Första augusti 2024 trädde AI-förordningen i kraft. Den nya EU-lagen innebär flera viktiga aspekter och ansvarsområden för organisationer som använder AI-system. Här har vi sammanfattat förordningens innehåll och innebörd:
AI-förordningen representerar EU:s strävan att skapa en balanserad och proaktiv reglering som inte bara skyddar medborgarnas rättigheter och säkerhet utan också främjar teknologisk innovation och konkurrenskraft.
Genom att införa tydliga regler och krav för olika risknivåer av AI-system, och genom att stödja innovation via AI-sandlådor och särskilda stödåtgärder för mindre företag, strävar förordningen efter att skapa en trygg och förutsägbar marknad för AI-teknik i EU.
Lagen återspeglar EU:s värderingar och ambitioner att vara ledande inom säker och etisk AI-utveckling, samtidigt som den flexibla strukturen möjliggör framtida anpassningar i takt med att teknologin och samhällets behov utvecklas.
Den nya lagstiftningen har som mål att främja både privata och offentliga aktörers utveckling och användning av säkra och tillförlitliga AI-system på hela EU:s inre marknad. Samtidigt syftar den till att säkerställa respekten för EU-medborgarnas grundläggande rättigheter och stimulera investeringar och innovation inom artificiell intelligens i Europa. AI-förordningen gäller endast på områden som omfattas av EU-rätten och undantag görs bland annat för system som uteslutande används för militära ändamål och försvar samt för forskningsändamål.
AI-förordningen är tillämpad i sin helhet om 2 år, men redan om 6 månader börjar de första delarna av lagen tillämpas;
Kategorisering av AI-system
AI-förordningen kategoriserar AI-system utifrån deras risknivå för att säkerställa att regleringarna är proportionella till de potentiella risker som systemen kan medföra. Systemen kategoriseras från att utgöra minimal risk till att vara förbjudna:
1. Förbjudna AI-system
Förbjudna AI-system anses utgöra oacceptabla risker och är därför förbjudna. Exempel inkluderar:
- AI-system som använder subliminala tekniker för att manipulera beteende på ett sätt som kan orsaka fysisk eller psykisk skada.
- AI-system som utnyttjar sårbarheter hos specifika grupper för att påverka deras beteende på ett skadligt sätt.
- Sociala poängsystem som bedömer och klassificerar individer baserat på deras sociala beteende eller personliga egenskaper.
2. Hög risk AI-system
För hög risk AI-system inkluderar kraven bland annat adekvat riskhantering, högkvalitativa datasätt, dokumentation och spårbarhet, transparens och informationsförpliktelser för användare, samt robusthet, säkerhet och korrekthet. Hög risk AI-system omfattas alltså av strikta krav och måste genomgå omfattande bedömningar innan de kan användas. Kategorin inkluderar bland annat:
- AI-system som används inom kritisk infrastruktur (t.ex. transport) som kan påverka människors säkerhet.
- AI-system för utbildning eller yrkesutbildning som kan påverka tillgången till utbildning och karriärmöjligheter.
- AI-system som används inom rättsväsendet och brottsbekämpning, inklusive system för riskbedömningar och biometrisk identifiering.
3. Begränsad risk AI-system
AI-system som bedöms utgöra begränsad risk måste uppfylla specifika transparens-förpliktelser för att säkerställa att användarna är medvetna om att de interagerar med en AI och kan fatta informerade beslut. Exempel inkluderar:
- AI-system som interagerar med människor och kan påverka deras beslut, såsom chatbotar.
- AI-system som används för att skapa eller manipulera bilder, ljud eller video (t.ex. deepfakes).
4. Minimal risk AI-system
Minimal risk AI-system anses utgöra låga risker och omfattas därför av minimala krav i form av transparens, dataskydd och säkerhet, samt frivilliga uppförandekoder. De flesta AI-system som används i vardagliga applikationer, såsom spamfilter och rekommendationsmotorer, faller inom denna kategori.
Vad är AI och vad är definitionen av ett AI system?
Definitionen av vad som är ett AI-system kommer vara olika beroende på vem man frågar. Eftersom det är en så bred term, för en så snabbt utvecklande teknik, har det aldrig funnits någon enhetlig definition för vad som specificeras som ett AI-system. Europaparlamentet beskriver AI enligt följande:
”AI är en maskins förmåga att visa människoliknande drag, såsom resonerande, inlärning, planering och kreativitet.
