Sådan forbereder du dig på EU’s AI forordning
Guiden hjælper dig med at forberede din virksomhed på den kommende AI Act: EUs lovgivning om kunstig intelligens.
Udarbejdet i samarbejde mellem Bird & Bird og Dansk Industri [Publiceret 05.03.24]
Hvad er det?
EU's AI forordning repræsenterer et skelsættende skridt i retning af at regulere landskabet for kunstig intelligens. Den opstiller en omfattende ramme, der skal sikre, at AI-teknologier udvikles og bruges på en måde, der er sikker, respekterer grundlæggende rettigheder og fremmer innovation og investeringer i EU.
Hvad kræver af dig og din virksomhed?
For danske virksomheder kræver det en proaktiv tilgang at navigere i dette lovgivningsmæssige landskab, startende med en dyb forståelse af forordningens bestemmelser, omfang og de forpligtelser, den pålægger AI-systemudbydere, -udviklere og -brugere.
Hvem vil være underlagt forordningen?
EU’s AI forordning er designet til at regulere både offentlige og private aktører, uanset om de er baseret i eller uden for EU, så længe AI-systemet er placeret på EU-markedet, eller dets brug påvirker mennesker i EU.
Denne brede anvendelighed betyder, at en lang række virksomheder og firmaer, der bruger AI, vil være underlagt forordningen, herunder:
- Udbydere af AI-systemer: Dette omfatter udviklere af AI-teknologier, såsom dem, der skaber algoritmer til CV-screening, ansigtsgenkendelse eller andre AI-applikationer med høj risiko. Disse udbydere skal sikre, at deres systemer lever op til forordningens standarder for sikkerhed, gennemsigtighed og ansvarlighed, før de kan markedsføres eller tages i brug i EU.
- Implementering af AI-systemer: Enheder, der bruger AI-systemer i deres drift, såsom banker, der bruger AI til kreditscoring, eller virksomheder, der bruger AI til HR-formål som screening af jobansøgninger, er også reguleret. De skal sikre, at de AI-systemer, de bruger, overholder forordningens krav med fokus på højrisikoapplikationer.
- Importører af AI-systemer: Importører skal kontrollere, at AI-systemer, der leveres fra udlandet, har gennemgået de relevante overensstemmelsesvurderingsprocedurer, er forsynet med en europæisk overensstemmelsesmærkning (CE) og er ledsaget af den nødvendige dokumentation og brugsanvisning.
- Udbydere af AI-modeller til generelle formål: Forordningen indeholder specifikke forpligtelser for udbydere af AI-modeller til generelle formål, herunder store generative AI-modeller, på grund af de potentielle systemiske risici, der er forbundet med disse teknologier. Udbydere af gratis og open source-modeller er dog for det meste undtaget fra disse forpligtelser, undtagen når det drejer sig om AI-modeller til generelle formål, der indebærer systemiske risici.
Kategorisering af AI-systemer
EU's AI-lov kategoriserer AI-systemer baseret på det risikoniveau, de udgør, fra minimal til uacceptabel risiko, og pålægger tilsvarende forpligtelser til at håndtere disse risici. AI-systemer med høj risiko, som kan have en betydelig indvirkning på menneskers sikkerhed eller grundlæggende rettigheder, er underlagt strenge krav, herunder overensstemmelsesvurderinger, gennemsigtighed og robusthedskontrol.
Her er en oversigt over de forskellige risikoniveauer
- Uacceptabel risiko: AI systemer, der anses som uacceptable og dermed forbudte at udvikle og udbyde i Europa. Dette inkluderer bl.a. social scoring til offentlig og private formål, udnyttelse af sårbarheder hos personer, biometrisk profilering af personer.
- Høj risiko: AI-systemer, der har med kritisk infrastruktur og påvirkning af grundlæggende rettigheder, fx når AI anvendes til at udpege bestemte individer til rekruttering i ledige stillinger, lovovertrædelser eller asyl. Der udarbejdes en liste over anvendelsestilfælde, som betragtes som højrisiko.
- Begrænset risiko: AI-systemer som personlige assistenter og AI i reklame. Langt størstedelen af de AI-systemer, der i øjeblikket anvendes i EU, falder ind under denne kategori. Dvs. alle andre AI-systemer, der hverken er forbudte eller høj risiko kan udvikles og anvendes i overensstemmelse med eksisterende lovgivning uden yderligere juridiske forpligtigelser. Udbydere af disse systemer kan frivilligt vælge at overholde frivillige adfærdskodeks.
Hvad med generelle AI-modeller?
Generelle AI-modeller, herunder store generative AI-modeller, kan bruges til forskellige opgaver. Individuelle modeller kan integreres i et stort antal AI-systemer.
Det er vigtigt, at en udbyder, der ønsker at bygger videre på en generel AI-model (fx GPT eller Lama), har alle de nødvendige oplysninger for at sikre, at deres system er sikker og i overensstemmelse med AI-forordningen.
