Site Search

Loading Results

Regelverk for kunstig intelligens vedtatt i EU

Start forberedelsene til AI Act nå
Christine Ask Ottesen
  • 22/02/24

I starten av desember oppnådde EU-institusjonene politisk enighet om verdens første regelverk for kunstig intelligens, Artificial Intelligence Act (AI Act). Dette er et viktig skritt på veien for å sikre at kunstig intelligens brukes på en ansvarlig måte som setter mennesker og samfunnsinteressene i sentrum.

Nå gjenstår det kun formaliteter før AI Act endelig vedtas og trer i kraft. AI Act er en forordning, og reglene vil derfor gjelde direkte i alle EU-medlemsstatene. Før den får virkning i Norge, må den inntas i EØS-avtalen og i norsk lovgivning. Det er forventet at det skjer, men det er vanskelig å si når AI Act får virkning i Norge.

Les også: Lovendringer i 2024

Reglene gjelder ikke umiddelbart, men begynn forberedelsene tidlig 

AI Act er ventet å tre i kraft kort tid etter at den er vedtatt. Reglene vil likevel ikke få umiddelbar virkning. 

Utgangspunktet er at reglene i AI Act får virkning to år etter at forordningen trer i kraft. Samtidig finnes det flere unntak fra dette utgangspunktet. Forbudene mot KI-systemer med uakseptabel risiko vil få virkning allerede seks måneder etter at forordningen trer i kraft, mens kravene knyttet til høyrisikosystemer får virkning 36 måneder etter ikrafttredelse. 

— Selv om reglene i AI Act ikke vil gjelde fra det tidspunktet den vedtas, anbefaler vi at virksomheter som treffes av regelverket starter forberedelsene allerede nå. Vår erfaring fra innføringen av personvernforordningen (GDPR) er at implementeringen kan være krevende og ta lenger tid enn planlagt.

Christine Ask Ottesen
Christine Ask Ottesen, personvernekspert

Christine Ask Ottesen er partner i PwC, og ekspert på personvern og teknologijuss.

AI Act gjelder for KI-systemer

Et KI-system er et maskinbasert system som er designet slik at det kan opptre autonomt, og tilpasses etter at det er tatt i bruk. Systemet må kunne utlede informasjon fra data som deles med det (input), og det må kunne generere nytt innhold (output) som prediksjoner, innhold, anbefalinger eller avgjørelser som kan påvirke fysiske eller virtuelle omgivelser.

Alle aktørene i verdikjeden får forpliktelser etter AI Act

Både leverandører, importører, distributører og brukere av KI-systemer får forpliktelser etter AI Act. Forpliktelsene varierer for de ulike rollene. Det er derfor viktig å ta stilling til hvilken rolle virksomheten har i relasjon til hvert KI-system som er rullet ut i virksomheten.

Det er viktig å være oppmerksom på at en virksomhet som opprinnelig er en bruker, kan få de samme forpliktelsene som en leverandør. Det skjer eksempelvis dersom virksomheten gjør endringer på et KI-system som ikke er klassifisert som høyrisiko, slik at det blir et høyrisikosystem.

Et risikobasert regelverk 

AI Act deler KI-systemer inn i fire kategorier basert på systemets antatte risiko for menneskers grunnleggende rettigheter samt samfunnsinteresser som helse, sikkerhet, demokrati og rettssikkerhet.

KI-systemer med uakseptabel risiko vil bli forbudt. Et eksempel er KI-system som predikerer sannsynligheten for at en person vil begå en kriminell handling, utelukkende basert på profilering eller vurdering av personens personlighetstrekk og egenskaper. KI-systemer med minimal risiko, som stavekontroll, ilegges derimot ingen krav i AI Act.

KI-systemene som pålegges strengest krav, er systemene som innebærer høy risiko for grunnleggende rettigheter og samfunnsinteresser. 

Eksempler på høyrisikosystemer:

  • KI-systemer som brukes i arbeidslivet, eksempelvis for rekrutteringsformål, for å vurdere forfremmelse eller avslutning av arbeidsforhold, eller for å monitorere og evaluere ansattes prestasjoner og oppførsel, 

  • tilgang til grunnleggende private og offentlige tjenester, eksempelvis helsetjenester, sosialtjenester, kredittvurdering og vurdering av livs- og helseforsikring. 

