EUs nye AI-forordning (AI Act) vedtages snart

EUs nye AI-forordning (AI Act) er på vej mod endelig vedtagelse og sætter standarden for AI-reguleringen globalt. Lovgivningen klassificerer AI-systemer efter risiko og pålægger krav.

16. april 2024

Er der én ting, vi alle kan blive enige om, så er det, at AI-bølgen har ramt os med fuld hast. Det er få personer, der endnu ikke er stødt på AI på den ene eller den anden måde.

De nye redskaber og den store efterspørgsel, såvel som vilje til at gøre brug af de nye muligheder, har sat EU-maskineriet i gang med at sikre lovgivning på området.

Den 13. marts 2024 blev den nye AI-forordning således stemt endeligt igennem i Europa Parlamentet. Forordningen skal dog igennem en sidste gennemlæsning, inden lovgivningsteksten publiceres i det officielle tidsskrift ”EU tidende” – forventeligt i maj 2024.

EU sætter standarden for andre jurisdiktioner

EU bliver den første lovgiver i verden til at indføre en lov om kunstig intelligens, og kan på den måde være med til at sætte den globale standard for regulering af AI.

Den Europæiske forordning tager afsæt i en lovgivningsmodel baseret på risiko – des større skade teknologien kan forvolde, desto strengere regler. Lovgivningsmodellen opererer på en række niveauer, som spænder over uacceptabelt brug, høj risiko og begrænset risiko.

Uacceptabelt brug: Et AI-system havner i denne kategori, hvis det udgør en trussel for menneskers grundlæggende rettigheder og for mennesker generelt. Det kan f.eks. være, hvis AI bruges til at manipulere folks adfærd og frie vilje.

Høj Risiko: AI-systemer i denne kategori er f.eks. systemer inden for lovgivning og retshåndhævelse, systemer der træffer afgørelser for uddannelsesinstitutioner eller om rekruttering af kandidater. Systemer i denne kategori vil blive underlagt en række regulative krav om risikominimering, sikring af høj datakvalitet, logning af aktiviteter, omfattende dokumentation, tilsyn samt registrering i EU-database.

Begrænset risiko: Langt de fleste AI-systemer ligger i denne kategori. Denne type systemer indebærer ingen forpligtelser, da de kun udgør minimal eller ingen risiko for borgeres rettigheder eller sikkerhed. De fleste chatbots er formentlig i denne kategori.

Hvem gælder lovgivningen for?

Den nye lovgivning gælder for enhver virksomhed eller organisation, der befinder sig inden for EU. Lovgivningen gælder dog også uden for EU, såfremt AI-systemet er placeret på EU’s marked, eller dets anvendelse påvirker borgere, der befinder sig i EU. Håndhævelse af AI-forordningen sker på flere plan.

I EU opsættes flere instanser og råd, og på nationalt plan bliver kompetente myndigheder udpeget til at overvåge og håndhæve forordningen. Disse myndigheder vil også være ansvarlige for at undersøge overtrædelser og pålægge sanktioner.

Hvis lovgivningen overtrædes, fastsættes bøder. Bødens størrelse afhænger af overtrædelsens karakter, men der kan gives bøder på op til 35 millioner euro eller op til 7% af den samlede årlige omsætning, afhængigt af hvilket beløb, der er højere.

Hvordan skal jeg forholde mig til den nye forordning?

Som virksomhed skal du først og fremmest gøre dig klart, hvilke AI-systemer du gør brug af samt til hvad. Derudover er det en god idé at fastlægge et AI-udvalg eller et AI-lead, som er ansvarlig for at sikre, at I lever op til de nye regler.

Hvis du primært gør brug af de større AI-systemer som ChatGPT, Google Gemini, MidJourney, Dall-E og CoPilot, anses de fleste af disse for at være underlagt kategorien begrænset risiko. Derfor kan du som udgangspunkt fortsætte med at anvende systemerne, indtil reglerne for anvendelse defineres yderligere.

Hvornår gælder forordningen fra?

Forordningen træder i kraft så snart den er vedtaget. Dermed kan eventuelle krav også kræves håndhævet allerede fra vedtagelsens start. Som det ser ud på nuværende tidspunkt, er der opsat tidsintervaller på baggrund af risikoniveau.

6 måneder efter ikrafttrædelsen: Kravene for eventuelle forbudte praksisser, herunder systemer under kategorien uacceptabel brug, vil være gældende allerede seks måneder efter ikrafttrædelsen, mens andre krav forventeligt træder i kraft løbende fra maj 2025 og frem til 2027.

12 måneder efter ikrafttrædelsen: AI-systemer i kategorien høj risiko skal opfylde de nye krav.

24 måneder efter ikrafttrædelsen: AI-forordningens generelle bestemmelser vil kræves håndhævet. Dermed har alle virksomheder med anvendelse af AI-systemer godt to år til at overholde lovgivningen, herunder til f.eks. at skrifte til lavere AI-systemer med lavere risiko.

Vil du have juridisk sparring om AI?

Hvis du har brug for sparring eller opklaring af elementer i relation til AI-forordningen eller generelle retningslinjer for god brug af AI i din virksomhed, så er du mere end velkommen til at række ud til vores ekspert på området.