EU's AI-act blev officielt lanceret den 1. august 2024 og medfører store ændringer i, hvordan kunstig intelligens reguleres i Europa. Denne nye act har til formål at afbalancere AI-innovation med sikkerhed og retfærdighed. I dette blogindlæg gennemgår vi, hvad EU's AI-act handler om, hvem den påvirker, og hvad du skal gøre for at overholde den. Vi gennemgår de vigtigste dele af forordningen, de vigtigste deadlines, og hvad det betyder for de forskellige typer af organisationer. Lad os dykke ned i det!
Hvad er EU's AI-act?
AI-act'en er det første omfattende regelsæt for kunstig intelligens på verdensplan. Målet er at sikre, at AI-systemer bruges ansvarligt og etisk. Ved at tilpasse AI-teknologien til grundlæggende rettigheder og sikkerhedsstandarder stræber forordningen efter at fremme innovation, samtidig med at den beskytter mennesker og minimerer risici. Det handler om at sikre, at AI gavner samfundet uden at gå på kompromis med sikkerheden for individer og samfund.
Hvorfor har vi brug for AI-regler?
AI har evnen til at transformere industrier og sætte gang i store fremskridt i hele Europa. Men i takt med at AI-teknologien udvikler sig, medfører den også nye risici. Disse omfatter potentielle trusler mod sikkerhed, privatliv og endda demokratiske værdier. Nogle AI-systemer kan f.eks. skade brugernes sikkerhed eller krænke grundlæggende rettigheder, hvis de ikke bliver anvendt korrekt.
Uden klare regler kan virksomheder, regeringer og enkeltpersoner misbruge AI. Hvis alle lande ikke arbejder ud fra de samme AI-regler, kan det skabe nogle uoverensstemmelser og dermed også hindre udviklingen af et fælles marked.
Det er her, EU's AI-act kommer ind i billedet. AI-act tager højde for disse bekymringer ved at fastsætte nogle klare regler og standarder for de forskellige typer af AI-systemer og sikre, at de bruges på en måde, der er gennemsigtig og retfærdig.
Hvem vil EU's AI-act påvirke?
EU's AI-act har forskellige regler for forskellige typer af virksomheder, der anvender AI. Den vil påvirke en bred vifte af organisationer, og ikke kun dem, der udvikler AI-teknologi. Her er en liste over, dem der vil blive berørt:
- Udbydere: Virksomheder, der sælger eller tilbyder AI-systemer eller AI-modeller til generelle formål i EU.
- Deployers: Virksomheder, der bruger AI-systemer og er baseret i EU.
- Brugere: Enhver virksomhed, der bruger resultaterne af AI-systemer i EU.
- Importører og distributører: Virksomheder, der importerer eller distribuerer AI-systemer.
- Produktproducenter: Virksomheder, der inkluderer AI-systemer som en del af deres produkter og sælger dem under deres eget navn eller mærke.
Så det gælder altså ikke kun teknologivirksomheder, der udvikler AI. Enhver virksomhed, der bruger AI eller resultaterne heraf i EU, skal følge disse regler. Det gælder virksomheder i alle sektorer, uanset om de bruger AI til specifikke formål som kreditvurderinger eller til generelle formål som rekruttering.
Og husk, at det er ligegyldigt, om en virksomhed er baseret i eller uden for EU. Hvis deres AI-systemer eller -resultater bruges i EU, skal de overholde EU's act.
Hvad er de fire risikokategorier i EU's AI-act?
EU's AI-act inddeler AI-systemer i fire risikoniveauer, som hver især har forskellige regler. Hvad du skal gøre for at overholde reglerne, afhænger af, hvilket risikoniveau dit AI-system falder ind under. Her er en hurtig guide, der hjælper dig med at forstå de fire niveauer:
- Uacceptabel risiko
Disse AI-systemer er forbudt, fordi de i alvorlig grad kan skade menneskers sikkerhed og rettigheder. Dette inkluderer:
Social scoring: AI-systemer, der rangerer mennesker baseret på deres adfærd, som f.eks. Kinas sociale kreditsystem, der påvirker deres adgang til tjenester og muligheder.
Farligt AI-legetøj: AI-drevet legetøj, der udgør en sikkerhedsrisiko, som for eksempel dukker, der optager samtaler og giver anledning til at bekymre sig om privatlivets fred.
