AI-forordningen trådte i kraft 1. august 2024, og de første dele af AI-forordningen får virkning fra 2. februar 2025. Det er ikke helt enkelt at blive compliant, men man kan tage ved lære af sin proces fra implementering af GDPR og desuden gå i gang så hurtigt som muligt.
Vi giver her blandt andet tre gode råd til, hvordan man kan begynde arbejdet med at leve op til AI-forordningens regler. Det er afgørende, at man ved, om man overhovedet bruger et AI-system, og hvilken kategori i AI-forordningen, AI-systemet falder ind under.
Hvad er et AI-system?
Et AI-system er defineret ved, at det er maskinbaseret og er udformet med henblik på at fungere med en varierende grad af autonomi. Desuden har det en tilpasningsevne, og det udleder, hvordan det kan generere output, hvilket kan være forudsigelser, indhold, anbefalinger, betragtninger eller beslutninger. Et AI-system kan påvirke fysiske eller virtuelle miljøer, som det indgår i.
I artikel 3, nr. 63 defineres AI-modeller til almen brug. Det kan fx være modeller så som Chat GPT, der er trænet på store mængde data, som overvåger sig selv og også kan integreres i AI-systemer.
Risikoen afgør forpligtelsen – forskellige kategorier
Jo større risiko, desto strengere krav – det er det overordnede princip i AI-forordningen. Der er tale om en risikobaseret tilgang, hvor reglerne er tilpasset forventede risici.
Det er derfor vigtigt helt indledningsvist, at man gør sig bevidst om, hvilken kategori det AI-system, man anvender, falder i.
Kategori 1.
I artikel 5 beskrives de AI-systemer, der er forbudte. Det drejer som om AI, der udgør en trussel mod sikkerheden og fysiske personers grundlæggende rettigheder eller værdighed. Det er fx systemer, der manipulerer eller rammer særligt sårbare mennesker til at træffe beslutninger, som de ikke ellers ville have truffet, med skadevirkning til følge. Artikel 5 finder anvendelse fra 2. februar 2025, og Kommission har meldt ud, at den vil udkomme med yderligere guidelines om forbuddene inden denne dato.
Kategori 2.
Artikel 6 handler om AI-systemer med høj risiko, som kan gøre skade på sundheden, sikkerheden eller fysiske personers grundlæggende rettigheder. Bilag 3 indeholder de områder, som i hvert fald er højrisiko. Det gælder fx AI-systemer til at bestemme optag på uddannelser, eller om en borger er berettiget til en medicinsk behandling. Højrisiko AI findes især i specifikke sektorer som kritisk infrastruktur, områder der kan påvirke arbejdstagere eller velfærdsydelser.
Kategori 3.
AI-forordningens artikel 50 indeholder et krav om gennemsigtighed, der gælder for visse AI-systemer uafhængigt af risiko. Bestemmelsen er inkluderet ud fra en betragtning om at for at skabe tillid, er det vigtigt at sikre gennemsigtighed ved brugen af AI. Der gælder den regel, at man skal gøre opmærksom på, om indhold er blevet manipuleret. Det er fx relevant ift. deep fakes. Ligeledes skal brugere gøres opmærksomme på, at de interagerer med et AI-system, fx en chat bot.
Kategori 4.
AI-modeller til almen brug – også kaldet General Purpose AI-modeller eller generative AI-modeller – er reguleret i AI-forordningens kapitel V.
AI-modeller er essentielle komponenter i AI-systemer, men udgør ikke AI-systemer i sig selv. AI-modeller kræver tilføjelse af yderligere komponenter, som for eksempel en brugergrænseflade, for at blive AI-systemer.
AI-modeller til almen brug har derfor fået deres eget kapitel i forordningen med forpligtelser, der skal sikre transparens i hele værdikæden for et AI-system. Fx er det afgørende, at en udbyder af et AI-system, der integrerer en General Purpose AI-model, har adgang til alle nødvendige oplysninger, herunder om AI-modellen, for at sikre, at systemet er sikkert og i overensstemmelse med forordningen.
Der gælder særlige forpligtelser i relation til General Purpose AI-modeller med systemiske risici. Det er særligt kraftfulde modeller og omfatter bl.a. store sprogmodeller og Chat GPT.
Reglerne for AI og GDPR
Hvis man ikke arbejder med et AI-system omfattet af AI-forordningen, skal man ikke efterleve AI-forordningens regler, men til gengæld kan der være andre regler som GDPR, der er i spil.
AI-forordningens anvendelsesområde svarer ikke fuldstændig til det for GDPR, men begge reguleringer kræver en dybdegående dokumentation. Derfor kan man lade sig inspirere af arbejdsgangene etableret i henhold til GDPR. Dertil kommer, at der kan være synergieffekter mellem de to områder. Det giver derfor også mening at have både AI- og GDPR-kompetencer samlet i samme team.
Fordeling af roller
AI-forordningen fordeler ansvaret i hele værdikæden - fra udbyderne, som udvikler og sender AI på markedet, til idriftsætterne (brugerne), som tager AI-systemet i anvendelse og integrerer det i processer, produkter og services. Foruden hvilken kategori ens AI-system tilhører afhænger kravene af, hvilken rolle man spiller i værdikæden for det pågældende AI-system. Derfor er det vigtigt at få fastlagt, hvilken rolle, og dermed hvilket ansvar, man har, helt fra start. I praksis kan det formentlig blive en udfordring af få fastlagt rollefordelingen. Og vi forestiller os, at man godt kan have flere roller ligesom efter GDPR.
De forskellige roller omfatter:
- Udbyder
- Idriftsætter
- Bemyndiget repræsentant
- Importør
- Distributør
- Operatør
3 gode råd
- Find ud af, om det pågældende system er omfattet af AI-forordningen og i hvilken kategori.
- Tag stilling til rolle- og ansvarsfordelingen fra start.
- Få inspiration og brug eksisterende arbejdsgange fra GDPR.
Kort om AI-forordningen
Arbejdet med AI-forordningen startede tilbage i 2019 med udgivelsen af en hvidbog, som danner baggrund for forordningen.
Her fokuserende man på to hensyn:
- Hensynet til borgerens grundlæggende rettigheder
- Hensynet til innovation og fri bevægelighed
Forordningen er et udtryk for ønsket om at balancere de to hensyn.
Med AI-forordningen har man valgt en ny praksis til at regulere en specifik teknologi, nemlig AI-systemer. Det står i modsætning til det tidligere princip om teknologineutralitet, altså at overordnede regler gjadt alle teknologier.
|