EU’s AI Act, eller AI-forordningen, er verdens første omfattende lovgivning om kunstig intelligens. Den har til formål at regulere udvikling, markedsføring og anvendelse af AI-systemer i EU for at sikre, at de er sikre, gennemsigtige og respekterer grundlæggende rettigheder.
Formålet med AI Act
Hovedformålet med AI Act er at skabe et harmoniseret regelsæt for kunstig intelligens i hele EU. Loven skal fremme innovation og udbredelsen af pålidelig AI, samtidig med at den beskytter borgere mod de risici, teknologien kan medføre. Ved at etablere klare regler og standarder søger EU at opbygge tillid til AI-teknologi blandt både forbrugere og virksomheder.
Forordningen sigter mod at sikre, at AI-systemer, der anvendes på det europæiske marked, er sikre og i overensstemmelse med eksisterende lovgivning om grundlæggende rettigheder, såsom databeskyttelse og ikke-diskrimination. Dette skal skabe juridisk sikkerhed for virksomheder, der udvikler og anvender AI.
Et andet centralt mål er at styrke EU’s position som global leder inden for etisk og menneskecentreret AI. Ved at sætte en høj standard for regulering håber EU at påvirke den globale udvikling af AI i en retning, der prioriterer menneskelige værdier. Loven skal balancere beskyttelse med behovet for at fremme teknologisk udvikling og konkurrenceevne for europæiske virksomheder.
Den risikobaserede tilgang
Kernen i AI Act er en risikobaseret tilgang. Det betyder, at de juridiske krav og forpligtelser for et AI-system afhænger af det risikoniveau, systemet udgør for samfundet og den enkelte borger. Jo højere potentiel risiko, desto strengere er reglerne.
Denne model anerkender, at ikke al AI er ens. Et AI-system, der anbefaler musik, udgør en markant lavere risiko end et system, der anvendes til at vurdere kreditværdighed eller i rekrutteringsprocesser. Tilgangen sikrer, at reguleringen er proportional og ikke unødigt hæmmer udviklingen af lavrisiko-applikationer.
Systemerne inddeles i fire primære kategorier: uacceptabel risiko, høj risiko, begrænset risiko og minimal risiko. Denne klassificering er afgørende for, hvilke regler en udvikler eller en virksomhed, der anvender AI, skal følge. I praksis ser vi ofte, at virksomheder er usikre på, hvilken risikokategori deres AI-værktøjer tilhører, hvilket kræver en grundig analyse af systemets formål og kontekst.
De fire risikoniveauer forklaret
Lovgivningen definerer fire specifikke risikoniveauer, som AI-systemer klassificeres under. Hvert niveau medfører forskellige grader af regulering, fra totalt forbud til simple oplysningskrav.
Kategorierne er som følger:
- Uacceptabel risiko: Systemer, der anses for at være en klar trussel mod menneskers sikkerhed, levebrød og rettigheder, er forbudt. Dette omfatter social scoring fra offentlige myndigheder, manipulation af menneskelig adfærd for at omgå fri vilje og visse former for biometrisk overvågning i realtid.
- Høj risiko: AI-systemer, der kan have en betydelig negativ indvirkning på sikkerhed eller grundlæggende rettigheder. Disse systemer er underlagt strenge krav til datakvalitet, dokumentation, gennemsigtighed og menneskeligt tilsyn. Eksempler inkluderer AI i medicinsk udstyr, rekruttering og kritisk infrastruktur.
- Begrænset risiko: Systemer, der interagerer med mennesker, skal opfylde specifikke gennemsigtighedskrav. Brugere skal informeres om, at de interagerer med en AI. Dette gælder for eksempel for en AI-agent eller en chatbot. Ligeledes skal AI-genereret indhold som deepfakes mærkes tydeligt.
- Minimal risiko: Denne kategori dækker størstedelen af AI-systemer, som f.eks. AI-drevne spamfiltre eller computerspil. For disse systemer er der ingen specifikke lovkrav, men udbydere opfordres til frivilligt at følge etiske kodekser.
Hvad betyder loven for danske virksomheder?
For danske virksomheder betyder AI Act, at de skal vurdere og klassificere de AI-systemer, de udvikler, importerer eller anvender. Afhængigt af risikoniveauet skal de implementere en række procedurer for at sikre overholdelse af loven. Dette gælder især for virksomheder, der arbejder med højrisiko-AI.
Virksomheder, der anvender højrisiko-systemer, skal etablere risikostyringssystemer, sikre høj datakvalitet og have teknisk dokumentation klar til myndighederne. Derudover skal der være passende menneskeligt tilsyn for at kunne gribe ind, hvis systemet fejler. For mange er dette en ny måde at tænke compliance på, som rækker ud over GDPR.
Selv for virksomheder, der kun bruger systemer med begrænset risiko, er der nye forpligtelser. For eksempel skal en virksomhed, der bruger en AI-chatbot til kundeservice, tydeligt informere brugerne om, at de kommunikerer med en maskine. Dette krav om gennemsigtighed skal sikre, at brugerne ikke vildledes. Forståelsen af disse regler er central for alle, der vil udnytte, hvad små virksomheder kan lære af AI-revolutionen.