Følelsesmæssig manipulation: AI-systemer, der udnytter følelsesmæssige sårbarheder, som f.eks. apps til mental sundhed, der kan manipulere med brugernes følelsesmæssige kampe for at holde dem afhængige af appen.
Ansigtsgenkendelse i realtid: AI, der bruges af politiet til ansigtsgenkendelse i realtid i det offentlige rum, hvilket er forbudt undtagen i meget sjældne situationer. - Høj risiko
Denne kategori omfatter AI-systemer, der bruges på kritiske områder, hvor fejl kan have betydelige konsekvenser. Eksempler på dette er:
Sundhedsvæsenet: AI-systemer, der diagnosticerer sygdomme eller hjælper med medicinske procedurer, da det kan have stor potentiel indvirkning på patienternes helbred.
Finanssektoren: AI, der bruges til at træffe beslutninger om lån eller andre finansielle tjenester, hvor fejl kan have alvorlige økonomiske konsekvenser.
Politiet: AI, der bruges til profilering eller overvågning, hvilket kan påvirke privatlivets fred og borgernes rettigheder.
Uddannelse og beskæftigelse: AI-systemer, der påvirker adgangen til uddannelse, træning eller jobmuligheder, hvilket påvirker den enkeltes professionelle og uddannelsesmæssige fremtid.
Højrisikosystemer skal opfylde strenge krav, herunder grundige risikovurderinger, data af høj kvalitet, detaljeret dokumentation og menneskeligt tilsyn. Disse systemer skal overvåges nøje for at sikre, at de er sikre og retfærdige. - Begrænset risiko
AI-systemer, som chatbots, udgør ikke en stor risiko, men de skal stadig være gennemskuelige. Hvis du f.eks. chatter med en AI, skal det tydeligt fremgå, at det ikke er en rigtig person, da det hjælper med at opbygge tillid.
Fun fact: I et af vores blogindlæg bad vi ChatGPT om at skrive en phishing-mail, og det gjorde den! Det viser, at selv en veldesignet AI utilsigtet kan blive brugt på risikable måder, hvilket understreger behovet for bedre kontrol og etiske retningslinjer. - Minimal eller ingen risiko
Dette er AI-systemer med lav risiko, som f.eks. spamfiltre eller videospil. De har meget få regler, men det er stadig en god idé at holde øje med dem for at undgå potentielle problemer. De fleste dagligdags AI-systemer falder ind under denne kategori.
For at finde ud af, hvilken kategori, du hører under i EU's AI-act, skal du starte med at se på, hvordan din AI bruges, og hvilke risici den kan udgøre. Hvis den er involveret i kritiske områder som sundhedspleje eller finans, er det sandsynligvis højrisiko, mens hverdagsværktøjer som chatbots ofte hører under kategorien med minimal eller ingen risiko. Sørg for at gennemgå EU's AI-act detaljerede retningslinjer for at forstå de specifikke kriterier for hver kategori. Det er også en god idé at foretage en risikovurdering for at vurdere, hvordan dit AI-system kan påvirke sikkerheden eller folks rettigheder.
Vigtige deadlines for EU's AI-act
EU's AI-act trådte officielt i kraft d. 1. august 2024. Her er, hvad der kommer til at ske fremadrettet:
I begyndelsen af 2025: Forbuddet mod uacceptable AI-systemer træder i kraft. Det betyder, at visse højrisikobetonede AI-anvendelser vil blive forbudt, hvilket sikrer, at kun sikker og etisk teknologi vil blive anvendt.
Maj 2025: Nye adfærdskodekser for AI-modeller til generelle formål indføres. Disse retningslinjer vil hjælpe med at sikre, at AI-værktøjer, der bruges på tværs af forskellige sektorer, opfylder de nødvendige standarder.
August 2025: Reglerne for AI-modeller til generelle formål bliver obligatoriske. Nu vil der være krav om fuld overholdelse af disse nye retningslinjer.
August 2026: Forpligtelser for højrisiko- og specifikke AI-kategorier træder i kraft. Hvis din AI falder ind under disse kategorier, skal du sørge for at være klar til at opfylde de nye krav.
August 2027: Fuld overensstemmelse vil være påkrævet for AI-systemer, der er indlejret i regulerede produkter. På dette tidspunkt vil forordningen bestemmelser få fuld indflydelse på en lang række AI-applikationer.
