Cathrine Løver Lund
Manager personvern i Sopra Steria

Er din virksomhet klar for AI-act?

Cathrine Løver Lund
Manager personvern i Sopra Steria

Her får du 6 gode råd til forberedelsene!

Kunstig intelligens (KI) har åpnet for en ny æra med innovasjon og effektivitet. Dette fører også med seg et ansvar. EU har lenge vært opptatt av at KI må brukes på en etisk, bærekraftig og forsvarlig måte, og foreslo allerede i 2021 et omfattende regelverk som skulle sikre trygg bruk av KI-systemer. Siden har det vært harde forhandlinger i EU-apparatet, og i starten av februar 2024 ble lovforslaget enstemmig vedtatt av medlemslandene.

Når the AI-act (KI-forordningen) trer i kraft i løpet av de neste årene  vil det trolig være verdens første KI-regelverk av sitt slag. Målet er å etablere klare retningslinjer og standarder for utvikling, implementering og bruk av KI-systemer innenfor EU.

Risikobasert tilnærming

KI-forordningen har en risikobasert tilnærming. Jo større risiko KI-systemet utgjør for de grunnleggende verdiene, rettighetene og frihetene til borgerne EU, jo strengere er reglene. Regelverket kategoriserer KI-systemer i fire risikonivåer:

  • uakseptabel
  • høy
  • begrenset
  • minimal

Det er både KI-systemet i seg selv og bruksområdet som må vurderes når systemene skal klassifiseres. KI-systemer med uakseptabel risiko blir forbudt i EU. Eksempler på slike systemer er sosialscoringssystemer der mennesker får tilgang til rettigheter basert på sin score. Andre eksempler er biometriske identifikasjonssystemer brukt til å tolke ansiktsuttrykk for å si noe om ansattes psykiske helse på jobb. KI-systemer med høy risiko blir underlagt strenge krav og må gjennomgå grundige vurderinger før implementering. KI-systemer med begrenset risiko, som chatbots og virtuelle assistenter, må følge enklere krav til transparens og menneskelig tilsyn. KI-systemer med begrenset eller minimal risiko er generelt fritatt fra de kravene i KI-forordningen. Eksempler her er systemer som allerede er i bruk i dag, slik som KI-drevne videospill eller spamfiltre.

Generativ KI, f.eks. de store språkmodellene som ChatGPT, kan bli ansett som et system med både uakseptabel og høy risiko, avhengig av måten det brukes på. I utdanningssektoren blir KI-systemer vurdert som høy risiko der det brukes til å vurdere læringsutbytte for elever, for å oppdage fusk, opptak til eller nivået på utdanningen.

Ansvar både hos leverandører og hos virksomhetene som tar KI i bruk

Hovedvekten av reglene vil gjelde de som utvikler KI-systemene, men virksomheter som tar de i bruk vil også være underlagt forpliktelser. Det er viktig at virksomheter gjør proaktive tiltak allerede nå for å sikre at alt er klart til regelverket trer i kraft.

Store bøter ved brudd på KI-forordningen

Brudd på regelverket kan få store økonomiske konsekvenser. EU-kommisjonen kan ilegge bøter på opptil 30 millioner euro eller 6 % av omsetning, avhengig av hvilket beløp som er høyest. Å være proaktive, omfavne regelverket og være i forkant er økonomisk lønnsomt. Samtidig fremmer det tillit hos kunder og samarbeidspartnere og bidrar til et godt omdømme for virksomheten.

6 gode råd til virksomheten din

  1. Ha et forhold til hvem som er ansvarlig – Hvordan skal KI tas i bruk i virksomheten, og hvem skal ha ansvaret? Vurder om det bør utarbeides en KI-strategi- og settes av dedikerte ressurser.
  2. Få oversikt. Start med å kartlegge og vurdere KI-systemene som for øyeblikket er i bruk eller planlagt i din virksomhet. Vurder om dere bør lage en egen protokoll med oversikt over alle KI-systemene i virksomheten, tilsvarende en behandlingsprotokoll for personopplysninger. Se deretter på hvilken risiko systemene vil utgjøre og hvilken kategori i KI-forordningen de havner i.
  3. Hold dere oppdatert. Utviklingen skjer raskt og det vil publiseres veiledning, retningslinjer, sertifiseringer etc. i tiden som kommer. Oppdater også jevnlig interne retningslinjer, protokoller og prosesser.
  4. Legg til rette for opplæring og kompetanseheving hos ledelse og ansatte.
  5. Vurder hvilket tjenstlig behov KI-systemet har for informasjon og ha klare instrukser for hva som kan behandles og ikke.
  6. Be om hjelp hvis dere trenger det. EU-kommisjonen vil komme med veiledning til hvordan virksomheter i praksis kan etterleve kravene i KI-forordningen, men det vil kreve særlig kompetanse. Det er i tillegg flere regelverk enn KI-forordningen som er relevante, f.eks. personvernregelverket. Dersom dere ikke har kompetanse – be om hjelp.