Kravet i AI Act om innføring av policy for å overholde opphavsrett mv.

Illustrasjon: Colourbox.com
1. Innledning
1.1 Hva handler artikkelen om?
Bruk og utvikling av kunstig intelligens (heretter «KI») innebærer en stor risiko for å bryte regler som skal beskytte opphavsrett eller nærstående rettigheter. Eksempelvis vil det i mange tilfeller brukes opphavsrettslig vernet materiale for å utvikle (f.eks. for å trene) KI-systemer eller -modeller, og frembringelse av tekst eller bilder vil også ofte innebære at beskyttede verk benyttes i prosessen. Problemstillingen erkjennes i EUs forordning om kunstig intelligens(1)EUs forordning om kunstig intelligens (AI Act, på norsk KI-forordningen), reg. EU/1684/2024. (heretter «AI Act») fortalepunkt 105:
«KI-modeller for allmenne formål, spesielt store generative KI-modeller, som er i stand til å generere tekst, bilder og annet innhold, skaper unike muligheter til nyskaping, men også utfordringer for kunstnere, forfattere og andre opphavere og for hvordan det kreative innholdet deres opprettes, distribueres, brukes og forbrukes. Utvikling og trening av slike modeller krever tilgang til store mengder tekst, bilder, video og andre data. Teknikker for tekst- og datautvinning kan brukes i stor utstrekning i denne sammenhengen til å innhente og analysere slikt innhold, som kan være beskyttet av opphavsrett og nærstående rettigheter.»
Dersom materiale er beskyttet, oppstår følgende problem, jf. samme talepunkt: «All bruk av opphavsrettsbeskyttet innhold krever tillatelse fra den berørte rettighetshaveren med mindre relevante opphavsrettslige unntak og begrensninger gjelder.»
En slik særlig relevant begrensning finnes i tekst- og datautvinningsunntakene i artikkel 3 og 4 i direktiv (EU) 2019/790 (heretter «DSM-direktivet»), der det åpnes for storskala automatisert tekst- og datautvinning («text and data ‑mining») av opphavsrettslig vernet materiale til bruk i trening av KI-modeller – med mindre rettighetshaver på tilstrekkelig vis har reservert seg mot dette (gjennom en såkalt «opt-out» eller «forbeholdelse av rettigheter» som det heter i den foreløpige norske oversettelsen av AI Act).
Selv om AI Act ikke direkte regulerer opphavsrettigheter, inneholder artikkel 53 forpliktelser for leverandører av «KI-modeller for allmenne formål». Slike KI-modeller (som på engelsk gjerne omtales som GPAIM – «general-purpose AI models») kjennetegnes særlig av «allmenngyldigheten og evnen til å utføre et bredt spekter av særskilte oppgaver på en kompetent måte», jf. fortalepunkt 97. Typiske eksempler er ulike former for språkmodeller.
Selv om AI Act ikke direkte regulerer opphavsrettigheter, inneholder artikkel 53 forpliktelser for leverandører av «KI-modeller for allmenne formål».
For ordens skyld nevner vi at KI-modeller er noe annet enn KI-systemer. KI-modeller er enkelt sagt algoritmer, dvs. «oppskriftene» eller prosedyreinstruksene som brukes for at systemer skal løse bestemte oppgaver. Fortalepunkt 97 fastslår at: «Selv om KI-modeller er sentrale komponenter i KI-systemer, utgjør de ikke KI-systemer i seg selv.» Blant annet må KI-modeller «tilføyes ytterligere komponenter, som for eksempel et brukergrensesnitt, for å bli KI-systemer.» Det slås videre fast at «KI-modeller er vanligvis integrert i og utgjør en del av KI-systemer.»