AI möjliggör för tekniska system att uppfatta sin omgivning, hantera vad de uppfattar och lösa problem, med syfte att uppnå ett specifikt mål. Datorn mottar information (redan förberedd eller insamlad genom sina egna sensorer, t.ex. via en kamera), behandlar den och svarar.
AI system är kapabla till att anpassa sitt beteende, till en viss grad, genom att analysera effekterna av tidigare åtgärder, och att arbeta självständigt.”
I AI-förordningen har AI-system nu definierats som:
”Ett maskinbaserat system som är utformat för att fungera med varierande grad av autonomi och som kan uppvisa anpassningsförmåga efter införande och som, för uttryckliga eller underförstådda mål, drar slutsatser härledda från den indata det tar emot, om hur utdata såsom förutsägelser, innehåll, rekommendationer eller beslut som kan påverka fysiska eller virtuella miljöer ska genereras.”
AI i det dagliga arbetet
Definitionen av ett AI-system behöver vara väldigt bred för att kunna ha en chans att hållas relevant i teknikens utveckling. Men det gör det svårt att veta exakt vad som är ett AI-system. För att avgöra om du använder ett AI-system i ditt jobb kan du se över följande:
Systemets förmåga att dra slutsatser: AI-system har förmågan att generera utdata som förutsägelser, innehåll, rekommendationer eller beslut baserat på indata eller data.
Maskininlärning och anpassningsförmåga: AI-system kan använda metoder för maskininlärning och har ofta förmågan att anpassa sig och förändras under användning.
Autonomi: AI-system kan fungera med varierande grad av självständighet, utan konstant mänsklig övervakning eller ingripande.
Komplexitet: AI-system går utöver enkel databehandling och kan utföra mer avancerade uppgifter som inlärning, resonemang eller modellering.
Om du använder ett system på jobbet som uppvisar någon av dessa egenskaper, särskilt förmågan att generera insikter, rekommendationer eller beslut baserat på data, är det sannolikt att du interagerar med ett AI-system.
Det är viktigt att notera att AI-system eller –komponenter kan vara integrerade i olika produkter eller tjänster, så det är inte alltid uppenbart om du använder AI eller inte vid första anblicken.
Ansvar och krav för organisationer
AI-förordningen ställer krav på de organisationer som använder AI-system att de måste:
- Genomföra riskbedömningar och säkerställa att systemen uppfyller de relevanta kraven.
- Dokumentera och logga AI-systemens aktiviteter för att möjliggöra spårbarhet och ansvarsskyldighet.
- Säkerställa att AI-systemen är transparenta och att användarna informeras om att de interagerar med ett AI-system.
- Implementera lämpliga åtgärder för att skydda grundläggande rättigheter och förhindra diskriminering.
- Kontinuerligt övervaka och uppdatera AI-systemen för att säkerställa att de fortsätter att uppfylla kraven.
Genom denna kategorisering och de tillhörande kraven strävar AI-förordningen efter att balansera innovation och säkerhet, samt att skydda allmänna intressen och grundläggande rättigheter.
Övervakning och Tillsyn
En europeisk AI-nämnd har inrättats med representanter från medlemsländerna med uppgift att ge råd till, och bistå med stöd till kommissionen för att underlätta genomförandet och efterlevnaden av reglerna, samt för att stödja samarbetet mellan nationella tillsynsmyndigheter.
Nationella myndigheter ska övervaka att reglerna följs, och de har befogenheter att utföra marknadsövervakning och vidta nödvändiga åtgärder vid överträdelser. Sverige har inte ännu utsett vilken myndighet som ska vara ansvarig, men IMY har angett att de gärna tar på sig uppdraget.
Likt GDPR har även AI-förordningen sanktioner vid regelbrott. Sanktionerna är baserade på företagens storlek, där stora företag (innehar över 250 anställda eller en årsomsättning på över 50 miljoner euro) kan riskera upp till 30 miljoner euro eller 6% av den globala årsomsättningen, och medelstora eller små företag kan riskera upp till 3% av den globala årsomsättningen i sanktionsavgift.
Avslutningsvis
AI-förordningen innebär en motivator och möjlighet för företag att utveckla sitt arbete berörande informationssäkerhet och GDPR-efterlevnad, och på så sätt skapa en trygg miljö där AI-lösningar både kan användas och utvecklas med förtroende för att de skyddar användarnas data och rättigheter.
Har du funderingar kring vad AI-förordningen innebär för just din verksamhet är du välkommen att höra av dig till Ofelia Berggren på ofelia.berggren@xeeda.se