AI Act: Dette bør du vite, ifølge eksperten
Advokat og KI-ekspert Christian Bendiksen forklarer det viktigste du må vite om EUs KI-lov.
Det har vært mye snakk om AI Act siden sist vi skrev om «Europas store KI-lov».
Hva er det egentlig forordningen skal regulere? Når trer den i kraft? Hva kan man gjøre for å forberede seg?
Om du synes alt pratet om AI Act er litt komplisert, er du ikke alene. Loven har et rykte på seg for å være særlig vanskelig å forstå.
Heldigvis kan Christian Bendiksen, partner i Advokatfirmaet Bull og ekspert på temaer som har med juss og teknologi å gjøre, komme med et beroligende budskap.
– Ikke la deg skremme av AI Act, sier han.
Bendiksen er muligens blant de personene her til lands som har brukt mest tid på å sette seg inn i AI Act.
Hans beroligende budskap er at loven i liten grad gjelder for situasjonen de fleste norske bedrifter står i når de tar i bruk kunstig intelligens.
Men la oss ta det hele fra toppen:
Slik ble AI Act til
AI Act har vært til behandling lenge. Allerede i 2021 la EU-kommisjonen frem et forslag til forordningen.
På denne tiden begynte kunstig intelligens å bli stadig mer tatt i bruk. Man fant det i overvåkningssystemer, kredittvurderinger og rekrutteringsverktøy, for å ta noen eksempler.
Samtidig så man hvordan sosiale medier og datainnsamling lenge var områder uten særlig styring. Flere bekymret seg for at man kunne miste kontroll over KI-utviklingen, etter hvert som teknologien bare ble mer sofistikert.
Så kom ChatGPT, språkmodeller og generativ kunstig intelligens. KI gikk fra å være noe få brydde seg om, til å bli allemannseie.
– Det er tydelig at EU fikk hastverk da ChatGPT kom. Forslaget om å regulere «General Purpose AI» er vanskelig å forstå, kanskje særlig grensen for når slik kunstig intelligens skal ha «systemisk risiko», da mange modeller som ligger langt under den grensen kan brukes til skumle ting – mens handlingspliktene i AI Act i begrenset grad avhjelper farene med store generative KI-modeller, sier Bendiksen.
Hva er AI Act?
Enkelt forklart kan man si at AI er en europeisk forordning med mål om å regulere utvikling, bruk og distribusjon av KI-systemer innenfor EU.
Samtidig handler den om at kunstig intelligens skal beskytte mennesker, fremme tillit og legge til rette for ansvarlig og innovativ KI-bruk.
Det siste poenget er viktig: Loven skal ikke bremse bruken av kunstig intelligens – tvert imot skal den legge til rette for innovasjon. Det gjøres gjennom en risikobasert modell.
– Jo høyere risiko, desto strengere krav, forklarer Bendiksen.
Modellen består av fire nivåer som skiller mellom uakseptabel, høy, begrenset og lav risiko. Disse ulike kategoriene inneholder igjen krav som gjelder for de som produserer, tilbyr og bruker kunstig intelligens.
Dette er risikopyramiden
Her er det på tide å vise til nok et begrep, som handler om risikopyramiden.
Toppen av pyramiden handler om uakseptabel risiko. Denne kategorien gjelder KI-systemer som er så farlige at de rett og slett er blitt forbudt – som sosial poengsetting, skjult atferdsmanipulering og sanntidsovervåking i offentlig rom.
Høy risiko gjelder færre, men viktige bruksområder – som KI brukt i rekruttering eller helsetjenester – og kommer med strenge krav. Denne kategorien er likevel langt smalere enn den med begrenset risiko, som utgjør en større del av pyramiden og omfatter ting som chatboter og anbefalingssystemer.
Nederst i pyramiden finner vi lav risiko – her havner den store majoriteten av bedrifters KI-bruk, som ofte er ufarlig, hverdagslig og lite inngripende.