AI-forordningen pålægger derfor udbydere af sådanne modeller at offentliggøre visse oplysninger til downstream-systemudbydere.
Tjekliste
Her er en tjekliste over emner, du bør tage stilling til i forbindelse med AI-forordningen.
Inventarliste og kategorisering
Oprettelse af inventarliste: Virksomheder skal begynde med at katalogisere alle AI-modeller og -systemer, der er i brug i øjeblikket. Denne opgørelse fungerer som hjørnestenen til at identificere, hvilke AI-systemer der kan blive påvirket af forordningen, og forstå omfanget af den potentielle eksponering.
Risikokategorisering: Efter opgørelsen skal hvert AI-system vurderes og kategoriseres ud fra den risiko, det udgør, i overensstemmelse med forordningens risikobaserede tilgang. Denne kategorisering vil afgøre niveauet af lovgivningsmæssig kontrol og de krav, som hvert system skal opfylde.
Rammer for compliance
Juridisk og etisk compliance: Udvikle en omfattende ramme, der indeholder både etiske retningslinjer og juridiske compliance-foranstaltninger, der er skræddersyet til kravene i EU's AI-forordning.
Gennemgang af virksomhedens kontrakter, der handler om udvikling og brug af AI-systemer, deres licensering og især det materiale, som AI-modellerne trænes på. Se guiden til AI og IPR her.
Undersøgelse af, hvordan virksomhedens brug af AI-systemer overholder anden lovgivning som GDPR, markedsføringsregler og sektorspecifik regulering.
Denne ramme bør omfatte principper for retfærdighed, ansvarlighed og gennemsigtighed i AI-applikationer.
Ledelsesstrukturer
Etablering af klare ledelsesstrukturer er afgørende for at føre tilsyn med AI-systemernes etiske og juridiske compliance. Det indebærer at definere roller og ansvar i organisationen for AI-tilsyn, beslutningsprocesser og overholdelse af AI-forordningen.
Dokumentation og rapportering
Dokumentation: Vedligehold detaljeret dokumentation for alle AI-systemer, herunder beskrivelser af AI-modellen, anvendte datasæt, udviklings- og træningsmetoder, risikovurderinger og compliance-foranstaltninger. Denne dokumentation er afgørende for at demonstrere compliance over for tilsynsmyndigheder og interessenter.
Gennemsigtighed og offentliggørelse: Udvikle politikker for gennemsigtighed og offentliggørelse, der sikrer, at information om AI-systemer og deres funktion er tilgængelig. Dette omfatter mekanismer, der gør det muligt for brugerne at forstå, hvordan AI-beslutninger træffes, og at udfordre disse beslutninger, hvis det er nødvendigt.
Overvågning og tilpasning
Løbende overvågning: Implementer systemer til løbende overvågning af AI-applikationer for at opdage og håndtere eventuelle afvigelser fra rammerne for overholdelse. Dette omfatter overvågning af bias, diskrimination eller andre negative resultater.
Tilpasning til lovgivningsmæssige ændringer: AI-reguleringslandskabet er under udvikling. Virksomheder skal holde sig informeret om ændringer i AI-forordningen og andre relevante regler og tilpasse deres praksis og rammer for overholdelse i overensstemmelse hermed.
Da EU's AI-forordning vil henvise til etablerede eller udviklende industristandarder og praksisser for udvikling og brug af AI-systemer, især hvad angår sikkerhed, interoperabilitet og gennemsigtighed, bør virksomheder overvåge eksisterende og udviklende standarder inden for AI-industrien.
Inddragelse af interessenter og kapacitetsopbygning
Uddannelse og bevidstgørelse: Gennemfør træningsprogrammer for medarbejdere på alle niveauer for at sikre, at de forstår AI-forordningens implikationer og deres roller i at sikre overholdelse. Det indebærer også at øge bevidstheden om etisk brug af AI og fremme en ansvarlighedskultur.
Samarbejde med lovgivere og brancheorganisationer: Gå aktivt i dialog med tilsynsmyndigheder, brancheorganer og standardsættende organisationer. Deltagelse i fora, workshops og konsultationer kan give indsigt i bedste praksis for compliance og nye tendenser inden for AI-regulering.
Etisk udvikling af AI
Etiske retningslinjer for kunstig intelligens: Ud over at overholde forordningen bør virksomheder sigte mod at udvikle kunstig intelligens på en etisk måde, der respekterer menneskerettighederne, fremmer samfundets trivsel og bidrager positivt til almenvellet. Dette indebærer at etablere etiske AI-retningslinjer, der går ud over de juridiske krav.
Konsekvensanalyser: Gennemfør regelmæssige konsekvensanalyser for at evaluere de samfundsmæssige, etiske og miljømæssige konsekvenser af AI-systemer. Disse vurderinger kan hjælpe med at identificere potentielle skader og udvikle afbødningsstrategier.