Her er EU’s AI ACT

Lige før påske vedtog EU endelig den nye AI-forordning, den såkaldte AI ACT, som skal regulere brugen af kunstig intelligens i Europa. Det her skal du forholde dig til som it-leverandør.

Hvad er EU’s AI ACT?

Med AI ACT ønsker EU at skabe en fælles europæisk lovgivning for, hvordan virksomheder og den offentlige sektor må anvende AI. Forordningen er udarbejdet, fordi EU ønsker at beskytte borgerne og sikre en ansvarlig og etisk brug af kunstig intelligens på tværs af EU’s marked. Den nye lovgivning bygger på en risikobaseret tilgang til brug af kunstig intelligens, se mere neden for.  

AI ACT har derfor stor betydning for de it-virksomheder, der udvikler, udbyder, bruger og importerer AI-systemer.

Her kan du læse hele teksten (på engelsk): EU’s AI ACT.

1. Er du omfattet af EU’s AI ACT?

For at finde ud af, om du som virksomhed skal leve op til kravene i AI ACT’en, skal du først og fremmest finde ud af, om du er indbefattet af definitionen af AI.

EU-Kommissionen definerer et AI-system som: ”Et maskinbaseret system, der er designet til at operere med varierende grader af autonomi, og som muligvis har evnen til at tilpasse sig selv efter implementering. Systemet kan, ud fra det input det modtager, enten implicit eller eksplicit generere output i form af forudsigelser, indhold, anbefalinger eller beslutninger, der kan påvirke fysiske eller virtuelle miljøer.”

EU Artificial Intelligence Act har udarbejdet en Compliance Checker, hvor du med et par hurtige Q&A kan se, hvilke krav dit AI-system evt. skal leve op til. Den kan du prøve her.

AI ACT’en gælder for alle virksomheder, myndigheder og organisationer både inden og uden for EU, som på en eller anden måde er involverede i kommercielt salg og brug af kunstig intelligens inden for EU’s grænser enten som udbyder, bruger, importør, distributør eller autoriseret repræsentant.

Forordningen gælder også for udbydere og brugere af AI-systemer placeret uden for EU, hvis dets output påvirker personer, der befinder sig i EU.

Følgende systemer er dog undtaget, hvis ens AI-løsninger bruges i forbindelse med:

  • Nationalt sikkerhed/forsvar
  • Videnskabelig forskning eller R&D i virksomheden
  • Ikke-professionelt brug (privat brug)
  • Eller er gratis og open source-software (med mindre det anvendes til AI-systemer, der er befinder sig i EU’s kategorier for Uacceptabel Risiko eller Høj Risiko)

En mere detaljeret beskrivelse af EU’s definitioner af de forskellige dele af forordningen, kan du få et overblik over på deres hjemmeside.

2. Hvilken risikoprofil har mit AI-system?

Lovgivningen er udarbejdet ud fra en risikobaseret tilgang. Det vil sige, at jo større risiko der er for, at AI-løsningen kan påføre den enkelte borger eller samfundet skade, jo flere krav skal man som virksomhed leve op til.

EU inddeler AI-systemer i fire forskellige risikokategorier: Uacceptabel Risiko, Høj Risiko, Begrænset Risiko og Minimal Risiko.

Uacceptabel Risiko

I EU er man blevet enige om, at der er enkelte AI-løsninger, der ikke er acceptable at bruge i EU, og derfor forbydes. Det drejer sig om systemer, der kan skade mennesker, manipulere eller udnytte folk i sårbare situationer, og som dermed udgør en trussel mod vores grundlæggende menneskerettigheder.

Eksempler på dette kan være:

  • Systemer der anvender følsomme data som f.eks. køn, race, etnicitet, statsborgerskabsstatus, religion, politisk orientering til at kategorisere eller manipulere mennesker til at træffe beslutninger eller agere på andre måder, end de normalt ville have gjort
  • AI-systemer til brug for masseovervågning eller som bruges til at forudsige risiko for kriminel adfærd hos individer eller grupperinger.

Høj Risiko

AI-systemer anses af EU for at være Høj Risiko, hvis de potentielt udgør en væsentlig risiko for sundhed, sikkerhed eller i forhold til borgernes fundamentale rettigheder, herunder ved væsentligt at kunne påvirke udfaldet af en beslutningstagning.

Eksempler på dette kan være:

  • Evaluering af berettigelse til kredit, sundhed, forsikring eller offentlige ydelser
  • Analyser til jobansøgninger eller evaluering af kandidater
  • Sikkerhedskomponenter

Derudover skal et AI-system altid betragtes som højrisiko, hvis AI-systemet udfører profilering af fysiske personer.

Begrænset Risiko

Hvis dit AI-system opfylder mindst ét af følgende kriterier, hører det under kategorien ”Begrænset Risiko”, hvilket langt de fleste AI-systemer nok vil høre under:

  • Udfører en specifik procesopgave
  • Forbedrer resultatet af en tidligere afsluttet menneskelig aktivitet
  • Registrerer beslutningsmønstre eller afvigelser fra tidligere mønstre, men er ikke beregnet til at erstatte eller påvirke den tidligere gennemførte menneskelige vurdering uden korrekt menneskelig gennemgang
  • Udfører en forberedelsesopgave til en vurdering

Minimal Risiko

Hører dit AI-system ikke til nogle af ovenstående tre risikoprofiler, vil det sandsynligvis være placeret under Minimal Risiko.

