OpenAI støtter EU-kode for merking av AI-innhold

OpenAI støtter EUs nye Code of Practice on Transparency of AI-Generated Content. Koden skal hjelpe leverandører og brukere av generative AI-systemer med å etterleve transparenskravene i AI Act artikkel 50. Kravene gjelder fra 2. august 2026.

Dette er ikke en produktlansering med mye støy. Det er likevel en viktig styringssak. EU går fra prinsipp til operasjonelle krav: AI-generert innhold skal kunne merkes, forklares og i mange tilfeller etterprøves. OpenAI stiller seg bak retningen og peker på C2PA-metadata, SynthID-vannmerker, produktvern og en offentlig verifikasjonsløsning som deler av svaret.

OpenAI skriver at selskapet har arbeidet med provenans siden 2024, da det begynte å legge C2PA-metadata inn i bilder laget med DALL-E 3. Siden har selskapet utvidet arbeidet til flere signaler for bilder laget med ChatGPT, Codex og API-et. Poenget er enkelt: brukere, medier, plattformer og myndigheter skal få bedre kontekst om hvor innhold kommer fra, hvordan det er laget, og om det hevder å være noe det ikke er.

EU-koden er frivillig å signere, men den bygger på juridiske krav som ikke er frivillige. Kommisjonens egen side sier at transparenskravene i artikkel 50 er rettslige forpliktelser. Signatarer kan bruke kodekravene til å vise etterlevelse hvis Kommisjonen og AI Board vurderer koden positivt. De som velger en annen vei, må dokumentere at egne tiltak er gode nok overfor markedstilsyn.

For norske ledere betyr det at AI-innhold må inn i internkontrollen. Det holder ikke lenger å skrive en generell policy om at «AI kan brukes med skjønn». Virksomheter må vite hvilke systemer som lager tekst, bilder, lyd og video, hvor merking skjer, hvilke metadata som følger med, og hva som forsvinner når innhold lastes opp til andre plattformer.

Dette er spesielt viktig for kommunikasjon, kundeservice, HR, opplæring og sikkerhet. Markedsavdelingen kan lage kampanjebilder med AI. Kundeservice kan sende AI-genererte svar. HR kan bruke AI til stillingsannonser og opplæringsmateriell. Sikkerhetsteam kan bruke syntetisk innhold i øvelser. I alle tilfeller må virksomheten kunne forklare hva som er generert, hva som er redigert, og hvem som godkjente publisering.

CIO og CISO bør merke seg OpenAIs egen begrensning: metadata er ikke nok. OpenAI skriver at metadata kan fjernes, gå tapt ved opplasting og nedlasting, eller brytes av konvertering, skalering og skjermbilder. Det er en nøktern erkjennelse. Sporbarhet må derfor bygges i flere lag. Metadata, vannmerker, logg, tilgangsstyring, publiseringsflyt og manuell attestering må henge sammen.

DPO får en nærliggende oppgave. Når AI-innhold brukes i kundedialog eller intern kommunikasjon, kan merking også bli en del av personvern- og tillitsarbeidet. Kunder og ansatte må forstå når de møter automatisert innhold, og virksomheten må kunne vise at transparensen ikke bare ligger i en leverandørfunksjon som forsvinner ved første eksport.

For styret er dette en del av bredere AI-risiko. Deepfakes, manipulerte dokumenter og falske uttalelser er ikke lenger bare ekstern trussel. De blir også en operasjonell risiko for virksomheter som selv produserer store mengder AI-innhold. Uten kontroll kan selskapet skape forvirring om egne budskap, bryte regulatoriske krav eller miste bevis på hvordan materiale ble produsert.

OpenAI har en egeninteresse her. Selskapet vil vise europeiske myndigheter at store modellleverandører kan levere etterlevelse uten at innovasjon stopper. Det gjør ikke signalet mindre relevant. Når en stor amerikansk AI-leverandør støtter EUs transparenskode, blir koden raskere en praktisk standard for enterprise-kunder også utenfor EU. Leverandører vil bygge mot den. Innkjøpere vil spørre etter den. Revisorer vil bruke den som målestokk.

Norske virksomheter bør derfor starte med tre spørsmål. Hvilket AI-generert innhold publiserer vi eller sender til kunder? Hvilke provenanssignaler følger med gjennom hele verdikjeden? Og hvem eier beslutningen når merking mangler eller blir brutt av verktøyene vi bruker?

Svaret bør ikke ligge hos én entusiast i markedsavdelingen. Dette må inn i arkitektur, anskaffelser, sikkerhet, juridisk og publiseringsrutiner. AI Act er ikke bare modellrisiko. Den blir også dokumentkontroll, kanalstyring og beviskjede for digitalt innhold.

OpenAIs støtte gjør tidslinjen tydeligere. 2026 blir året der merking av AI-innhold går fra anbefaling til styringskrav. De som rydder datakjeden nå, får mindre panikk når kunder, myndigheter og partnere begynner å spørre hvordan de kan stole på det de ser.

Kilder og medier

Primærkilde: OpenAI, «Supporting Europe’s work in ensuring a trustworthy AI ecosystem», https://openai.com/index/supporting-eu-trustworthy-ai-ecosystem/

Regulatorisk kilde: European Commission, «Code of Practice on Transparency of AI-Generated Content», https://digital-strategy.ec.europa.eu/en/policies/code-practice-ai-generated-content

Thumbnail: OpenAI Image 2 / hogby.ai