For å ivareta opphavsrett mv., følger det av AI Act artikkel 53 nr. 1 bokstav c at «Leverandører av KI-modeller for allmenne formål skal … innføre en framgangsmåte for å overholde unionsretten om opphavsrett og nærstående rettigheter, og særlig for å identifisere og etterleve, herunder ved hjelp av den nyeste teknologien, forbeholdelse av rettigheter i samsvar med artikkel 4 nr. 3 i direktiv (EU) 2019/790».
Denne teksten utforsker og belyser hvem forpliktelsene gjelder, hva slik «fremgangsmåte» eller «policy» innebærer og hvordan forordningen skal etterleves i praksis.
1.2 Særlig om regler for god praksis
AI Act legger opp til at det kan lages regler for god praksis, Codes of Practice, for å etterleve kravene til å lage en policy. Reglene er et frivillig verktøy, som er utarbeidet av uavhengige eksperter i en prosess med et stort antall interessenter/stakeholders. EU-kommisjonen og styret for kunstig intelligens (AI Board) har bekreftet at slike Codes of Practice kan være et passende (frivillig) verktøy for leverandører av GPAI-modeller for å demonstrere/påvise samsvar med KI-loven.(2)AI Act artikkel 53 nr. 4. Se også EU-kommisjonen, The General-Purpose AI Code of Practice. Lest 6. september 2025: https://digital-strategy.ec.europa.eu/en/policies/contents-code-gpai
I denne sammenheng er det særlig hensiktsmessig å vise til en ny Code of Practice for General-Purpose AI Models, Copyright Chapter, som er utgitt av en egen arbeidsgruppe.(3)https://ec.europa.eu/newsroom/dae/redirection/document/118115 Vi vil under ta utgangspunkt i denne når vi beskriver hva en policy bør inneholde, og vil for enkelthetens skyld bare omtale den som Code of Practice. Det er i teorien antatt at hvis leverandører ikke etterlever en slik harmonisert Code of Practice, vil leverandøren selv bære risikoen for å vise at de har alternative, adekvate måter å overholde sine forpliktelser på.(4)N. E. Vellinga og Jeanne Mifsud Bonnici, Article 53 Obligations for Providers of General-Purpose AI Models. I: Ceyhun Necati Pehlivan, Nikolaus Forg, Peggy Valcke, The EU Artificial Intelligence (AI) Act : A Commentary, 2024, s. 856.
Vi gjør oppmerksom på at Code of Practice selv påpeker at «adherence to the Code does not constitute conclusive evidence of compliance with these obligations under the AI Act».(5)Code of Practice, Objectives (punkt A)
2. Hvem (og hvor) gjelder plikten til å innføre policy for?
Det er «leverandører» som er underlagt plikten om å innføre en policy. Ifølge KI-forordningens artikkel 3 nr. 3 er leverandører:
«en fysisk eller juridisk person, en offentlig myndighet, et byrå eller ethvert annet organ som utvikler et KI-system eller en KI-modell for allmenne formål, eller som får utviklet et KI-system eller en KI-modell for allmenne formål og bringer det eller den i omsetning eller tar KI-systemet i bruk under eget navn eller varemerke, mot betaling eller vederlagsfritt»
Det er relativt greit å peke ut hvem som klart omfattes av definisjonen. I verdikjeden er det imidlertid ikke alltid opplagt hvem som anses som leverandører av KI-modeller.
Ulike «oppstrømsleverandører», som håndterer dataskraping, gjennomsøking og levering av opplæringsverktøy og datasett – men som ikke produserer selve modellen – vil normalt falle utenfor pliktene i artikkel 53.(6)João Pedro Quintais, Copyright, the AI Act and Extraterritoriality, The Lisbon Council, Policy brief, juni 2025, s. 8. «Nedstrømsleverandører» vil derimot oftere kunne omfattes, blant annet enkelte leverandører av KI-systemer. Når leverandøren av en KI-modell for allmenne formål integrerer en egen modell i sitt eget KI-system som gjøres tilgjengelig på markedet eller tas i bruk, bør denne modellen anses for å være brakt i omsetning, jf. fortalepunkt 97. Ifølge AI Act bør da forpliktelsene for modeller i forordningen fortsatt gjelde i tillegg til forpliktelsene for KI-systemer.(7)AI Act fortalepunkt 97. Nedstrømsleverandører kan derfor omfattes av AI Acts forpliktelser for modelleverandører ved «vertikal integrasjon», der KI-modeller integreres i egne systemer som tilbys på markedet. KI-systemer som integrerer andre leverandørers modeller vil derimot i utgangspunktet falle utenfor forpliktelsene som er pålagt modellleverandører i henhold til artikkel 53.(8)Quintais 2025 s. 8.