Eksempler på dette kan være:

  • Spamfiltre
  • Videospil der bruger AI til at styre NPC’er
  • Systemer der anbefaler film eller musik

Du kan læse en mere grundig gennemgang af de fire risikoprofiler her.

3. Hvilke krav skal jeg leve op til?

Uacceptabel Risiko = Forbudt i hele EU

AI-systemer, der hører under risikoprofilen Uacceptabel Risiko, er ikke tilladte i EU eller overfor EU-borgere.

Høj Risiko = Skærpede krav

Er dit AI-system defineret som Høj Risiko, skal de dokumentere følgende krav for at være lovlige:

  • Risikovurdering samt foranstaltninger/systemer til at minimere risiko for skade
  • Høj kvalitet af de datasæt, der fodrer systemet, for at minimere risici og diskriminerende udfald
  • Logning af aktivitet for at sikre, at man kan spore, hvordan man er kommet frem til resultater
  • Passende menneskeligt tilsyn for at minimere risiko for fejl
  • Høj grad af robusthed, sikkerhed og nøjagtighed
  • Klar og tilstrækkelig information til udbyderen
  • Detaljeret dokumentation, der indeholder alle nødvendige oplysninger om systemet og dets formål, så myndighederne kan vurdere, om det lever op til loven

Begrænset Risiko = Krav om gennemsigtighed

Med AI ACT kommer der en række krav til gennemsigtighed, hvis ens AI-system hører under Begrænset Risiko. Disse krav indfører man, fordi man vil sikre, at alle borgere ved, når de interagerer med en AI eller præsenteres for AI-genereret indhold.

Når man bruger AI-systemer såsom chatbots, skal mennesker f.eks. gøres opmærksomme på, at de interagerer med en maskine. Udbydere skal også sørge for, at AI-genereret indhold kan identificeres, hvilket vil sige, at AI-genereret tekst, lyd og video skal mærkes som kunstigt genereret.

Minimal Risiko = Ingen særlige krav

Hører ens AI-system til Minimal Risiko, følger der ikke som sådan nogle krav med. Men EU forventer på et senere tidspunkt at publicere en frivillig Code of Conduct, som virksomhederne kan underskrive og benytte sig af.

Generelle Sprogmodeller (GPAI)

Forordningen indeholder desuden nogle skærpede krav til generelle sprogmodeller (GPAI) som f.eks. ChatGPT.

Udbydere af GPAI-modeller vil fremover være forpligtede til at:

  • Sikre en robust beskyttelse af fundamentale rettigheder, sundhed, sikkerhed, miljøet, demokratiet og retssikkerheden
  • Identificere og håndtere de risici, som modellen skaber
  • Overholde visse design-, informations- og miljøkrav
  • Registrere modellen i en fælles EU-database

4. Fra hvornår skal jeg leve op til AI ACT?

Selvom EU-Parlamentet vedtog AI ACT 13. marts 2024, vil den løbende blive implementeret frem til 2026.

En EU-forordning fungerer således, at den træder i kraft X-antal tid efter, at den har været publiceret i EU’s official journal.

Pt. har AI ACT ikke været publiceret, og de endelige datoer er derfor ikke endelig kendt, men man forventer publicering i løbet af april/maj 2024.

Nedenstående tidslinje skal derfor tages, fra den dag, hvor AI ACT publiceres i Official Journal.

  • Efter 6 måneder: Reglerne for AI-Systemer med Uacceptabel Risiko træder i kraft (hvilket vil sige, at de bliver ulovlige i hele EU)
  • Efter 12 måneder: Reglerne for Generelle Sprogmodeller (GPAI) træder i kraft
  • Efter 24 måneder: Reglerne for AI-systemer med Høj Risiko, Begrænset Risiko og Minimal Risiko træder i kraft
  • Efter 36 måneder: Harmonisering mellem AI ACT og relevante EU samt nationale lovgivninger skal være harmoniseret i forhold til Høj Risiko AI-systemer

5. Hvad sker der, hvis virksomheder ikke lever op til AI ACT?

Hvis virksomheder ikke lever op til kravene i AI ACT, kan man i yderste instans få bøder på op til 35 mio. Euro eller 7% af virksomhedens samlede globale omsætning – Hvad der nu er højest.

Hvis du vil vide mere om AI ACT

IT-Branchen vil løbende opdatere hjemmesiden med uddybende artikler, vejledninger og hjælp til at forstå EU’s AI ACT.

Digitaliseringsstyrelsen har for øvrigt netop meldt ud, at de bliver national tilsynsmyndighed i forhold til AI ACT, og implementeringen af forordningen i Danmark på tværs af tilsynsmyndigheder. IT-Branchen vil derfor have tæt kontakt med Digitaliseringsstyrelsen, og løbende informere om tiltag og aktiviteter fra dem.

Se også Digitaliseringsstyrelsen guides til ansvarlig anvendelse af generativ kunstig intelligens.

Derudover anbefaler vi at bruge EU Artificial Intelligence Act’s Compliance Checker, hvor du med et par hurtige klik kan se, hvilken risikoprofil dit AI-system tilhører, og hvilke krav du så skal leve op til.

Den kan du prøve her.

Har du brug for juridisk hjælp til AI ACT, er du velkommen til at kontakte advokatfirmaet DAHL, som IT-Branchens medlemmer kan benytte sig af, på 88 91 91 00 eller skrive til shield@dahllaw.dk.

Artikler om EU’s AI ACT