Målet er at sikre, at AI-systemer i EU anvendes, så de respekterer europæiske værdier og regler, herunder beskyttelse af grundlæggende rettigheder, demokrati, retsstatsprincippet og miljømæssig bæredygtighed. Forordningen skal overholdes af samtlige aktører i værdikæden, og får dermed stor betydning for alle virksomheder og organisationer, der opererer i EU.
Specielt indenfor sundheds- og finanssektoren samt hos virksomheder, der arbejder med kritisk infrastruktur, herunder transport, er brug af kunstig intelligens ekstra kritisk (NIS2), ligesom også hele den offentlige sektor naturligvis skal være ekstra påpasselig.
24 måneders indfasning på tre niveauer
Forordningen fastlægger forpligtelser for kunstig intelligens baseret på dens potentielle risici og påvirkningsniveau, og er derfor inddelt i tre niveauer baseret på niveauet af risici for samfundet.
Det betyder, at AI-systemer med en uacceptabel høj risiko forbydes, mens systemer med lav skadesrisiko går fri. De tre niveauer er også udgangspunktet for indfasningen af forordningen, der løber over de næste to år.
Uacceptabelt risikable AI-systemer – om 6 måneder er de ulovlige
AI-systemer, der direkte truer EU-borgeres rettigheder, indebærer en uacceptabelt høj risiko, og de bliver derfor ulovlige allerede om et halvt år. Gruppen omfatter AI-applikationer med…
- sociale pointsystemer
- kognitiv adfærdsmanipulation
- biometrisk identifikation og kategorisering af personer
- udnyttelse af personlige sårbarheder som fx alder eller handicap
- følelsesgenkendelse på arbejdspladsen og i uddannelsesinstitutioner
- biometrisk fjernidentifikation såsom ansigtsgenkendelse
- forudsigende politiarbejde
Højrisiko AI-systemer – om 24 måneder skærpes kravene
Denne gruppe omfatter AI-systemer, der kan gøre betydelig skade på sundhed, sikkerhed, miljø, demokrati og grundlæggende rettigheder. Selvom de som udgangspunkt stadig er tilladte, vil de være underlagt en række krav og forpligtelser for at få adgang til EU. Udbyderen skal fx kunne garantere dokumentation og sporbarhed, datakvalitet, gennemsigtighed, menneskeligt tilsyn, nøjagtighed, cybersikkerhed og robusthed. Gruppen omfatter…
AI-systemer indenfor specifikke områder, der skal registreres i en EU-database:
- styring og drift af kritisk infrastruktur
- uddannelse og erhvervsuddannelse
- ansættelse, arbejderledelse og adgang til selvstændig virksomhed
- adgang til og nydelse af væsentlige private tjenester og offentlige tjenester og fordele
- retshåndhævelse
- migration, asyl og grænsekontrolstyring
- bistand til lovfortolkning og retsanvendelse.
AI-systemer i produkter omfattet af EU’s produktsikkerhedslovgivning
- fx legetøj, luftfart, biler, medicinsk udstyr og elevatorer
Lavrisikosystemer – få eller ingen krav
AI-systemer med begrænsede risici vil være underlagt meget lempelige krav til gennemsigtighed, og skal fx tydeligt oplyse, om indhold i form af billeder, lyd eller video er genereret eller ændret ved hjælp af AI. Desuden skal selve modeldesignet sikre, at der ikke genereres ulovligt indhold.
AI-systemer med minimale eller slet ingen risici vil ikke blive reguleret eller berørt af EU’s AI-forordning. Disse udgør i dag langt hovedparten i form af fx personlige assistenter og reklame, og kan derfor fortsat bruges i EU, så længe de lever op til eksisterende lovgivning. Udbydere i denne gruppe kan dog stadig frivilligt forpligte sig til at underkaste sig (branche) adfærdskodekser.
Hvad skal du som virksomhed gøre?
Da teksten i AI-forordningen er direkte gældende i de enkelte medlemslande, skal den ikke først implementeres i dansk lovgivning. Derfor træder den reelt set i kraft med omgående virkning, hvilket konkret er 20 dage efter offentliggørelse i EU Tidende.
Selvom selve implementeringen tager op til to år, er det alligevel en god idé allerede nu at begynde at overveje, om forordningen har betydning for dig og din virksomhed. Derfor bør du allerede nu overveje følgende tiltag:
- få et overblik over de AI-systemer, I benytter
- vurdér på hvilket risikoniveau, jeres AI-systemer befinder sig
- find ud af, om I risikerer at dele data med andre, der benytter samme AI-system
- uddan internt i prompting for at sikre optimal brug af AI
- sørg for at relevante data er tilgængelige for de medarbejdere, der arbejder med AI
God arbejdslyst!
Tidslinje over implementeringen
Europa-Parlamentet godkender AI Act
Offentliggørelse i EU Tidende
20 dage efter offentliggørelsen træder AI Act i kraft
Uacceptabelt risikable AI-systemer bliver forbudt
· forpligtelser for udbydere af AI-modeller til generelle formål træder i kraft
· frist for at udpege en kompetent myndighed i hver medlemsstat
· årlig gennemgang og evt. tilretning af listen over forbudte AI-systemer
Kommissionen skal implementere regler for markedsovervågning
· forpligtelser for højrisiko AI-systemer specifikt opført i bilag III* træder i kraft
· medlemslandene skal have implementeret regler om sanktioner inkl. bøder
· medlemslandene skal have etableret mindst én AI-regulativ sandkasse
· gennemgang og eventuel tilretning af listen over højrisiko AI-systemer
* omfatter biometri, kritisk infrastruktur, uddannelse, beskæftigelse, adgang til væsentlige offentlige tjenester, retshåndhævelse, immigration og retspleje.
Forpligtelser for højrisiko AI-systemer udenfor bilag III, som enten er sikkerhedskomponent i et produkt eller selv er et produkt, og som derfor skal vurderes af tredjepart*.
* omfatter blandt andet legetøj, radioudstyr, medicinsk udstyr til in vitro-diagnostik, civil luftfartssikkerhed og landbrugskøretøjer.
Forpligtelser overfor visse AI-systemer, der er komponenter i store EU it-systemer indenfor frihed, sikkerhed og retfærdighed (fx Schengen-informationssystemet) træder i kraft.