Hva gjelder hvor AI Act gjelder, dvs. stedlig virkeområde, følger det av artikkel 2 nr. 1 bokstav a at AI Act gjelder for «leverandører som bringer i omsetning eller tar i bruk KI-systemer eller bringer KI-modeller for allmenne formål i omsetning i Unionen, uansett om disse leverandørene er etablert eller lokalisert i Unionen eller i et tredjeland».
Fortalepunkt 106 fastslår for øvrig at:
«Enhver leverandør som bringer en KI-modell for allmenne formål i omsetning i Unionen, bør oppfylle denne forpliktelsen, uavhengig av i hvilken jurisdiksjon de opphavsrettslig relevante handlingene som ligger til grunn for treningen av disse KI-modellene, finner sted. Dette er nødvendig for å sikre like vilkår for leverandører av KI-modeller for allmenne formål, der ingen leverandør bør kunne oppnå et konkurransefortrinn på unionsmarkedet ved å anvende lavere opphavsrettsstandarder enn de som er fastsatt i Unionen.»
Dersom man leser fortalepunktet bokstavelig, vil dette innebære at f.eks. en japansk leverandør av KI-modeller (som utvikler og trener modellen sin i Japan) blant annet må respektere opt-out-mekanismen i DSM-direktivets artikkel 4 nr. 3 dersom leverandøren senere vil plassere modellen på EU-markedet.(9)Alexander Peukert, Copyright in the Artificial Intelligence Act - A Primer, mars 2024, s. 18-19. I et slikt tilfelle vil ikke DSM-direktivets regulering anvendes direkte, men AI Act vil kreve at reguleringen respekteres gjennom policy-kravet. Denne løsningen er ikke ukontroversiell da den i så fall vil gjøre europeisk opphavsrett (indirekte) gjeldende med tilbakevirkende kraft, f.eks. for trening som i utgangspunktet er gjennomført lovlig i tredjeland.(10)Quintais 2025 s. 19. Selv om dette kan virke fremmed fra et opphavsrettslig perspektiv, er det dog ikke helt ulikt hvordan f.eks. EUs produktansvarsregelverk fungerer.
Et mindre inngripende tolkningsalternativ er imidlertid at trening av den japanske KI-modellen (i Japan) ikke er omfattet av DSM-direktivet (eller europeisk opphavsrett for øvrig) i utgangspunktet, og at forpliktelsen i artikkel 53 nr. 1 bokstav c i AI Act dermed heller ikke kan begrense retten til senere å sette modellen på EU-markedet.(11)Peukert 2024 s. 18-19. En slik tolkning synes vanskelig å forene med fortalepunkt 106, men er i større grad i tråd med tradisjonelle prinsipper om opphavsrettens territorielle anvendelsesområde.
Hvordan dette skal forstås og anvendes står igjen som et av mange krevende og ubesvarte spørsmål i AI Act.
