Vi har delat med oss av vår spända förväntan i inte mindre än fyra artiklar under det gångna året. Senast i våras andades vi ut vår otålighet i artikeln AI Act - vad händer NU då.
I slutet av maj röstade EU:s ministerråd igenom AI-förordningen*, tre år efter att kommissionen presenterade sitt förslag i april 2021. Därefter var det i princip bara formaliteter kvar. Ordförandena från rådet och parlamentet skulle skriva under, sedan skulle förordningen publiceras i Europeiska unionens officiella tidning. Detta passade gänget i Bryssel på att diska av mitt under vår svenska industrisemester. Den 12 juli publicerades nämligen AI-förordningen i EU:s officiella tidning, vilket innebär att den trädde i kraft 20 dagar senare, dvs. den 1 augusti.
* Förordning om harmoniserade regler för artificiell intelligens, på engelska AI Act
Nu är det bara två år kvar
Att förordningen trätt i kraft betyder dock inte att reglerna börjar gälla nu, utan merparten av reglerna ska börja tillämpas från den 2 augusti 2026. Vad vi nu kan glädjas åt är att vi har en slutlig utformning på förordningen. Det kommande rättsliga landskapet för AI-användning inom EU är tydligare än det varit på länge. Nu är det alltså dags att öka takten i det förberedande arbetet.
I det här fallet har vi en period på två år tills merparten av reglerna i förordningen börjar gälla. Det är bra att EU-rättsakter i regel kommer med en tämligen lång mellanperiod från det att de beslutats till dess att de ska tillämpas. Rättsakterna är nämligen sällan pedagogiska underverk som man rättar sig efter över en eftermiddagsfika. Den otydlighet som präglar många EU-rättsakter är en naturlig följd av att de utgör en kompromiss mellan 27 medlemsländer, med vitt skilda intressen och rättsliga traditioner.
Riskklassning av AI-system
AI-förordningen syftar till att säkerställa att alla AI-verktyg som används inom EU är säkra och respekterar fundamentala rättigheter, men också att främja innovation och investeringar genom att ge tydliga ramar för användningen av AI. Eftersom det är en förordning och inte ett direktiv så blir AI-förordningen direkt tillämplig i medlemsstaterna.
AI-förordningen utgår från en, på branschspråk, ”riskbaserad approach” (vilket med fördel kan uttalas på ordentlig stockholmska). Det innebär att olika krav kommer att ställas beroende på det aktuella systemets risknivå. Det är dock inte så enkelt som att man kan hitta ”sin” risknivå, och sen är man färdig. Klassningarna kan nämligen få lite olika avgränsning beroende på hur man vrider och vänder på förordningen. Vissa klassningar gäller AI-system, och andra gäller AI-modeller. Låter det jobbigt? Det är tyvärr bara en av många pedagogiska svagheter i AI-förordningen. En annan svaghet är att klassningarna överlappar varandra till viss del, så ett AI-system kan omfattas av flera klassificeringar samtidigt. En snabb introduktion till de olika etiketterna skulle kunna se ut så här:
Förbjudna AI-system
System som utnyttjar tekniker som människor inte är medvetna om, eller manipulerande tekniker som syftar till en väsentlig påverkan på en persons beteende. Som titeln antyder får man inte använda sådana system inom EU.
AI-system med hög risk
System för biometrisk fjärridentifiering eller kategorisering, system som används som säkerhetskomponenter i kritisk infrastruktur, system för rekrytering, befordring och uppsägning, system för myndigheters beslut om bl.a. förmåner och system för bedömning av kreditvärdighet och försäkringsfrågor. Det är AI-system med hög risk som är föremål för hårdast reglering (se mer nedan).
Vissa AI-system (ja, det står så)
Exempel på denna kategori är bl.a. sådana system som är avsedda att interagera direkt med fysiska personer och sådana som genererar syntetiskt ljud-, bild-, video eller text. De måste vara transparenta så att användarna förstår att de interagerar med ett AI-system.
AI-modeller för allmänna ändamål
Detta är modeller som på ett kompetent sätt kan utföra ett brett spektrum av distinkta uppgifter. Sådana modeller måste bl.a. komma med ordentlig dokumentation om hur de tränats samt vilka kapaciteter och begränsningar de har.
AI-modeller för allmänna ändamål med systemrisk
Modeller som har en ”hög påverkansgrad” (dvs. de mest avancerade AI-modellerna, bedömt utifrån exempelvis modellens beräkningskapacitet – typ hur smart modellen är). Leverantörer av sådana modeller måste bl.a. genomföra tester och utvärderingar för att identifiera systemrisker.
En del av kraven i förordningen tar sikte på leverantörens skyldigheter att dokumentera och att ha policyer för upphovsrätt m.m. Men många krav gäller för hela användningen, dvs. inte bara för leverantören.