Dette er eksempelvis chatboter og KI-assistenter som interagerer med mennesker, kan medføre risiko dersom mennesker ikke vet at de interagerer med et KI-system. Slike systemer må derfor oppfylle krav om åpenhet. KI-systemer som genererer nytt innhold, må merke innholdet som “KI-generert”.  

KI-systemer med minimal risiko utgjør ingen risiko for grunnleggende rettigheter eller samfunnsinteresser. AI Act oppstiller derfor ingen krav til disse KI-systemene. Et eksempel er stavekontroll.

Utviklere av KI-systemet må oppfylle de strengeste kravene

Leverandøren som utvikler KI-systemet må oppfylle de strengeste kravene. Leverandøren må blant annet ha system for risikohåndtering, sørge for datakvalitet, utarbeide teknisk dokumentasjon, legge til rette for menneskelig tilsyn og gjennomføre en samsvarvurdering for å vise at kravene er oppfylt. 

Samtidig må også virksomheten som tar i bruk et høyrisiko KI-system oppfylle en rekke krav, inkludert:

  • Innføre tekniske og organisatoriske tiltak for å sikre at KI-systemet brukes som  tiltenkt, 

  • Sørge for at personer som skal ha tilsyn med KI-systemet har tilstrekkelig kompetanse, får nødvendig opplæring og har nødvendig myndighet, i tillegg til nødvendig støtte i virksomheten, 

  • Sikre at data som brukes som input er relevante og representative for systemets tiltenkte bruk, 

  • Monitorere bruken av KI-systemet og informere leverandøren, slik at denne kan gjøre kontinuerlig vurdering systemets etterlevelse av AI Act,

  • Oppbevare logger i minimum seks måneder. 

Noen aktører som bruker høyrisiko KI-system må vurdere konsekvensene KI-systemet kan ha for grunnleggende rettigheter. Det gjelder aktører som er underlagt offentligrettslige regler, private aktører som leverer offentlige tjenester, aktører som bruker KI-systemer for kredittvurdering og aktører som bruker KI-systemer for risikovurdering og prising av livs- og helseforsikring.

Les også: Moderniseringsdirektivets betydning for norske virksomheter

KI-modeller som er utviklet for generelle formål

ChatGPT og andre KI-modeller med generelle formål (kjent som generativ KI) har fått stor utbredelse etter lansering. EU-institusjonene anså det derfor som nødvendig å innføre egne regler for slike KI-modeller. Leverandører av KI-modeller med generelt formål må blant annet utarbeide teknisk dokumentasjon og dele både dokumentasjon og informasjon med aktører som skal integrere en KI-modell med generelt formål i sitt eget KI-system. 

Start forberedelsene allerede nå

Tiden går fort når nye regler skal implementeres i organisasjonen. Alle virksomheter som utvikler og/eller bruker KI-systemer bør derfor begynne forberedelsene nå: 

  • Få oversikt over alle egenutviklede og innkjøpte KI-systemer.
  • Gjør risikovurdering av hvert KI-system, slik at det kan plasseres i riktig risikokategori.
  • Kartlegg virksomhetens rolle(r) og hvilke forpliktelser som gjelder.
  • Etabler styringssystem som er påkrevd for å oppfylle virksomhetens forpliktelser. Et godt råd er å ta utgangspunkt i eksisterende styringssystem, eksempelvis for personvern.

Kontakt oss

Christine Ask Ottesen

Advokat | Partner, Oslo, PwC Norway

928 09 229

Kontakt meg

Christine Dalebø Gjerdevik

Advokatfullmektig | Senior Manager, Oslo, PwC Norway

988 73 607

Kontakt meg

Hold deg faglig oppdatert

Meld deg på vårt nyhetsbrev for å få nyheter om forretningsjus rett i din mailboks.

Fyll ut skjema

Våre eksperter bistår deg

Vi tilbyr et bredt spekter av tjenester både innen forretningsjus og skatte- og avgiftsrådgiving.

Forretningsjus
Skatt og avgift

{{filterContent.facetedTitle}}