Hvordan EU's AI-act vil påvirke forskellige typer af organisationer
EU's AI-act vil påvirke mange forskellige typer organisationer. Den vil især være vigtig for dem, der er stærkt involveret i AI eller arbejder i højrisikoområder. For at hjælpe dig med at blive klar til disse ændringer, kan du her få et overblik over de grupper, der vil blive påvirket:
- Teknologivirksomheder som Google, Amazon og Meta (Facebook) er afhængige af AI til forskellige tjenester, f.eks. chatbots og ansigtsgenkendelse. De bliver nødt til at sikre, at deres AI-systemer er nøjagtige, gennemsigtige og sikre, hvilket vil kræve betydelige justeringer.
- Brancher som sundhed, finans og politi bruger AI til kritiske beslutninger, som f.eks. at godkende lån eller diagnosticere medicinske tilstande. Disse sektorer vil stå over for strenge krav på grund af deres AI-systemers højrisikokarakter, hvilket kræver strenge teste, dokumentation og løbende overvågning.
- Små og mellemstore virksomheder (SMV'er) vil også blive påvirket. Selv om bøderne kan være lave, kan omkostningerne til overholdelse være betydelige. Nystartede virksomheder uden dedikerede juridiske eller compliance-teams kan få problemer med de nye krav og kan blive nødt til at ansætte ekstra personale eller konsulenter.
Hvad kan gå galt?
Nogle virksomheder er særligt sårbare ift. de nye regler:
- Amazon og Google kan komme til at stå over for udfordringer med deres ansigtsgenkendelses- og overvågningsteknologier, som er blevet kritiseret for at være forudindtagede. De kan blive nødt til at revidere eller stoppe disse teknologier i Europa, hvis de ikke er i overensstemmelse med de nye standarder.
- Meta (Facebook), der er kendt for sine AI-drevne algoritmer til annoncer og indholdsmoderering, kan blive pålagt betydelige sanktioner, hvis deres systemer forårsager skade eller spreder skadeligt indhold uden tilstrækkelig gennemsigtighed og kontrol.
- Clearview AI, der er kendt for sin kontroversielle ansigtsgenkendelsesteknologi, kan få forbud mod at operere i EU, medmindre de ændrer deres datapraksis.
Er EU's AI-act fremtidssikret?
Ja, EU's AI-act er designet med fremtiden for øje. I stedet for at låse specifikke tekniske detaljer fast, fokuserer den på at sætte brede mål for sikkerhed og retfærdighed. På den måde kan den tilpasses, efterhånden som nye teknologier og metoder dukker op. Forordningen giver mulighed for opdateringer gennem delegerede retsakter, så hvis der opstår nye højrisikoanvendelser af AI, kan de føjes til reglerne. Desuden vil der være regelmæssige evalueringer for at holde forordingen relevant og effektiv. Det Europæiske AI-kontor vil føre tilsyn med det hele og sørge for, at reglerne forbliver opdaterede og fortsat støtter etisk AI-udvikling.
Forberedelse til de kommende ændringer
Lanceringen af EU's AI-actmarkerer et vigtigt skridt i retning af at sikre, at AI-teknologier bruges ansvarligt og etisk. Som tidligere nævnt, indfører forordingen klare retningslinjer og standarder for at hjælpe med at håndtere de risici, der er forbundet med AI, og afbalancere innovation med sikkerhed og retfærdighed.
For mange af jer betyder det, at I skal forstå, hvor jeres AI-systemer passer ind i de nye kategorier, uanset om de anses for at være uacceptable, højrisiko, begrænsede eller med minimal risiko. At vide, hvor du står, er nøglen til at navigere problemfrit i forhold til compliance og få mest muligt ud af disse regler.
Se vores kursus om AI-værktøjer for at lære om vigtige forholdsregler og bedste praksis for sikker brug af populære AI-værktøjer som ChatGPT, Microsoft Copilot og Gemini, så du kan udnytte deres potentiale og samtidig minimere risici.
Selv om vores ekspertise ligger inden for cybersikkerhedsbevidsthed og phishing-træning, opfordrer vi dig til at se de nye regler som en mulighed for at øge gennemsigtigheden og tilliden til din AI-praksis. Hvis du har brug for støtte til at opbygge en kultur med bevidsthed og beredskab, er vi her for at hjælpe med træningsløsninger, der styrker din overordnede sikkerhed.