Den absoluta merparten av reglerna i AI-förordningen gäller för system med hög risk. Den som använder sig av ett AI-system med hög risk får räkna med krav på riskhantering, datakvalitet, dokumentation, loggning, transparens och mänsklig kontroll. Andra system är dock inte oreglerade, utan man måste göra en ordentlig genomlysning av systemet och den tänkta användningen och analysera vilka regler i förordningen som kan vara tillämpliga.
Vägledning, tillsyn och popcorn
AI-förordningen kommer att kompletteras med mer regler, både nationellt och från EU-håll. Vid sidan av förordningen kan vi nog vänta oss en del kompletterande bestämmelser från regering och riksdag, och förhoppningsvis vägledning från både våra nationella myndigheter och från EU-håll. Exempelvis kan EU-kommissionen komma med riktlinjer, inte minst med hjälp av den sprillans nya AI-byrån. Genom förordningen inrättas också den Europeiska styrelsen för artificiell intelligens som bl.a. får komma med vägledning. Medlemsstaterna ska därutöver utse en behörig nationell myndighet senast den 2 augusti 2025. Nästa spännande milstolpe är alltså om ett år, när vi får veta vilken myndighet som får den tuffa men roliga uppgiften att hantera tillsyn, vägledning och föreskrifter på AI-området. Kanske blir det Digg eller IMY, som i somras fick i uppdrag av regeringen att ta fram vägledande riktlinjer för användningen av generativ AI inom offentlig sektor. Vi kommer att sitta klistrade framför skärmen med popcornskålen i högsta hugg när det kommer besked om vilken myndighet det blir.
Det finns 35 miljoner skäl att börja jobba med vår AI-compliance. Men var börjar vi?
Om ni använder, eller vill använda, AI i er verksamhet, är det redan bra att redan nu börja fundera på hur ni ska navigera det regulatoriska landskapet. Det finns starka ekonomiska incitament att göra rätt från början. Om man bryter mot bestämmelserna i AI-förordningen riskerar man en sanktionsavgift som, beroende på vilka regler man brutit mot, kan uppgå till som mest 35 miljoner euro eller 7 % av koncernens årliga globala omsättning. Checklistan vi skrev för ett år sedan är fortfarande en bra start på resan mot att använda AI på ett ansvarsfullt sätt, i linje med gällande och kommande regler:
- Inventera den egna verksamheten för att se hur AI används i verksamheten idag – såväl internt som i produkter och tjänster som verksamheten distribuerar.
- Utvärdera vilken eller vilka risknivåer som era AI-verktyg ligger på och vilka övriga risker som användandet av AI kan innebära.
- Slå fast en AI-strategi och riktlinjer för ert användande.
- Informera organisationen om det ansvar som kommer med användandet av AI, hur det påverkas av AI-förordningen och utbilda medarbetare i hur de kan och får använda sig av AI i arbetet.
Ett par frågor att börja klura på är:
- Hur klassificeras AI-verktyget enligt AI-förordningen och vilka regler i förordningen blir tillämpliga? Vilka andra regler gäller?
- Hur garanterar vi att användningen är förenlig med GDPR?
- På vilken sorts data är AI-verktyget tränat? Finns det risk för felaktiga resultat på grund av felaktig eller irrelevant träningsdata?
- Hur hanteras det vi matar in i AI-verktyget? Finns det risk att hemlig information läcker?
- Är systemet förenligt med gällande krav på bl.a. cybersäkerhet i t.ex. NIS 2-direktivet? Hur behöver vi förändra vår incidenthantering om vi börjar använda AI?
- Vilka rättigheter får vi till det som AI-verktyget genererar?
- Vilket ansvar har vi för det som AI-verktyget producerar? Har vi något skydd mot anspråk från tredje parter på grund av påstådda upphovsrättsintrång?
Det kommer mera
Vi på Forefront har djupdykt i de vanligaste AI-verktygen och har bra koll på hur de fungerar, hur de regleras idag och hur användningen kan påverkas när AI-förordningen ska börja tillämpas. Vi har, tillsammans med kunder i framkant, arbetat fram allt från verksamhetsanpassade AI-riktlinjer till ”do's and don't's” vid specifik användning av generativa AI-verktyg. Men AI-förordningen är inte den enda rättsakten som kan vara bra att hålla ögonen på för att se till att verksamhetens teknikanvändning är up to speed med gällande och kommande regler. Läs till exempel våra artiklar om dataförordningen, tillgänglighetslagen och NIS2-direktivet. Vi har stenkoll på det rättsliga landskapet – vi förstår teknik både i praktik och teori – och kan hjälpa till med överflygning, djupdykning och allt däremellan.
/Staffan Uhlmann
Senior juristkonsult inom tech och informationssäkerhet