3. Hva er en «fremgangsmåte»?
Den (foreløpige) norske oversettelsen av AI Act bruker uttrykket «fremgangsmåte». Trolig er det mer hensiktsmessig å ta utgangspunkt i den engelskspråklige utgaven, som benytter begrepet «policy». Dette er interessant nok også brukt i det norske høringsnotatet som gjelder gjennomføringen av AI Act i norsk rett, som påpeker at: «Leverandører av KI-modeller for allmenne formål skal utarbeide en policy for etterlevelse av EU-regelverk om opphavsrett og nærstående rettigheter.»(12)Høringsnotatet s. 26. I høringsbrevet ber departementet uttrykkelig om innspill på «Terminologi (legaldefinisjoner) brukt i den uoffisielle oversettelsen av KI-forordningen», hvilket kan tyde på flere rent språklige utfordringer.
4. Finnes det egentlig noen «unionsrett» om opphavsrett?
AI Act presiserer ikke hva som utgjør «unionsretten om opphavsrett og nærstående rettigheter», og flere har påpekt at det strengt tatt ikke eksisterer noen omforent «europeisk opphavsrett».(13)F.eks. Peukert 2024 s. 15. Et tolkningsalternativ er å legge til grunn at alle EU-staters samlede lovgivning fra 27 land (pluss tre EØS-stater?) skal respekteres. En annen tilnærming er å ta utgangspunkt i EUs rettsakter som direkte gjelder opphavsrett. Det finnes imidlertid ikke et eget, samlet «opphavsrettsdirektiv», og det er ulike forståelser av hvilke forpliktelser som pålegges av ulike EU-direktiver. Det er med andre ord uklart hvilke rettigheter som skal respekteres, og det er ikke tydeliggjort om også nasjonale reguleringer knyttet til opphavsrett skal tas med i betraktning.(14)Se redegjørelsen i Peukert 2024 s. 15 og 16.
I fortalepunkt 105 fremgår at:
«Ved direktiv (EU) 2019/790 ble det innført unntak og avgrensinger som tillater eksemplarframstillinger av og uttrekk fra verk eller andre arbeider for tekst- og datautvinningsformål på visse vilkår. I henhold til disse reglene kan rettighetshaverne velge å forbeholde seg rettighetene til sine verk eller andre vernede arbeider for å hindre tekst- og datautvinning, med mindre denne utvinningen gjøres med henblikk på vitenskapelig forskning. Dersom retten til unntak er blitt uttrykkelig forbeholdt på hensiktsmessig måte, må leverandører av KI-modeller for allmenne formål innhente tillatelse fra rettighetshaverne dersom de ønsker å utføre tekst- og datautvinning fra slike verk.»
Videre påpeker fortalepunkt 106 at for overholdelse av rettigheter «bør leverandører av KI-modeller for allmenne formål innføre en framgangsmåte for å overholde unionsretten om opphavsrett og nærstående rettigheter, særlig for å identifisere og etterleve rettighetshaveres forbeholdelse av rettigheter i samsvar med artikkel 4 nr. 3 i direktiv (EU) 2019/790.»
Code of Practice viser til rettigheter som er «provided for in directives addressed to Member States and that for present purposes Directive 2001/29/EC, Directive (EU) 2019/790 and Directive 2004/48/EC are the most relevant», jf. fortalen punkt (c)(i).
Ut fra rimelighetsgrunner antar vi at det er meningen at det er EU-retten som skal etterleves, og at særlige nasjonale bestemmelser vanskelig kan følges opp – og det gir liten mening med en forordning som skal ha en harmonisert regulering av markedsaktiviteter. Det må derfor forsøksvis utledes hva som følger av de aktuelle direktivene som inneholder bestemmelser om opphavsrett, særlig med henblikk på EU-domstolens praksis.
