstu greinum, þá rekast hagsmunir á þegar fólk vill nota nýjustu tólin og uppfylla samhliða þau lög sem gilda um persónuvernd.

Íslensk fyrirtæki og stofnanir hafa þegar verið sektuð fyrir gagnaflutninga til Bandaríkjanna á viðkvæmum gögnum og þótt innlendar sektir séu almennt lágar í dag gæti það breyst ef ásetningur er sannaður, en þá geta hámarkssektir numið allt að 20 milljónum evra eða 4% af alþjóðlegri ársveltu.

Til að gefa smjörþefinn af því sem koma skal er hér gagnvirk tafla yfir allar þrettán leiðirnar sem ég fer yfir í seríunni. Þú getur síað hana eftir AI-módeli, vinnsluaðila, EU Data Boundary og lögsögu og við köfum ofan í hverja leið í hlutum 2 og 3:

Í næstu grein, hluta 2, skoðum við stóru breytingarnar sem hafa breytt landslaginu á síðustu mánuðum og hvers vegna fyrirtæki velja þá leið sem þau velja.