Hva er AI Act? Alt om EUs nye lov for kunstig intelligens

EU har vedtatt verdens første internasjonale lov for kunstig intelligens. Slik forholder du deg til de nye reglene.

Hva er AI Act?

Sammendrag

  • AI Act ble vedtatt av Europaparlamentet 13. mars 2024.
  • Loven kategoriserer AI-systemer etter risiko.
  • Loven skal beskytte deg mot AI.
  • Forordningen vil gjelde i Norge via EØS.
  • Lovbrudd straffes med bøter på opptil 35 millioner euro.
  • Bedrifter og virksomheter må forberede seg på omstilling.

Oppdatering 💡

AI Act trådde i kraft 1. august 2024. Den innføres i Norge i 2026.1 EU

Dette er AI Act (KI-forordningen)

AI Act er EUs nye lov for kunstig intelligens. På norsk kalles det KI-forordningen. Den styrer hvordan AI kan brukes i samfunnet.

Loven skal sikre at AI-systemer er trygge, transparente og respekterer rettighetene dine.2 Europakommisjonen / Europaparlamentet

«Vi har harmonisert kunstig intelligens med verdiene som danner grunnlaget for samfunnet vårt.» (oversatt)

– Dragos Tudorache, medlem av Europaparlamentet3 Europaparlamentet / Profil

AI Act sorterer AI-systemer i fire kategorier:

  1. Uakseptabel risiko: Disse systemene forbys.
  2. Høy risiko: Disse underlegges strenge krav.
  3. Begrenset risiko: Krav til transparens og åpenhet.
  4. Minimal risiko: Ikke underlagt reglene i forordningen.

Alle stater, bedrifter, organisasjoner og virksomheter i EU må forholde seg til disse klassifiseringene.

Likt GDPR, straffes lovbrudd med store bøter.

Vil forordningen gjelde i Norge?

I regjeringens posisjonsnotat skrives det at Norge støtter EUs tilnærming til AI-lovgivning.4 Regjeringen 3

Videre skriver regjeringen at KI-forordningen vil implementeres gjennom EØS-avtalen.5 Regjeringen 1 og Regjeringen 2.

AI Act trer i kraft i løpet av 2024-2026

AI Act ble vedtatt av Europaparlamentet 13. mars 2024.6 Europaparlamentet

Nå skal den gjennom en siste språkvask før den er klar. Så må den godkjennes av Europarådet. Det vil sannsynligvis skje i løpet av april 2024.7 Europaparlamentet

Deretter publiseres den i EUs offisielle journal («EUR-Lex»).8 EUR-Lex

AI Act forventes å tre i kraft 20 dager etter at den er publisert i journalen, noe som sannsynligvis skjer i mai eller juni 2024.

Loven vil ta inntil 2 år å implementeres fullstendig.9 Europaparlamentet

Ikke den første loven som styrer AI

Allerede nå er det flere norske lover som er relevante for AI.

For å nevne noen: åndsverkloven, arbeidsmiljøloven, markedsføringsloven og personopplysningsloven (GDPR).

I 2018 skrev Datatilsynet at GDPR gjelder for behandling av personopplysninger i AI-systemer.10 Datatilsynet

AI Act vil utfylle disse lovene med ytterligere krav.

Dette betyr AI Act for deg

Som forbruker vil du få bedre beskyttelse mot AI. Du vil ha rett til å klage på AI-systemer og få forklart beslutninger som gjelder deg.

Som bedrift må dere gjennomføre risikovurderinger og lage AI-retningslinjer.

Offentlig sektor må også forholde seg til loven.

Virksomheter som utvikler eller bruker AI må følge kravene som stilles i forordningen.

Det gjelder spesielt for høyrisiko-systemer.

Hvis dere bruker AI, må dere vurdere hvilke risikokategori systemet ligger i.

Fire risikokategorier for AI-systemer

I AI Act deles AI-systemer inn i fire risikokategorier.

Reglene tilpasses etter hvor stor risiko systemet utgjør for individer og samfunn.11 Regjeringen / DigDir

1. Uakseptabel risiko – forbud

AI-systemer som truer folks sikkerhet og rettigheter blir forbudt.

