Blogg: EU’s AI Act er her: Dette må du vite

Tirsdag 13. mars vedtok Europaparlamentet Europas første regelverk som utelukkende regulerer KI, kalt EUs AI Act, eller KI-forordningen på norsk.

I en verden der kunstig intelligens (KI) blir stadig mer utbredt og integrert i vårt daglige liv, øker behovet for å sikre at teknologien utvikles og brukes på en trygg og tillitsvekkende måte. For å imøtekomme dette behovet har EU tatt viktige skritt. I april 2021 la de frem forslag om verdens første regelverk For å regulere kunstig intelligens.


Men hva vet vi om den nye KI-forordningen så langt, og hvilke konsekvenser kan den ha for både bedrifter og utviklere av KI-teknologi?  

Her er din guide til hva du og din virksomhet må vite. 

Hva er KI-forordningen?

KI-forordningen, introdusert av EU-kommisjonen i april 2021, er et lovforslag som skal regulere utvikling og bruk av kunstig intelligens i EU. Ved å ha differensierte regler avhengig av risikonivået KI-systemet innebærer, har EU som mål å adressere risikoer og utfordringer knyttet til KI. Videre skal reglene sikre at KI-systemer i EU oppfyller visse grunnleggende krav til blant annet åpenhet. Vi går gjennom de ulike risikonivåene lenger nede i bloggen. 

Hva dette har å si for deg

Den nye forordningen byr på utfordringer og muligheter for bedrifter og utviklere. På den ene siden må de som utvikler og implementerer KI-systemer med forhøyet risiko sikre og dokumentere at virksomhetens produkter oppfyller de nye kravene. På den annen side kan de nye reglene fungere som et konkurransefortrinn, da de stimulerer til klarhet og forutsigbarhet, og ikke minst tillit hos forbrukerne. 

Selv om KI-forordningen enda ikke er endelig vedtatt eller gjort gjeldende i Norge, tar det sjeldent lang tid før Norge følger etter EU. Da er det flere ting du som virksomhet kan gjøre for å forberede deg: 

  • Hold deg oppdatert og følg med på utviklingen rundt KI-forordningen.
  • Rådføre deg med teknisk eller juridisk ekspertise.  
  • Dersom du allerede har tatt i bruk eller utviklet KI-systemer, kan du også begynne å vurdere om disse systemene vil bli klassifisert som høyrisiko, og dermed være underlagt strengere regler.
  • Om du ikke har gjort det alt, bør du også utarbeide en KI-strategi med tilhørende retningslinjer for bruk av KI i din virksomhet. 

Innfører forbud mot visse KI-systemer

KI-forordningen definerer opp visse typer KI-systemer som innebærer en uakseptabel risiko. Disse KI-systemene vil bli forbudt og omfatter følgende typer:  

  • Kognitiv atferdsmanipulasjon av mennesker eller spesifikke sårbare grupper: Dette gjelder særlig bruk av KI for å manipulere menneskers atferd, spesielt sårbare grupper som barn som vil ha et særlig vern. Et eksempel på dette er stemmeaktiverte leker som oppfordrer til farlig eller skadelig atferd hos barn.
  • Sosial skåring: Dette retter seg mot klassifisering av personer basert på deres atferd, sosioøkonomisk status eller personlige egenskaper ved bruk av KI. Denne typen bruk kan føre til stigmatisering og diskriminering basert på kunstige kategorier skapt av KI-systemer. 
  • Biometrisk identifikasjon og kategorisering av personer: Her refereres det til bruken av biometriske data, for eksempel ansiktsgjenkjenning eller fingeravtrykk. Å bruke slik data for å identifisere og kategorisere enkeltpersoner, kan true personvernet og individets rettigheter til personlig identitet. 
  • Sanntids og eksterne biometriske identifikasjonssystemer: Dette inkluderer systemer som bruker biometriske data, for eksempel ansiktsgjenkjenning, i sanntid for å identifisere enkeltpersoner eksternt, for eksempel overvåkingskameraer eller andre sensorer. Dette kan innebære alvorlige risikoer for personvern og individets frihet. 

Trappetrinn for risiko: Tydelige krav til KI-systemer med høyrisiko

Hva defineres som høyrisiko? 

KI-forordningen skal også oppstille strenge regler for KI-systemer som utgjør en høy eller begrenset risiko. KI-systemer betraktet som høyrisiko omfatter de som er integrert i produkter underlagt EUs produktsikkerhetslovgivning, og vil blant annet inkludere leker, luftfart, biler, medisinsk utstyr og heiser. I tillegg omfattes KI-systemer som vil bli brukt i viktige sektorer og som må registreres i en EU-database. Forvaltning og drift av kritisk infrastruktur, utdanning og yrkesopplæring, migrasjons-, asyl- og grensekontroll, bistand til juridisk tolkning og rettsanvendelse, samt rettshåndhevelse er eksempler på slike sektorer. 

Denne typen høyrisiko KI-systemer må gjennomgå grundige vurderinger før de blir tilgjengelige for forbrukere og bedrifter på markedet. KI-forordningen vil også stille krav til kontinuerlig overvåkning og regelmessig evaluering av slike KI-systemer.

KI-systemer med begrenset risiko

KI-systemer som vurderes til å utgjøre begrenset risiko skal også følge visse grunnleggende krav til åpenhet. Disse kravene er ment å gi brukerne tilstrekkelig informasjon til at de kan forstå at de interagerer med KI og ta hensyn til dette i sine beslutninger. Dette vil være relevant der KI-systemet har generert eller manipulert bilde-, lyd- eller videoinnhold, for eksempel «deepfakes».  

Når kommer forordningen til Norge?

Den 2. februar 2024 ble KI-forordningen enstemmig godkjent av EUs Ministerråd. 13. mars ble en full plenumsavtemning gjennomført uten store endringer, og ordningen er ventet å tre i kraft allerede fra 2. april.