5. Hva slags innhold må policyen ha?
5.1 Innledende om innholdet
5.1.1 Generelt om policy-kravet
Kjernen i policy-kravet, er å utarbeide en policy, holde seg oppdatert og implementere en slik policy for overholdelse av opphavsrett mv. – og dette anses for å være et tiltak i seg selv etter Code of Practice. AI Act inneholder imidlertid ingen formkrav eller krav til materielt innhold i en slik policy, så lenge den er egnet til å oppnå sitt formål («å overholde unionsretten om opphavsrett»). Av hensyn til notoritet (f.eks. i forbindelse med tilsyn) bør det kunne legges til grunn at policyens innhold i det minste bør være nedfelt skriftlig. Code of Practice oppfordrer videre aktørene til å offentliggjøre og holde oppdatert et sammendrag av sin opphavsrettspolicy, uten at dette fremstår som noe obligatorisk krav.(15)Code of Practice, Measure 1.1, punkt (2)
Under vil vi særlig ta utgangspunkt i hva Code of Practice uttrykker om innholdet i, og etterlevelsen av, en slik policy.
5.1.2 Hva anses som «den nyeste teknologien»?
I artikkel 53 nr. 1 bokstav c heter det at polycien skal sørge for at man identifiserer og etterlever opt-outs «ved hjelp av den nyeste teknologien» («through state-of-the-art technologies» i den engelske forordningsteksten).
Dette virker umiddelbart som et meget strengt og ubetinget krav om stadig å anskaffe og benytte den siste og beste teknologien på området. Overordnet følger det dog av Code of Practice at: «The commitments in this Chapter that require proportionate measures should be commensurate and proportionate to the size of providers, taking due account of the interests of SMEs, including startups».(16)Code of Practice, Recitals, punkt (d). Selv om proporsjonalitet ikke eksplisitt er nevnt i forbindelse med kravet om bruk av «den nyeste teknologien» taler gode grunner for at det må innfortolkes en viss proporsjonalitetsavveining også her.
Uttrykket brukes imidlertid i flere EU-rettsakter og betegner normalt den beste teknologien på markedet, sett i lys av den teknologiske utviklingen, i den forstand at den mest mulig effektivt oppnår formålet med bruken av teknologien.(17)Se blant annet Sandra Schmitz-Berndt, Conceptualising the Legal Notion of ‘State of the Art’ in the Context of IT Security. Fra den 16. IFIP International Summer School on Privacy and Identity Management (Privacy and Identity), august 2021, Luxembourg, sidene 25-32. Det er neppe noe krav om å benytte den absolutt nyeste eller eksperimentelle teknologien som er mer på forsøksstadiet, og langt unna å være «hyllevare». I juridisk teori er det antatt at følgende tilnærming fra annet EU-regelverk innebærer at «den nyeste teknologien» i AI Act:(18)Henvisning til Annexes to the Commission Implementing Decision on a standardisation request to the European Committee for Standardisation and the European Committee for Electrotechnical Standardisation in support of Union policy on artificial intelligencei David M. Schneeberger, Walter Hötzendorfer & Christof Tschohl, «Article 8; Compliance with the Requirements». I: Ceyhun Necati Pehlivan, Nikolaus Forg, Peggy Valcke, The EU Artificial Intelligence (AI) Act : A Commentary, 2024, s. 227.
«should be understood as a developed stage of technical capability at a given time as regards products, processes and services, based on the relevant consolidated findings of science, technology and experience and which is accepted as good practice in technology.»
Samtidig vil det være begrensninger, ved at den «nyeste» teknologien «does not necessarily imply the latest scientific research still in an experimental stage or with insufficient technological maturity».