Det er vores erfaring, at mange virksomheder med fordel kan starte med at kortlægge deres nuværende og planlagte brug af AI for at få et overblik over, hvor de potentielt er omfattet af de nye regler. En proaktiv tilgang kan spare ressourcer på længere sigt.
Krav til højrisiko AI-systemer
AI-systemer klassificeret som højrisiko er underlagt de mest omfattende krav i AI Act. Disse krav er designet til at minimere risici og sikre, at systemerne er robuste, sikre og retfærdige gennem hele deres livscyklus. Overholdelse er ikke valgfri, men en forudsætning for at kunne markedsføre systemet i EU.
Et centralt krav er etableringen af et risikostyringssystem. Udviklere skal løbende identificere, analysere og afbøde risici forbundet med AI-systemet. Dette inkluderer også at sikre, at de datasæt, der bruges til at træne modellen, er af høj kvalitet, relevante og fri for skadelige bias, der kan føre til diskrimination.
Der stilles også krav om detaljeret teknisk dokumentation, som skal gøre det muligt for myndigheder at vurdere systemets overensstemmelse med loven. Systemet skal desuden designes, så det automatisk logger hændelser (logs), hvilket er afgørende for at kunne spore og analysere eventuelle fejl eller uventede resultater. Endelig skal der være et effektivt menneskeligt tilsyn, så en person kan overvåge og om nødvendigt gribe ind og stoppe systemet.
Gennemsigtighedsregler for specifikke AI-systemer
Ud over de risikobaserede kategorier indeholder AI Act specifikke gennemsigtighedsregler for visse AI-systemer, uanset deres overordnede risikoniveau. Formålet er at sikre, at mennesker er bevidste om, hvornår de interagerer med AI, eller hvornår indhold er kunstigt genereret.
For det første skal AI-systemer, der er designet til at interagere med mennesker, såsom chatbots og visse typer af AI-assistenter, tydeligt oplyse om deres kunstige natur. En bruger skal vide, at vedkommende ikke taler med et menneske, medmindre det er åbenlyst ud fra konteksten.
For det andet skal deepfakes og andet AI-manipuleret indhold mærkes. Hvis en virksomhed bruger AI til at skabe eller ændre billed-, lyd- eller videoindhold, der ligner eksisterende personer, steder eller begivenheder på en vildledende måde, skal det tydeligt angives, at indholdet er kunstigt. Der er undtagelser for kunstnerisk, kreativt eller satirisk brug, så længe kilden oplyses og rettigheder respekteres.
Endelig skal brugere informeres, hvis de udsættes for et system til følelsesgenkendelse eller biometrisk kategorisering. Dette sikrer, at individer er klar over, at deres følelsesmæssige eller fysiske træk bliver analyseret af et AI-system.
Håndhævelse og sanktioner
For at sikre overholdelse af AI Act etableres der en struktur for håndhævelse på både nationalt og europæisk niveau. I hvert medlemsland vil en national tilsynsmyndighed blive udpeget til at overvåge implementeringen af reglerne. I Danmark forventes en del af ansvaret at ligge hos Datatilsynet.
På EU-plan oprettes et nyt Europæisk AI-nævn (European Artificial Intelligence Board). Nævnet skal bestå af repræsentanter fra de nationale myndigheder og Kommissionen og vil have til opgave at sikre en ensartet anvendelse af forordningen i hele EU, samt rådgive Kommissionen om AI-relaterede spørgsmål.
Manglende overholdelse af reglerne kan medføre betydelige bøder. Sanktionerne er, ligesom selve loven, niveaudelte. For de alvorligste overtrædelser, såsom brug af forbudte AI-systemer, kan bøderne nå op på 35 millioner euro eller 7 % af virksomhedens globale årlige omsætning, alt efter hvad der er højest. For andre overtrædelser er bødeniveauerne lavere, men stadig markante, hvilket understreger alvoren i den nye lovgivning.
Tidslinje for implementering
AI Act blev endeligt vedtaget af EU-Rådet i maj 2024. Loven træder i kraft gradvist for at give virksomheder og medlemsstater tid til at tilpasse sig de nye regler. Tidslinjen er en vigtig faktor for alle, der arbejder med AI i EU.
De første regler, der træder i kraft, er forbuddet mod AI-systemer med uacceptabel risiko. Disse regler gælder allerede seks måneder efter lovens ikrafttræden. Det giver en hurtig beskyttelse mod de mest skadelige anvendelser af teknologien.
Reglerne for generelle AI-modeller (General-Purpose AI) vil gælde efter 12 måneder. De mest omfattende regler, som dækker højrisiko-systemer, får en længere implementeringsperiode og vil gælde fuldt ud efter 24 måneder. Nogle specifikke krav til højrisiko-systemer, der anvendes af offentlige myndigheder, har en endnu længere frist. Den fulde tidsplan kan findes på EU’s officielle side om AI-regulering.
Denne trinvise udrulning betyder, at virksomheder har en klar tidsramme til at forberede sig. Det er en god idé at begynde processen med at vurdere og dokumentere sine AI-systemer så tidligt som muligt for at sikre en glidende overgang til de nye krav.