Spør oss om AI: «AI Act» er forventet i 2024

På tampen av 2023 ble Europaparlamentet og Rådet for den europeiske union enige om et endelig utkast til AI Act. Den nye forordningen skal for første gang gi en omfattende juridisk ramme for utvikling og bruk av kunstig intelligens. 

Før det nye regelverket trår i kraft må EU-organene formelt vedta innholdet, og den må også publiseres i «Official Journal of the European Union».

Enighet rundt utkastet representerer startskuddet for et nytt år der mange virksomheter vil fortsette arbeidet med AI. 2023 bar preg av økt fokus på kunstig intelligens og utforskingen av det. Mange virksomheter holdt seminarer og workshops der tema var muligheter som ligger i teknologien og hvordan den kan utnyttes best mulig for den enkelte arbeidsplass. Ikke minst ble Microsoft Copilot begynt rullet ut og flere er nå i gang med å utforske mulighetene som kommer med det.

Vi erfarer at mange begynner å legge mer konkrete planer for hvordan de skal bruke AI i virksomheten. Der 2023 var året for utforsking, blir 2024 året for å teste og sette planene til livs – enten det er snakk om å teste AI i pilotprosjekter eller ta det i bruk på tvers av virksomheten. Uavhengig av hvilken måte det brukes, er det viktig å ha et bevisst og aktivt forhold til hvilke lovkrav som gjelder og hvordan virksomheten styres i lys av bruken.

Nå som AI Act begynner å nærme seg vedtatt må alle gjøre seg klare for å møte nye krav. Det endelige utkastet er enda ikke publisert, men vi vet allerede noe om hovedinnholdet og kan derfor begynne å se for oss hva vi bør forberede oss på.

AI Act følger en risikobasert tilnærming der AI-systemer klassifiseres på fire risikonivåer. Noen bruksområder for AI-systemer forbys, mens andre blir underlagt ulike krav basert på risikonivå. Det blir avgjørende å forstå hvilket risikonivå et AI-system tilhører fordi det vil ha direkte innvirkning på hvordan virksomheten må håndtere og overvåke det.

De økonomiske konsekvensene av å ikke følge kravene er for eksempel bøter på inntil 35 millioner euro eller syv prosent av den globale omsetningen. Å ha god kontroll på rettslige forpliktelser er viktig for effektiv risikostyring, men ikke minst handler det om å ivareta et godt omdømme og en posisjon som en pålitelig aktør.

Da EU-organene vurderte hvilke AI-bruksområder som skulle forbys, så de på hva som utgjorde en uakseptabel risiko for individuelle rettigheter og demokratiet. Bruksområder som klassifiseres med uakseptabel risiko er blant annet AI-systemer som utnytter sårbare grupper eller benytter «social scoring». 

Eksempler på slike systemer er systemer som kategoriserer personer basert på sensitive opplysninger (f.eks. politisk eller religiøs tilhørighet, seksuell orientering osv.), og systemer som rangerer personer basert på adferd og sosioøkonomisk status.

Disse reglene vil tre i kraft kun seks måneder etter AI Act blir vedtatt formelt – noe som vil kunne skje allerede i løpet av første halvdel av 2024.

Et AI-system som klassifiseres som høy risiko må følge omfattende krav både i utviklings- og bruksfasen. Det vil blant annet bli obligatorisk å gjennomføre en konsekvensvurdering av grunnleggende rettigheter.

Vi vet enda ikke nøyaktig hva formuleringen for «høy risiko» er her, men det antas at det vil følge en utfyllende liste når loven vedtas. Det vi uansett vet, er at et AI-system alltid vil betraktes som høy risiko når de er pålagt CE merking under annen EU-lovgivning. Høy kvalitet på datasett, logging, dokumentasjon, cybersikkerhet og menneskelig overvåkning er eksempler på krav vi regner med blir inkludert i lovgivningen.

De fleste AI-systemer som utgjør liten eller ingen risiko vil mest sannsynlig ikke bli underlagt noen spesielle plikter med AI Act. Disse er for eksempel anbefalingssystemer, slik som når en strømmetjeneste gir deg anbefalinger om hvilken film du bør se, og spamfiltre som filtrerer ut uønsket e-post i innboksen din.

Noen AI-systemer som interagerer med mennesker eller genererer innhold utgjør en begrenset risiko som i hovedsak handler om transparens – om bruker eller mottaker kan identifisere om innholdet er laget av et AI-system. Derfor vil det mest sannsynlig stilles krav om informasjon til brukere og om merking av innhold for slike systemer.

Vi anbefaler virksomheter som allerede er i gang med å utvikle eller bruke kunstig intelligens, eller som planlegger å gjøre det, å vurdere om selskapet vil bli omfattet av AI Act når den trer i kraft. Alle som omfattes bør begynne tilpasningsprosessen allerede nå.

Det kan være hensiktsmessig å benytte en steg-for-steg tilnærming, for eksempel:

1. Fastsett selskapets risikotoleranse for utvikling, innkjøp og bruk av AI-systemer

2. Kartlegg og lukk eventuelle gap i eksisterende styringsstrukturer, inkludert utvikling, innkjøp, risikostyring, overvåkning, IKT-sikkerhet og datahåndtering

3. Sørg for at ansatte som jobber med AI har nødvendig opplæring i virksomhetens retningslinjer og regulatoriske krav.