Alt som glimrer er ikke KI – sjekk om AI Act gjelder for deg

Etter langvarige forhandlinger ble EU enige med seg selv – forordningen som skal regulere kunstig intelligens, «AI Act», ble vedtatt 13. mars 2024. Selv om det gjør at vi vet mer om regelverket, er det fortsatt mye som er uavklart. Blant annet er ikke den endelige forordningsteksten publisert enda, og vi venter fortsatt på retningslinjer for de mange uklare områdene i forordningen. Det gjør det vanskelig for norske og europeiske virksomheter å vite hva de skal forholde seg til.

For å hjelpe deg i gang, har vi laget en sjekkliste i fem punkter:

1. Er det AI?

Det er ikke gull alt som glimrer, og slik er det med teknologi også. KI-forordningen, som den vil hete på norsk, gjelder for systemer som forordningen definerer som «kunstig intelligente», og ikke alle former for teknologi. I forordningen er kunstig intelligens definert som et maskinbasert system som kan operere med et minimum av selvstendighet, og som også kan vise tilpasningsdyktighet etter at systemet er tatt i bruk. Men viktigst, systemet skal kunne ta imot informasjon (input) som den bearbeider og bruker for å utlede hvordan den skal gi sine svar (output), på en måte som går videre enn alminnelig statistisk analyse.

Dersom den teknologien du bruker ikke faller innenfor denne definisjonen, trenger du altså ikke å forholde deg til AI Act.

2. Er du innenfor virkeområdet til AI Act?

AI Act gjelder ikke for all bruk av AI. Det er en del unntak, for eksempel AI utviklet for rene forskningsformål, testing og utvikling av AI før denne blir markedsført i EU, og, kanskje overraskende, AI for militære formål.

3. Hvilket risikonivå omfattes du av?

De aller fleste pliktene som pålegges i AI Act avhenger av hvor stor risiko AI’en medfører.

Denne risikobaserte tilnærmingen betyr for eksempel at AI som krenker menneskers fundamentale rettigheter er forbudt. Hensikten med forbudene er å verne grunnleggende menneskerettigheter. Virkemiddelet er primært å sikre at vesentlige avgjørelser om individer tas av mennesker og ikke AI. Visse former for AI anses å være så inngripende mot enkeltmennesker at de dermed forbys.

Systemer som kan påvirke fundamentale rettigheter anses som høyrisiko-AI. Det samme gjør AI i sikkerhetssystemer, eksempelvis i kritisk infrastruktur. Slike systemer er underlagt en rekke krav. Pliktene gjelder leverandører, importører, distributører eller andre tredjeparter. Derfor er det avgjørende å finne ut av om AI’en din er høyrisiko.

Til noen systemer stilles også spesifikke krav. Det kan være krav om at systemer som samhandler direkte med mennesker skal opplyse om at de er AI-baserte og at tekst, film og bilde skapt av AI må «vannmerkes».

Dersom AI’en din ikke faller i kategorien forbudt eller høyrisiko, og heller ikke er underlagt spesifikke krav, trenger du «kun» å forholde deg til den samme reguleringen som du vanligvis gjør.

4. Bruker du generell AI, og hvilken rolle har du i bruken?

Pliktene knyttet til forbudte systemer, høyrisiko AI og AI med spesifikke krav er stort sett knyttet til formålet systemet brukes til. Men hva da med systemer som ikke har ett spesifikt formål, men hvor samme system kan løse mange forskjellige oppgaver? Og hvor noen av disse formålene kan være høyrisiko, som visse oppgaver innen HR, mens andre er helt ufarlige, som forbedret stavekontroll. Dette gjelder for eksempel de store språkmodellene og generative AI-modellene som vi kjenner i dag.

Nettopp slik generell AI ble et forhandlingspunkt før vedtakelse av forordningen. Resultatet ble egen regulering av «general purpose AI» («GPAI»), altså AI med flere mulige formål. Reguleringen legger plikter på tilbydere av GPAI, og gir brukere og sluttbrukere rettigheter til en hel del informasjon om AI’en. Det er verdt å merke seg at du kan bli regnet som tilbyder av GPAI for eksempel ved bruk av OpenAIs API til å bygge ditt eget, generelle AI-system.

Også for GPAI pålegges det strengere plikter for systemer med høyere risiko.

5. Kartlegg hvilke plikter som gjelder for din risikoklasse eller din rolle ved bruk av GPAI

Når du vet hvilken risikokategori AI-systemet ditt tilhører, og om du er tilbyder av GPAI, kan du finne frem til hvilke plikter du må forholde deg til.

EU har lagt opp til at det vil komme mer veiledning om hvordan man skal oppfylle plikter og at det skal utarbeides tekniske standarder for hvilke krav systemene skal tilfredsstille. Vi i Bull vil skrive flere artikler om dette fremover, som også publiseres på Digi.no.

Når kommer kravene?

Norske politikere har uttalt at KI-forordningen skal innføres i Norge samtidig med EU, om mulig. Dermed vil forbudet mot visse former for AI tre i kraft 6 måneder etter kunngjøring, kravene til generell AI kommer 12 måneder etter kunngjøringen og kravene til høyrisiko-systemer først etter 36 måneder.