Den 8. desember 2023 kunngjorde EU-parlamentet at det er oppnådd foreløpig politisk enighet om EUs AI Act. Dette markerer et avgjørende øyeblikk i sagaen om reguleringen av kunstig intelligens, og vi kan for alvor begynne å tenke på hva dette vil innebære for den enkelte virksomhet.
Det er forventet at forordningen vil bli formelt godkjent før Europaparlamentsvalget i juni 2024. Regelverket vil begynne å gjelde to år etter at den trer i kraft, sannsynligvis i midten av 2026. Enkelte av kravene vil imidlertid trå i kraft ett år før dette.
Nå som formell stadfesting av reglene er i sikte, gjør virksomheter som bruker eller planlegger å bruke AI-systemer lurt i å forberede seg på det kommende regelverket.
Formålet med EU AI Act («KI-forordningen» på norsk) er å legge til rette for trygg, tillitsvekkende og etisk bruk av kunstig intelligens, samtidig som reglene skal fremme innovasjon og konkurranseevne i EU. Den endelige teksten er ikke enda formelt publisert. Det er imidlertid enkelte viktige elementer ved den kommende forordningen vi kjenner;
Punktene over er delvis basert på de nylig publiserte spørsmål og svar fra EU-kommisjonen.
Definisjonen av hva som er et «AI-system» i forordningen er vid, og vil være bestemmende for hvorvidt regelverket treffer. Vi anbefaler alle virksomheter å gjøre seg godt kjent med definisjonen, for deretter å kunne vurdere hvilke eksisterende og planlagte systemer i virksomheten som vil omfattes. Det må også vurderes hvilken rolle virksomheten har (deployer/ developer/ importer/ reseller) da forordningen setter ulike krav til de ulike rollene.
Vi anbefaler videre å kartlegge all bruk av AI-systemer, oversikt over hvem som har ansvaret for det enkelte system internt og hva som er formålet med bruken.
Gjør deg kjent med de ulike risikonivåene og forpliktelsene som følger med for AI-systemet, rollen din virksomhet har, og vurder om noe gjenstår for å overholde forpliktelsene.
Gjennomfør en samsvarsvurdering av eksisterende eller planlagte AI-system for å identifisere systemets risikoklassifisering etter AI Act. Det er viktig å ha oversikt over dette fordi AI-systemenes risikoklassering vil være bestemmende for hvilke plikter virksomheten har, eller om det overhodet er lovlig å bruke systemet.
De mest omfattende pliktene vil inntreffe ved bruk av systemer som klassifiseres som høyrisiko. Virksomheten vil da ilegges plikter knyttet til blant annet kvaliteten på treningsdata, rettferdighet og åpenhet, dokumentasjon og brukerinformasjon, menneskelig tilsyn, samt systemets sikkerhet.
Dersom det brukes AI-systemer som skal klassifiseres som minimal risiko, kan virksomheten ta stilling til om den vil følge de frivillige etiske retningslinjene.
Enkelte prinsipper er gjennomgående i hele AI Act, slik som prinsippene om åpenhet og ansvarlighet. Uavhengig av klassifisering kan derfor virksomheter begynne å utarbeide informasjon til sine brukere om AI-systemene, inkludert klar og tydelig informasjon om systemets formål – slik at brukerne kan gjøre informerte valg.
Dokumenter eventuell risiko ved bruken av AI-systemet og utarbeid en plan for hvordan dette skal avbøtes.
Start arbeidet med å utpeke en eller flere ansvarlige for å sikre etterlevelse av reglene.
For å sikre en effektiv AI-strategi og etterlevelse av regelverket, vil det være nødvendig at alle ansatte har tilstrekkelig kjennskap til AI, hvilke forpliktelser og risiko som følger av AI Act og hva dette innebærer for virksomheten. Å overholde kravene vil kreve tverrfaglig kompetanse, nødvendig kunnskap og opplæring. Vi anbefaler at man drar nytte av annet compliance arbeid i virksomheten - se sammenhenger og unngå dobbeltarbeid.
Ved innføringen av GDPR erfarte mange virksomheter at det var nødvendig å oppdatere internkontrollsystemet sitt. Dette vil også bli nødvendig for å etterleve AI Act.
Det vil eksempelvis være nødvendig å oppdatere styrende dokumentasjon knyttet til virksomhetens mål og strategi knyttet til bruk eller utvikling av AI-systemer.
Vi anbefaler å lage rutiner og veiledninger for de ansattes bruk av AI i virksomheten. Opplæring og økt bevissthet vil gjøre det lettere for ansatte å ta informerte valg og håndtere datarelatert risiko.
Dersom det skal behandles personopplysninger ved bruk av AI, vil dette ofte medføre høy risiko for de registrertes rettigheter og friheter. I henhold til GDPR art. 35 vil det da være nødvendig å utføre en DPIA (personvernkonsekvensvurdering) før systemet tas i bruk. Forhold som gjør bruk av AI risikofullt, kan for eksempel være bruk av innovativ teknologi, matching og kombinering av datasett, eller behandling av personopplysninger i stor skala.
For at bruken av AI skal være tilstrekkelig sikker (og for å oppfylle krav til sikker behandling av personopplysninger i GDPR art. 32 og 24) vil det også være nødvendig å gjennomføre andre risikovurderinger, slik som en ROS.
For tidlig å begynne å tenke på den kommende forordningen? Vi mener at dette er akkurat rette tidspunkt! Virksomheter som utvikler eller bruker AI bør starte med å begynne å se på egen modenhet opp mot den foreslåtte forordningen, og virksomheter som ennå ikke har tatt AI i bruk kan utarbeide rutiner som gir en sikker start. Ta kontakt med vårt dyktige team i Deloitte Advokatfirma om du trenger bistand.