Dette gjelder blant annet falske videoer (deepfakes), sosiale poengssystem og masseovervåkning.

Finnes det unntak?

Ja, eksempelvis til forskning og for nasjonale sikkerhetsmyndigheter.12 DigDir

2. Høyrisiko – strenge krav

Denne kategorien gjelder AI-systemer som kan ha stor negativ innvirkning på helse, sikkerhet og rettigheter.

Disse systemene må følge strenge krav.

Et konkret eksempel er AI i rekruttering og ansettelse. Her er det risiko for rettighetsbrudd om AI skulle diskriminere jobbsøkere basert på bias i dataene.

Leverandører må blant annet:

  • Bruke risikostyringssystemer
  • Sikre menneskelig tilsyn
  • Bruke kvalitetsdata som ikke diskriminerer

Disse systemene må gjennom grundige vurderinger før de slippes på markedet.

De må overvåkes og evalueres av mennesker.

Brudd på loven kan straffes med bøter på opptil 35 millioner euro eller 7% av global omsetning.13 Nyheter fra Europaparlamentet

3. Begrenset risiko – transparens

Dette gjelder AI-systemer som kan villede brukere ved å late som de er mennesker.

Folk skal vite at de snakker med AI.

Chatboter er et eksempel. Hvis AI brukes i kundeservice, må boten ikke kunne forveksles med en ansatt.

I denne sammenhengen må alt AI-innhold merkes tydelig (tekst, bilde, video, lyd).

4. Minimal risiko – unntatt fra reglene

AI som er unntatt fra AI Act, er systemer som utgjør minimal risiko.

Det kan være alt fra videospill til spamfiltre.

Slik bør arbeidsplassen din forberede seg

Her er en rekke anbefalinger som jeg har utviklet via workshops med bedrifter.

Sett dere inn i lover og regler

Dere må vite hvordan forordningen påvirker bedriften. Spesielt hvis dere bruker AI-verktøy som ChatGPT eller Copilot.

Sett av tid til å lese lovteksten nøye.

Involver jurister, IT-avdelingen, kommunikasjonsavdelingen og andre ressurser i prosessen.

Jo tidligere dere starter, desto bedre rustet vil dere være.

Kartlegg systemene dere bruker

Få oversikt over hvordan dere bruker AI i dag.

Vurder risikoen opp mot kategoriene nevnt over.

Still spørsmål som:

  • Hvilke AI-systemer har vi?
  • Hvilke risikokategorier tilhører systemene?
  • Hvilke data brukes?
  • Hvordan er systemene utviklet og testet?
  • Hvilke konsekvenser kan det få om det gjøres feil?

Styrk datastyring

Data er drivstoffet for kunstig intelligens. Forordningen krever god kontroll på databruk.

Gjennomgå rutiner for innsamling, lagring og bruk av data. Sørg for nødvendige databehandleravtaler. Vurder anonymisering og minimering av data.

Lag AI-retningslinjer

Forordningen bygger på etiske prinsipper om åpenhet og transparens.

Dere burde lage tydelige retningslinjer for bruk av AI.

Retningslinjene bør dekke:

  • Hvilke AI-verktøy dere skal bruke
  • Risikovurdering
  • Menneskelig tilsyn
  • Rettferdighet og ikke-diskriminering
  • Åpenhet
  • Håndtering av etiske dilemmaer

Retningslinjene bør forankres i ledelsen og hos de ansatte.

Bygg kompetanse

For å lykkes med AI trengs kompetanse i hele organisasjonen.

Alle ansatte som bruker eller påvirkes av AI bør få opplæring. Opplæringen bør tilpasses ulike roller og avdelinger.

Opplæringen kan eksempelvis dekke:

  • Hva er AI og hvordan fungerer det?
  • Hvordan vil vi bruke AI i vår bedrift?
  • Risikoer med AI.
  • Kritisk tenkning og kildekritikk
  • Om bedriftens nye retningslinjer for kunstig intelligens.

Å bygge en kultur for ansvarlig AI krever langsiktig innsats.

Endringslogg

Her er en oversikt over endringene vi har gjort i artikkelen:

  • 03.08.2024: Oppdatering om at AI Act trer i kraft.

Skroll til toppen