Artikkel

EU AI Act: Hva må du vite og hvordan kan du forberede deg?

Den 8. desember 2023 kunngjorde EU-parlamentet at det er oppnådd foreløpig politisk enighet om EUs AI Act. Dette markerer et avgjørende øyeblikk i sagaen om reguleringen av kunstig intelligens, og vi kan for alvor begynne å tenke på hva dette vil innebære for den enkelte virksomhet.

Det er forventet at forordningen vil bli formelt godkjent før Europaparlamentsvalget i juni 2024. Regelverket vil begynne å gjelde to år etter at den trer i kraft, sannsynligvis i midten av 2026. Enkelte av kravene vil imidlertid trå i kraft ett år før dette.

Nå som formell stadfesting av reglene er i sikte, gjør virksomheter som bruker eller planlegger å bruke AI-systemer lurt i å forberede seg på det kommende regelverket.

Hva innebærer den nye forordningen?

Formålet med EU AI Act («KI-forordningen» på norsk) er å legge til rette for trygg, tillitsvekkende og etisk bruk av kunstig intelligens, samtidig som reglene skal fremme innovasjon og konkurranseevne i EU. Den endelige teksten er ikke enda formelt publisert. Det er imidlertid enkelte viktige elementer ved den kommende forordningen vi kjenner;

Brudd på den nye forordningen kan medføre store bøter, nesten to ganger høyere enn ved brudd på GDPR. For de mest alvorlige bruddene kan bøter bli opp til 7% av den globale omsetningen eller € 35 millioner. Dette er nesten det dobbelte av bøtene etter GDPR (4% av global omsetning eller € 20 millioner), og opptil 1,5% for ikke å samarbeide med myndigheter og / eller å gi unøyaktig informasjon.
Forordningen favner bredt. For det første fordi den har en mulig global rekkevidde, og for det andre, fordi den inneholder en bred definisjon av hva som utgjør et kunstig intelligent system (og som forordningen dermed får virkning for).
Forordningen har en risikobasert tilnærming, hvilket innebærer at forpliktelsene avhenger av risikoklassifiseringen til det aktuelle AI-systemet.
- Minimal risiko: Størsteparten av AI-systemer som brukes i dag vil falle inn under denne kategorien. Virksomheter som bruker slike systemer, kan velge å overholde frivillige etiske retningslinjer.
- Høy risiko: Flesteparten av det kommende regelverkets krav er knyttet til denne kategorien. Noen av de viktigste forpliktelsene for AI-systemer med høy risiko inkluderer samsvarsvurderinger, kvalitets- og risikostyringssystemer, registrering i en offentlig EU-database og rapportering til myndigheter. I tillegg må høyrisikosystemer være teknisk robuste og minimere risikoen for urettferdige skjevheter. AI-systemer kan blant annet klassifiseres som høy risiko dersom de:
  - Inngår i kritisk infrastruktur
  - Brukes i utdanning og yrkesopplæring (f. eks. evaluere testresultater og avdekke juks)
  - Brukes som del av rekruttering og personaladministrasjon
  - Vurderer fysiske personers tilgang til viktige private og offentlige tjenester og fordeler, f.eks. tilgang til helsetjenester eller kredittvurdering
  - Brukes innen rettshåndhevelse, grensekontroll, eller demokratiske prosesser
  - Brukes ved evaluering av nødanrop
- Uakseptabel risiko: Bruk av slike AI-systemer er forbudt. AI-systemer med uakseptabel risiko vil eksempelvis være:
  - Sosial skåring og biometrisk kategorisering.
  - Utnyttelse av personers sårbarheter
  - Biometrisk fjernidentifikasjon i sanntid i offentlig tilgjengelige rom av politi og rettshåndhevelse
  - Biometrisk kategorisering av fysiske personer basert for å utlede rase, politiske meninger, fagforeningsmedlemskap, religiøse eller filosofiske overbevisninger eller seksuell legning.
  - Følelsesgjenkjenning på arbeidsplassen og utdanningsinstitusjoner.
  - Ikke-målrettet skraping av internett eller videoovervåkningsmateriale
- Spesifikk risiko knyttet til åpenhet: dette blir gjeldende for AI-systemer som kan manipulere mennesker, slik som chatbots og deep fakes. Her stilles det krav til åpenhet ved at brukere må gjøres klar over at de samhandler med AI og ikke mennesker.
- AI Act inneholder også regler for generelle AI-modeller (inkludert generativ AI). Virksomheter som skal bygge på en generell AI-modell bør ha all nødvendig informasjon for å sikre at systemet er trygt. Leverandører av slike modeller er derfor forpliktet til å oppgi relevant informasjon. Leverandører pålegges også plikter knyttet til overholdelse av opphavsrett.
Den kommende forordningen skal håndheves av nasjonale myndigheter, og i Norge er det foreløpig bestemt at Datatilsynet skal ha denne oppgaven. Det vil også etableres et European Artificial Intelligence Board, som skal tilrettelegge for en jevn, effektiv og harmonisert implementering av AI Act i EU.
AI Act er i stor grad inspirert av GDPR. På samme måte som i GDPR finner vi prinsipper, rettigheter og plikter knyttet til åpenhet, samt risikovurderinger.

Punktene over er delvis basert på de nylig publiserte spørsmål og svar fra EU-kommisjonen.

Hvordan forberede seg på de nye reglene?

Identifisere og kartlegge AI-systemer

Definisjonen av hva som er et «AI-system» i forordningen er vid, og vil være bestemmende for hvorvidt regelverket treffer. Vi anbefaler alle virksomheter å gjøre seg godt kjent med definisjonen, for deretter å kunne vurdere hvilke eksisterende og planlagte systemer i virksomheten som vil omfattes. Det må også vurderes hvilken rolle virksomheten har (deployer/ developer/ importer/ reseller) da forordningen setter ulike krav til de ulike rollene.

