AI Act: Kommer de nye reglene til å ramme deg?
I det siste har mange snakket om AI Act. Mest sannsynlig trenger du ikke å bekymre deg, ifølge ekspertadvokat.
Kanskje du har hørt snakk om noe som heter AI Act? Enkelt sagt er det en lov som skal regulere kunstig intelligens.
Loven er utformet etter en risikobasert modell, som skiller mellom uakseptabel, høy, begrenset og lav risiko. Disse ulike kategoriene inneholder igjen krav som gjelder for de som produserer, tilbyr og bruker kunstig intelligens.
AI Act (eller KI-forordningen på norsk) har vært under utarbeidelse i et par år allerede. Fortsatt er ikke forordningen helt på plass, men det ventes at endelig publisering er rett rundt hjørnet.
Basert på tilgjengelige utkast vet vi også en god del om hva AI Act i sin fullstendige form kommer til å inneholde.
Og for å være tydelige på dette med en gang: Mye er komplisert og vagt. Men det betyr ikke dermed at du trenger å bekymre deg – snarere tvert i mot.
– Sannsynligvis ikke noe du trenger å tenke på
Christian Bendiksen er partner i Advokatfirmaet Bull, og muligens den i Norge som har fulgt prosessen med forordningen tettest. Han kommer med gode nyheter:
– For de aller fleste er ikke AI Act noe man trenger å tenke på, sier han.
Bendiksen mener de aller fleste bruksområder av KI i næringslivet vil falle under begrenset eller lav risiko. I disse kategoriene finnes det få eller ingen juridiske krav for etterlevelse etter AI Act.
– Fakturagjenkjenning, produksjon, preventivt vedlikehold eller maskinlæring i et ERP-system: Slike vanlige måter å bruke kunstig intelligens på i arbeidslivet kommer nok ikke til å rammes, betrygger Bendiksen.
La oss si at du bruker sensorikk og droner til å identifisere lakselus. Da bryr ikke AI Act seg om du bruker kunstig intelligens til å analysere bildene.
Men om et maskinlæringssytem erstatter en operatør og dronene blir selvkjørende – da kan det være en risiko for at loven blir gjeldende.
Større krav til høyrisikosystemer
Det er nemlig først om du bruker KI på måter som kan ramme mange eller potensielt får direkte farlige konsekvenser, at du må passe på om du benytter deg av et høyrisikosystem.
For eksempel om du jobber med maskinlæring i robotassisterte operasjoner, selvkjørende biler, automatisk kredittscoring eller bruker KI i forbindelse med opplæring, rekruttering eller måling av ansatte.
– Dette er heller ikke forbudt, men det stilles en del sammensatte krav om dokumentasjon, etterlevelse og datakvalitet. Dette gjelder både for de som bruker slike systemer, de som utvikler og de som selger, sier Bendiksen.
Minst to år før AI Act gjelder
Han forklarer at det har vært mye debatt rundt formuleringer i forordningen det kan være vanskelig å tolke.
Faren med dette er at det utvikler seg en praksis hvor man for sikkerhets skyld jobber for å være i samsvar med alle dokumentasjonskrav. Det kan fort bli dyrt, komplisert og ressurskrevende – og sette kjepper i hjulene for innovasjon og produktivitetsgevinster
– Ikke få panikk om du er usikker på om du må etterleve juridiske krav som følge av AI Act, råder Bendiksen.
For det første opplyser han om at det kommer tydelige retningslinjer, eksempler og beste praksis fra EU. Loven vil med andre ord bli enklere å forstå og rammene for hva som er innenfor og ikke også klarere.
– For det andre har du tid på deg til å justere og lære. AI Act ikrafttrer først to år etter at den publiseres, sier han.
Det betyr at du i hvert fall har hele 2024 og 2025 på å finne ut hvordan du skal forholde deg til forordningen – som ganske sikkert blir en del av norsk rett gjennom EØS-avtalen.
(Merk: KI med uakseptabel risiko blir forbudt seks måneder etter publisering, mens bestemmelsen som går på generativ KI blir gjeldende et år etter publisering).
Dette er de fire risikokategoriene
Uakseptabel risiko:
Uakseptabel risiko gjelder når bruken av KI strider med fundamentale rettigheter, for eksempel om et land skulle finne på å drive med sosial skåring av sine innbyggere. Dette vil forbys.