5.2 Innhente og reprodusere bare lovlig tilgjengelig materiale fra Internett
KI-modeller for allmenne formål må sikre at web-scraping (tekst- og datautvinning via såkalte «webcrawlere») begrenses til materiale som er lovlig tilgjengelig. At opphavsrettslig vernet materiale er lovlig tilgjengelig er et vilkår for at tekst og datautvinning skal kunne skje uten forutegående samtykke, iht. DSM-direktivet.(19)Jf. DSM-direktivets artikkel 3 nr. 1 («lawful access») og 4 nr. 1 («lawfully accessible») Hva som skal til for at noe er «lovlig tilgjengelig» kan by på vesentlig tvil, men vil ikke behandles i det videre her.(20)Spørsmålet er behandlet godt i punkt 3.2 i «Mens vi venter på noe godt» av Antonsen og Oddbjørnsen: https://lod.lovdata.no/article/2023/12/Mens%20vi%20venter%20p%C3%A5%20noe%20godt
Tiltaket innebærer for det første særlig å motvirke omgåelse av tekniske tiltak (f.eks. betalingsmurer) som begrenser tilgang, jf. art. 6(3) i direktiv (EU) 2001/29 («Infosoc-direktivet»). For det annet er det særlig viktig at leverandøren sørger for å filtrere bort nettsteder som vedvarende og kommersielt krenker opphavsrett, slik disse er identifisert av domstoler eller myndigheter i EU/EØS (typisk nettsider som tilbyr ulovlig strømming eller nedlasting av TV-serier, filmer og sportsarrangementer). En dynamisk EU-liste over slike nettsteder skal være tilgjengelig for å lette etterlevelsen.
5.3 Identifisere og etterleve rettighetsreservasjoner ved innhenting av data
I tiltak 1.3 fastsettes prosedyrer for å respektere forbehold (opt-outs) mot tekst- og datamining etter DSM-direktivet art. 4 nr. 3. Leverandørene må anvende nettroboter («web-crawlers») som leser og følger den såkalte Robots Exclusion Protocol (robots.txt), og må i tillegg identifisere og etterleve andre maskinlesbare standarder for å uttrykke forbehold (opt out) – for eksempel metadata – som er allment akseptert av rettighetshavere og teknisk gjennomførbare.
Tiltaket presiserer at rettighetshaverne står fritt til å gi sitt forbehold (opt out) på enhver «appropriate manner», og pålegger leverandørene å offentliggjøre informasjon om sine web-crawlers, herunder hvordan de identifiserer og respekterer forbehold, samt å tilby automatisk varsling av rettighetshavere når slik informasjon oppdateres.
5.4 Risikoreduserende tiltak ved integrering i KI-systemer
Code of Practice anbefaler også tiltak for å redusere risikoen for at nedstrøms KI-systemer (der allmenngyldig KI-modell er integrert) genererer utdata som kan krenke rettigheter til verk eller annet materiale. To tiltak nevnes konkret:(21)Code of Practices. 6
For det første; implementere passende og forholdsmessige tekniske sikkerhetstiltak for å forhindre at modellene deres genererer utdata som reproduserer vernet treningsdata. Slike sikkerhetsmekanismer benyttes i utstrakt grad av de største aktørene i dag og kommer f.eks. til syne hvis du ber ChatGPT generere et bilde av en velkjent superhelt-tegneseriefigur, men får til svar at «This image generation request did not follow our content policy». Det er imidlertid ingen åpenhet rundt hvordan slike tiltak fungerer teknisk, og det finnes mange eksempler på at de nokså enkelt kan omgås.
For det annet; forby opphavsrettsstridig bruk av en modell, og innta forbudet i sine retningslinjer for akseptabel bruk, vilkår og betingelser eller andre tilsvarende dokumenter. Dersom det leveres KI-modeller utgitt under frie og åpne kildekode-lisenser, skal leverandøren varsle brukere om forbudet mot opphavsrettsstridig bruk av modellen i dokumentasjonen som følger med modellen, uten at det berører lisensens frie og åpne kildekode-karakter.
Anbefalingene gjelder uavhengig av om en leverandør integrerer modellen i sine egne KI-systemer eller om modellen leveres til en annen virksomhet som ledd i et kommersielt forretningsforhold.(22)Code of Practice s. 6
5.5 Utpeke et kontaktpunkt og muliggjøre innlevering av klager
Ifølge Code of Practice bør det også utpekes et kontaktpunkt for elektronisk kommunikasjon for berørte rettighetshavere. Det må derfor etableres en mekanisme som gjør det mulig for berørte rettighetshavere (og deres autoriserte representanter, for eksempel kollektive forvaltningsorganisasjoner) å sende inn klager vedrørende manglende overholdelse av sine leverandørforpliktelser.