Vi anbefaler videre å kartlegge all bruk av AI-systemer, oversikt over hvem som har ansvaret for det enkelte system internt og hva som er formålet med bruken.

Bli kjent med det nye regelverket og identifiser gap

Gjør deg kjent med de ulike risikonivåene og forpliktelsene som følger med for AI-systemet, rollen din virksomhet har, og vurder om noe gjenstår for å overholde forpliktelsene.

Klassifisering

Gjennomfør en samsvarsvurdering av eksisterende eller planlagte AI-system for å identifisere systemets risikoklassifisering etter AI Act. Det er viktig å ha oversikt over dette fordi AI-systemenes risikoklassering vil være bestemmende for hvilke plikter virksomheten har, eller om det overhodet er lovlig å bruke systemet.

De mest omfattende pliktene vil inntreffe ved bruk av systemer som klassifiseres som høyrisiko. Virksomheten vil da ilegges plikter knyttet til blant annet kvaliteten på treningsdata, rettferdighet og åpenhet, dokumentasjon og brukerinformasjon, menneskelig tilsyn, samt systemets sikkerhet.

Dersom det brukes AI-systemer som skal klassifiseres som minimal risiko, kan virksomheten ta stilling til om den vil følge de frivillige etiske retningslinjene.

Enkelte prinsipper er gjennomgående i hele AI Act, slik som prinsippene om åpenhet og ansvarlighet. Uavhengig av klassifisering kan derfor virksomheter begynne å utarbeide informasjon til sine brukere om AI-systemene, inkludert klar og tydelig informasjon om systemets formål – slik at brukerne kan gjøre informerte valg.

Dokumenter risiko

Dokumenter eventuell risiko ved bruken av AI-systemet og utarbeid en plan for hvordan dette skal avbøtes.

Ansatte

Start arbeidet med å utpeke en eller flere ansvarlige for å sikre etterlevelse av reglene.

For å sikre en effektiv AI-strategi og etterlevelse av regelverket, vil det være nødvendig at alle ansatte har tilstrekkelig kjennskap til AI, hvilke forpliktelser og risiko som følger av AI Act og hva dette innebærer for virksomheten. Å overholde kravene vil kreve tverrfaglig kompetanse, nødvendig kunnskap og opplæring. Vi anbefaler at man drar nytte av annet compliance arbeid i virksomheten - se sammenhenger og unngå dobbeltarbeid.

Internkontroll

Ved innføringen av GDPR erfarte mange virksomheter at det var nødvendig å oppdatere internkontrollsystemet sitt. Dette vil også bli nødvendig for å etterleve AI Act.

Det vil eksempelvis være nødvendig å oppdatere styrende dokumentasjon knyttet til virksomhetens mål og strategi knyttet til bruk eller utvikling av AI-systemer.

Vi anbefaler å lage rutiner og veiledninger for de ansattes bruk av AI i virksomheten. Opplæring og økt bevissthet vil gjøre det lettere for ansatte å ta informerte valg og håndtere datarelatert risiko.

DPIA og ROS

Dersom det skal behandles personopplysninger ved bruk av AI, vil dette ofte medføre høy risiko for de registrertes rettigheter og friheter. I henhold til GDPR art. 35 vil det da være nødvendig å utføre en DPIA (personvernkonsekvensvurdering) før systemet tas i bruk. Forhold som gjør bruk av AI risikofullt, kan for eksempel være bruk av innovativ teknologi, matching og kombinering av datasett, eller behandling av personopplysninger i stor skala.

For at bruken av AI skal være tilstrekkelig sikker (og for å oppfylle krav til sikker behandling av personopplysninger i GDPR art. 32 og 24) vil det også være nødvendig å gjennomføre andre risikovurderinger, slik som en ROS.

Deloitte Advokatfirma kan bistå!

For tidlig å begynne å tenke på den kommende forordningen? Vi mener at dette er akkurat rette tidspunkt! Virksomheter som utvikler eller bruker AI bør starte med å begynne å se på egen modenhet opp mot den foreslåtte forordningen, og virksomheter som ennå ikke har tatt AI i bruk kan utarbeide rutiner som gir en sikker start. Ta kontakt med vårt dyktige team i Deloitte Advokatfirma om du trenger bistand.

Kilde: Artificial Intelligence - Q&As (europa.eu)

Snakk med oss om EU AI Act!

Marianne Lie Howard

Director | Advokat

marhoward@deloitte.no

+47 915 38 556

Marianne er director og advokat i Deloitte Advokatfirma. Marianne er cand.jur. fra 2004 og har lang operasjonell erfaring. Hun har lenge jobbet i grensesnittet mellom jus, teknologi og kommersielle mu... Mer

Hanne Pernille Gulbrandsen

Partner | Advokat

hgulbrandsen@deloitte.no

+47 402 81 558

Hanne er partner i Deloitte Advokatfirma og leder våre tjenester rettet mot offentlig sektor. Hun er advokat med en LLM i European law og arbeider primært med rådgivning innen personvern og informasjo... Mer

Audit & Assurance

Consulting

Financial Advisory

Risk Advisory

Deloitte Advokatfirma

Klima og bærekraft

Teknologi og transformasjon

CFO Services

Consumer

Energi, ressurser og industri

Financial Services

Offentlig sektor

Helse

Teknologi, media og telekom

Privateide selskaper

Eiendom

Jobb i Deloitte

Ledige stillinger

Fagartikler

Seminar og events