Høy risiko:
Et produkt som brukes innen kritiske samfunnsområder, for eksempel innen utdanning, transport, ledelse og helse, anses som av høy risiko. Det samme gjelder om KI er en del av sikkerhetssystemet til et produkt.
Hvis du selger enkelte utdanningsprodukt som tar i bruk kunstig intelligens for å styre opptak, evaluere resultater eller lignende, er produktet å regne som høyrisiko, forklarer Bendiksen.
– Det samme gjelder hvis du selger et produkt hvor maskinlæring på en eller annen måte brukes for å beskytte mot cyberangrep – eller jobber med helseteknologi.
Med slike systemer finnes det en del krav til datakvalitet, dokumentasjon, sporbarhet, åpenhet, menneskelig tilsyn, nøyaktighet og robusthet.
Høyrisikosystemer skrives inn i en egen liste som oppdateres på EU-nivå.
Begrenset risiko:
Det stilles mange færre krav til et system med begrenset risiko. I utgangspunktet går dette på åpenhet, altså at det skal være tydelig for brukere at de kommuniserer med et KI-system.
Her vil de eneste juridiske kravene gå på åpenhet, slik at brukere forstår at de samhandler med et KI-system. Eksempler på produkter med begrenset risiko kan være kundeservice-chatboter.
Det ser ut til at de aller fleste norske virksomheter bruker KI på en måte som tilsvarer begrenset eller lav risiko.
Lav eller ingen risiko:
Til slutt kommer produkter med ingen risiko, for eksempel videospill, spamfiltre, underholdning og lignende. Her stilles det ingen krav om åpenhet eller annet, men tilbydere oppfordres til å følge frivillige etiske retningslinjer.
Det finnes andre lover du må forholde deg til
Det er altså ikke sikkert AI Act gjelder for deg. Men sannsynligvis finnes det tilfeller hvor din bruk av kunstig intelligens reguleres av andre, gjeldende lover.
– Si for eksempel om du kjører Copilot over databasen din. Da har du nok ikke et AI Act-problem. Men du kan ha et GDPR-problem eller være i konflikt med arbeidsmiljøloven, sier Bendiksen.
Selv om mange lenge har etterlyst tydeligere reguleringer som omhandler kunstig intelligens, mener advokaten tvert i mot at dette er en teknologi som allerede er svært godt ivaretatt av norsk lov.
Skal du sette en selvkjørende drone i produksjon er det for eksempel ikke AI Act du først og fremst må se til – men produktansvarsloven.
– Og innfører du en forsikringsberegningsmodell som ikke gir melaninrike forsikring, er det en overtredelse av diskrimineringsloven og muligens også straffelov – helt uavhengig av om det er et menneske eller en maskin som skaper resultatet, legger Bendiksen til.
Sørg for å ha strategiene på plass
Så hva kan du gjøre for å best mulig sikre smart og lovlig bruk av kunstig intelligens?
– Man er nødt til å sette seg ned og lage en KI-strategi, råder Bendiksen.
En slik strategi bør si noe om hvilke systemer du bruker, hva du bruker dem til, hvordan de fungerer, hvordan dere jobber for ansvarlig bruk og hvordan dere legger til rette for opplæring – for å nevne noe. Det er også lurt å kartlegge risiko.
– En strategi bør også inneholde domenespesifikk informasjon. Jobber dere innen markedsføring, bør for eksempel retningslinjene si noe om opphavsrett og generert innhold, sier han.
Like viktig er det å ha en tydelig datastrategi:
– Man må vite hva slags data som trengs for å trene systemet og hvor man skal hente dem, sier han.
– Hvis det er tredjepartsleverandører, bør man sjekke hvilke rettigheter man har til å utnytte og lagre dataene, samt hvilke ansvarsfraskrivelser leverandøren har tatt til datakvaliteten og rettighetsposisjonene.
– Videre bør man også være oppmerksom på rettighetene brukerne av systemet vil få til innsamlede data i EUs Data Act som ble vedtatt rett før jul og som vil tre i kraft i september neste år. Disse vurderingene bør inn i en helhetlig datastrategi, avslutter han.
Introkurs
Hvordan påvirker kunstig intelligens kompetansebehov i arbeidslivet?
Lær hvordan kunstig intelligens påvirker kompetansebehovene i arbeidslivet og hvordan KI kan brukes i opplæring av ansatte.