Tiltakene som er anbefalt av Code of Practice påvirker for øvrig ikke tiltakene, rettsmidlene og sanksjonene som er tilgjengelige for å håndheve opphavsrett og beslektede rettigheter i henhold til ulike rettsregler.
Det bør videre gis lett tilgjengelig informasjon om ordningen. Trolig vil informasjon på nettsider være tilstrekkelig.
Leverandører må behandle klager på en samvittighetsfull og upartisk måte innen rimelig tid. Code of Practice åpner for unntak fra en omstendelig prosess hvis en klage er åpenbart grunnløs eller leverandøren allerede har svart på en identisk klage fra samme rettighetshaver.
Tiltakene som er anbefalt av Code of Practice påvirker for øvrig ikke tiltakene, rettsmidlene og sanksjonene som er tilgjengelige for å håndheve opphavsrett og beslektede rettigheter i henhold til ulike rettsregler.(23)Code of Practice s. 6.
Noter
- EUs forordning om kunstig intelligens (AI Act, på norsk KI-forordningen), reg. EU/1684/2024.
- AI Act artikkel 53 nr. 4. Se også EU-kommisjonen, The General-Purpose AI Code of Practice. Lest 6. september 2025: https://digital-strategy.ec.europa.eu/en/policies/contents-code-gpai
- https://ec.europa.eu/newsroom/dae/redirection/document/118115
- N. E. Vellinga og Jeanne Mifsud Bonnici, Article 53 Obligations for Providers of General-Purpose AI Models. I: Ceyhun Necati Pehlivan, Nikolaus Forg, Peggy Valcke, The EU Artificial Intelligence (AI) Act : A Commentary, 2024, s. 856.
- Code of Practice, Objectives (punkt A)
- João Pedro Quintais, Copyright, the AI Act and Extraterritoriality, The Lisbon Council, Policy brief, juni 2025, s. 8.
- AI Act fortalepunkt 97.
- Quintais 2025 s. 8.
- Alexander Peukert, Copyright in the Artificial Intelligence Act - A Primer, mars 2024, s. 18-19.
- Quintais 2025 s. 19.
- Peukert 2024 s. 18-19.
- Høringsnotatet s. 26.
- F.eks. Peukert 2024 s. 15.
- Se redegjørelsen i Peukert 2024 s. 15 og 16.
- Code of Practice, Measure 1.1, punkt (2)
- Code of Practice, Recitals, punkt (d).
- Se blant annet Sandra Schmitz-Berndt, Conceptualising the Legal Notion of ‘State of the Art’ in the Context of IT Security. Fra den 16. IFIP International Summer School on Privacy and Identity Management (Privacy and Identity), august 2021, Luxembourg, sidene 25-32.
- Henvisning til Annexes to the Commission Implementing Decision on a standardisation request to the European Committee for Standardisation and the European Committee for Electrotechnical Standardisation in support of Union policy on artificial intelligencei David M. Schneeberger, Walter Hötzendorfer & Christof Tschohl, «Article 8; Compliance with the Requirements». I: Ceyhun Necati Pehlivan, Nikolaus Forg, Peggy Valcke, The EU Artificial Intelligence (AI) Act : A Commentary, 2024, s. 227.
- Jf. DSM-direktivets artikkel 3 nr. 1 («lawful access») og 4 nr. 1 («lawfully accessible»)
- Spørsmålet er behandlet godt i punkt 3.2 i «Mens vi venter på noe godt» av Antonsen og Oddbjørnsen: https://lod.lovdata.no/article/2023/12/Mens%20vi%20venter%20p%C3%A5%20noe%20godt
- Code of Practices. 6
- Code of Practice s. 6
- Code of Practice s. 6.