Hva betyr det at AI Act er en produktansvarslov?
AI Act er ikke bare relevant for produsenter av kunstig intelligens og tech-giganter. Loven gjelder for alle som utvikler, selger eller bruker visse typer KI – også små og mellomstore virksomheter.
AI Act er en produktansvarslov. Det betyr at ansvaret ikke bare ligger hos dem som lager KI-systemet, men også hos dem som setter det i bruk.
Alle ledd i verdikjeden – fra utvikler til sluttbruker – får plikter. Hvilket ansvar du får, avhenger av hvilken risiko KI-systemet representerer.
Igjen understreker Bendiksen at akkurat dette ikke er noe man bør bruke mye tid på å bekymre seg over.
– Hvis du først er i en situasjon der du lurer på om du følger AI Act, så er det sannsynlig at det allerede finnes en annen lov som er mer relevant – enten det er kontraktsrett, produktansvarsloven, GDPR eller arbeidsmiljøloven, sier han.
Med andre ord:
Det aller meste som har med kunstig intelligens å gjøre, reguleres og håndheves egentlig allerede av norsk lov, om det så er gjennom GDPR, alminnelig kontraktsrett, arbeidsmiljøloven – også videre.
Når blir loven gjeldende?
I Europa trer AI Act i kraft trinnvis, og enkelte deler gjelder allerede. Forbudte KI-systemer er allerede ulovlige, og både transparenskrav og særregler for generativ KI er ventet å tre i kraft sommeren 2025 – ett år etter at loven ble publisert.
Hele loven får full virkning i EU fra 2. august 2026.
– I Norge er målet at AI Act skal bli gjeldende som norsk lov fra sensommeren 2026, men dette er foreløpig ikke endelig vedtatt, sier Bendiksen.
Hva bør du vite om dokumentasjon?
Selv om det snakkes mye om transparens og dokumentasjonskrav i AI Act, er det ikke nødvendigvis så skremmende som det kan virke ved første øyekast. Det er nemlig først og fremst når kategorien er høyrisiko, at kravene til dokumentasjon og transparens virkelig slår inn.
Det krever at virksomheter setter seg inn i hva som faktisk gjelder – og for hvem.
– Noe av det mest fornuftige du kan spørre deg selv er: Har du planer om å utvikle eller ta i bruk et høyrisiko KI-system? Sannsynligvis ikke – men hvis du skal det, så må du vite hva du gjør, sier Bendiksen.
Det aller viktigste i starten er å definere bruken tydelig:
– Det første en IT-leder bør gjøre for å unngå å havne i en situasjon med omfattende krav til dokumentasjon og testing, er å være presis på hva systemet faktisk brukes til – og sørge for at det ikke sniker seg inn i bruksområder som regnes som høyrisiko, sier han.
Systemer med lavere risiko har færre krav. Det betyr imidlertid ikke at man er helt fritatt for ansvar. Det er uansett lurt å sjekke grundig hva som gjelder – spesielt hvis systemet er rettet mot brukere eller kunder.
Hva med opplæring og ansvar?
Opplæring er et annet område der mange virksomheter lurer på hva som egentlig kreves. Men ifølge Bendiksen handler dette først og fremst om å forstå to ting:
– Problemer oppstår som oftest når folk bruker beslutningsstøttesystemer som om de var faktiske beslutningstagere, sier han.
Det samme gjelder dersom du setter i gang et KI-system uten å forstå konsekvensene. Da risikerer du ikke bare brudd på AI Act, men også regelverk som GDPR, arbeidsmiljøloven eller produktansvarsloven.
Sjekklister og maler kan være nyttige, men de gir ingen garanti alene.
– Har du ikke kontroll på det totale juridiske landskapet, gir det egentlig ikke mening å tro at du forstår AI Act. Da har du bare malt én side av huset, sier Bendiksen.
