Snart träder AI-förordningen i kraft
20 maj 2024
GDPR
EU:s kommande reglering av AI förväntas träda i kraft innan sommaren. Ytterligare ett steg på vägen togs den 13 mars 2024 när EU-parlamentet antog det som kommer att bli AI-förordningen. AI-förordningen bygger på en riskbaserad struktur, vilket innebär att AI-system kommer att kategoriseras och regleras (olika) beroende på vilken risk de utgör. Vissa AI-system kommer att förbjudas helt och andra omfattas av högre eller lägre krav. Även om förordningen ännu inte är slutligt antagen, följer här de viktigaste delarna av det förväntade regelverket.
AI-system som anses innebära en oacceptabel risk för medborgarna kommer att förbjudas. Bland annat förbjuds användandet av ansiktsigenkänning i offentliga miljöer (med vissa brottsbekämpande undantag), system med syfte att manipulera eller vilseleda människors beteenden eller känslor och social poängsättning. AI-system som anses innebära en hög risk kommer att behöva uppfylla stränga krav innan de sätts på marknaden. Exempel på högrisk-AI är bland annat AI-system som används i kritiska sektorer såsom arbetsliv och utbildning, kritisk infrastruktur, kreditprövning och biometrisk identifiering och kategorisering av individer. AI-system inom dessa sektorer måste genomgå en noggrann granskning och certifiering för att säkerställa att de är säkra och inte kränker grundläggande rättigheter. Krav som måste uppfyllas är bland annat nyttjande av ett riskhanteringssystem, teknisk dokumentation, mänsklig översyn och transparens- och informationskrav.
Med anledning av den senaste tidens snabba utveckling av generativ AI och ”grundmodeller” (Foundation Models) vilka applikationer som Chat GPT med flera bygger på, har specifika regler införts i AI-förordningen. Reglerna ska omfatta grundmodeller som är tränade på omfattande datamängder och kan utföra många olika uppgifter. Dessa modeller kommer att omfattas av olika nivåer av skyldigheter beroende på i vilken grad de anses medföra risker för samhället.
För AI-system med en lägre risknivå (exempelvis virtuella assistenter, chattbottar och så kallade deepfakes) kommer krav på transparens. Det innebär att användarna ska informeras om när och i vilken omfattning de interagerar med en AI och möts av AI-genererat innehåll.
AI-förordningen kommer lägga det största ansvaret på leverantörerna av AI-system (utvecklare och de som sätter systemen på EU:s marknad. Även organisationer som använder AI-system kommer att få ta ansvar för sin användning till exempel genom att upprätthålla mänsklig översyn och att bevara AI-systemets loggar. De aktörer som märker ett AI-system med sitt varumärke, gör stora förändringar på systemet eller ändrar hur det används kan bli ansvariga på samma sätt som leverantörer av högrisk-AI.
Sanktionerna för överträdelser av AI-förordningens förbud följer samma modell som exempelvis GDPR och kommer högst att kunna uppgå till maximalt 35 miljoner euro eller 7 % av koncernens globala årsomsättning (om det beloppet är högre).
Även om AI-förordningen förväntas träda i kraft nu till sommaren börjar den enligt nuvarande plan gälla i etapper från senhösten 2024 till våren 2027. Reglerna för högrisk-AI kommer visserligen att börja gälla först våren 2026, men det är klokt att börja förbereda sig och redan nu undersöka hur den egna organisationen kommer att påverkas av regelverket.
Dataakten möjliggör också en enklare övergång mellan olika molntjänstleverantörer och ställer även krav på att användaren ska kunna välja att gå från exempelvis en molnlösning till en on-prem-lösning (det vill säga lokal lagring av data). Dessutom införs säkerhetsåtgärder för att förhindra olagliga överföringar av data till länder utanför EU/EES.
En annan viktig del av Dataakten är att offentliga organ, EU-kommissionen, Europeiska centralbanken och EU:s organ ges möjlighet att få åtkomst till och använda data som innehas av den privata sektorn, förutsatt att det är nödvändigt på grund av exceptionella omständigheter. Exempel på sådana omständigheter är att fullgöra ett uppdrag av allmänt intresse eller samhällskriser i form av exempelvis översvämningar eller skogsbränder.
Dataakten kommer att bli tillämplig från och med den 12 september 2025. Dataakten markerar en betydande förändring i hanteringen av data och molntjänster. Det är därför viktigt att molntjänstleverantörer, tillverkare av uppkopplade produkter och tjänster samt företag som vill ta vara på möjligheterna som Dataakten medför börjar blicka framåt för att förstå och planera kring hur Dataakten kommer att påverka verksamheten.