Odotus on päättynyt, ja syksyn voi käynnistää tehokkaasti uunituoreen tekoälysäädöksen asettamien vaatimusten parissa.
EU:n tekoälysäädös astui voimaan elokuun alussa ja samalla alkoi tekoälyä hyödyntävien, kehittävien ja myyvien organisaatioiden kello tikittämään. Asetusta aletaan soveltaa täysimääräisesti kahden vuoden kuluttua, mutta vaatimuksia on tulossa jo ennen sitä. Aikataulu asettaa paineta, sillä säännösten noudattamatta jättäminen voi johtaa sakkoihin, joiden suuruus voi olla jopa 35 miljoonaa euroa tai 7 prosenttia yrityksen vuotuisesta liikevaihdosta — maineriskiä unohtamatta. Asetus luokittelee tekoälyjärjestelmät eri riskiluokkiin. Sovellettavat säännöt määräytyvät riskiluokan perusteella.
Mitä toimenpiteitä organisaatioiden tulee tehdä ja mihin mennessä? Olemme koonneet tähän blogiin keskeisimmät päivämäärät ja tärkeimmät askelmerkit organisaatioille.
Helmikuun 2. päivään mennessä kiellot kohtuuttoman riskin tekoälyn käytöstä astuvat voimaan. Tähän kuuluu muun muassa tekoälyjärjestelmät, joilla manipuloidaan ihmisen käyttäytymistä. Huomattavaa on, että tekoälyjärjestelmien tarjoajien ja käyttöönottajien on toteutettava toimenpiteitä varmistaakseen henkilöstölleen riittävän tekoälylukutaidon, toisin sanoen kouluttaa tekoälyä käyttävät työntekijänsä.
Yleiskäyttöisiä tekoälymalleja koskevia velvoitteita ja hallintosääntöjä aletaan soveltaa 2. elokuuta 2025. Tällöin viranomaisten on mahdollista määrätä sakkoja ja sanktiota organisaatioille tekoälyasetukseen nojaten.
Tässä vaiheessa organisaatioilla tulee olla:
Elokuun 2. päivään mennessä tekoälysäädöksen velvoitteet tulevat pääosin sovellettaviksi, jolloin myös korkean riskin aiheuttavien järjestelmien velvoitteisiin tulee pystyä vastaamaan.
Vuosi 2025 ja asetuksen vaatimukset pilkottavat jo kulman takana ja valmistautuminen kannattaa aloittaa pikimmiten. Suunnittelutyössä ja tekoälysäädöksen implementaatiossa kannattaa hyödyntää organisaation tietosuoja-ammattilaisia. He ovat vuosien saatossa tottuneet arvioimaan tiedonkäsittelyyn liittyviä riskejä ja vaatimustenmukaisuutta.
Hannu Kasanen toimii partnerina Risk Advisory -yksikössä, missä hän johtaa Deloitten kyberpalveluita julkisen sektorin asiakkaille Suomessa. Hannulla on yli kahdenkymmenen vuoden kokemus IT- ja tietoturvakonsultoinnista. Hän on onnistuneesti johtanut Suomen merkittävimpien yritysten ja julkisen sektorin organisaatioiden kehityshankkeita. Hannu on erikoistunut identiteetinhallintaan ja tietosuojaan, mutta hän auttaa asiakkaitaan laajalla skaalalla kyberturvallisuusaiheissa. Briefly in English: Hannu leads Deloitte’s Cyber Risk service offering for Government and Public Services industry in Finland. He has more than twenty years of IT and security consulting experience with a proven track record of delivering substantial results. Hannu has successfully led complex projects with some of the most iconic brands and the biggest public-sector organizations in Finland. Hannu specializes in digital identity and data privacy but advises his clients on a broad spectrum of cybersecurity topics.
Oona työskentelee Deloitten riskienhallintayksikössä ja on vastuussa tietosuojapalveluiden tarjonnasta Suomessa. Hänellä on kokemusta niin julkisen kuin yksityisen sektorin tietosuojan kehittämiseen ja arviointiin liittyvistä toimeksiannoista yli 20 organisaatiossa. Konsultoinnin lisäksi Oona on toiminut kaksi vuotta in-house tietosuojapäällikkönä, ja vastasi työntekijöiden ja työnhakijoiden tietosuojasta metsäalan yrityksessä. Hän vastasi tietosuojahallinnon kehittämisestä yhtiön globaalissa HR:ssä, johti DPIA- ja PIA-prosesseja sekä osallistui uuden tietosuojanhallintatyökalun käyttöönottoon. Briefly in English: Oona is part of the Deloitte Risk Advisory's Cyber Risk team in Finland. At Deloitte Oona is responsible for the data privacy service offering in the Finnish market and advises clients on diverse privacy matters. During her time at Deloitte, Oona has worked in projects ranging from Data Protection Impact Assessments (DPIAs), GDPR internal audits, data inventory and was a team member in a cyber culture change and awareness program. In addition to consulting, Oona has experience in data privacy in an in-house role from the forest industry where she worked for 2 years. She was responsible for developing data privacy governance within the company’s global HR, lead DPIA and PIA processes and took part in implementation of a new data privacy management tool.