Enighet om et endelig utkast til AI-lovgivning
På tampen av 2023 ble Europaparlamentet og Rådet for den europeiske union enige om et endelig utkast til AI Act. Den nye forordningen skal for første gang gi en omfattende juridisk ramme for utvikling og bruk av kunstig intelligens.
Før det nye regelverket trår i kraft må EU-organene formelt vedta innholdet, og den må også publiseres i «Official Journal of the European Union».
Krevende å bli enige
EU-organene hadde utfordringer med å bli enige om særlig to temaer. Det første handlet om hvilken bruk av AI som skal forbys. Her var det særlig omstridt om EU-landene skal ha lov til å bruke biometrisk identifikasjon i overvåkning, slik som teknologi for ansiktsgjenkjenning. Politikerne ble enige om et snevert unntak for bruk av slike systemer i offentlige rom for rettshåndhevelsesformål.
Det andre handlet om det skulle gjelde egne regler for særlig kraftige AI-modeller som står bak språktjenester som ChatGPT og bildeverktøy som DALL-E. Mange anser denne AI-teknologien for å ha det største potensialet i markedet i dag, samtidig ville de falt utenfor reguleringen slik den først var foreslått. Etter utviklingen disse AI-modellene har hatt de siste årene, har mange vært bekymret for risikoer knyttet til opphavsrett, åpenhet og dataen som brukes til å trene modellene. Etter en omfattende debattrunde ble det enighet om å regulere de såkalte «General Purpose AI»-systemene (GPAI) i AI Act.
Detaljene er ikke kjent, men i en pressemelding nevner Europaparlamentet at GPAI som utgjør tilstrekkelig høy risiko blant annet kan bli underlagt krav om teknisk dokumentasjon, rapportering om energieffektivitet og cybersikkerhet.
Startskuddet for helt ny bruk av AI
Enighet rundt utkastet representerer startskuddet for et nytt år der mange virksomheter vil fortsette arbeidet med AI. 2023 bar preg av økt fokus på kunstig intelligens og utforskingen av det. Mange virksomheter holdt seminarer og workshops der tema var muligheter som ligger i teknologien og hvordan den kan utnyttes best mulig for den enkelte arbeidsplass. Ikke minst ble Microsoft Copilot begynt rullet ut og flere er nå i gang med å utforske mulighetene som kommer med det.
Vi erfarer at mange begynner å legge mer konkrete planer for hvordan de skal bruke AI i virksomheten. Der 2023 var året for utforsking, blir 2024 året for å teste og sette planene til livs – enten det er snakk om å teste AI i pilotprosjekter eller ta det i bruk på tvers av virksomheten. Uavhengig av hvilken måte det brukes, er det viktig å ha et bevisst og aktivt forhold til hvilke lovkrav som gjelder og hvordan virksomheten styres i lys av bruken.
Nå som AI Act begynner å nærme seg vedtatt må alle gjøre seg klare for å møte nye krav. Det endelige utkastet er enda ikke publisert, men vi vet allerede noe om hovedinnholdet og kan derfor begynne å se for oss hva vi bør forberede oss på.
Nye regler gir nye plikter
AI Act følger en risikobasert tilnærming der AI-systemer klassifiseres på fire risikonivåer. Noen bruksområder for AI-systemer forbys, mens andre blir underlagt ulike krav basert på risikonivå. Det blir avgjørende å forstå hvilket risikonivå et AI-system tilhører fordi det vil ha direkte innvirkning på hvordan virksomheten må håndtere og overvåke det.
De økonomiske konsekvensene av å ikke følge kravene er for eksempel bøter på inntil 35 millioner euro eller syv prosent av den globale omsetningen. Å ha god kontroll på rettslige forpliktelser er viktig for effektiv risikostyring, men ikke minst handler det om å ivareta et godt omdømme og en posisjon som en pålitelig aktør.
Ulike former for risiko
Uakseptabel risiko
Da EU-organene vurderte hvilke AI-bruksområder som skulle forbys, så de på hva som utgjorde en uakseptabel risiko for individuelle rettigheter og demokratiet. Bruksområder som klassifiseres med uakseptabel risiko er blant annet AI-systemer som utnytter sårbare grupper eller benytter «social scoring».
Eksempler på slike systemer er systemer som kategoriserer personer basert på sensitive opplysninger (f.eks. politisk eller religiøs tilhørighet, seksuell orientering osv.), og systemer som rangerer personer basert på adferd og sosioøkonomisk status.
Disse reglene vil tre i kraft kun seks måneder etter AI Act blir vedtatt formelt – noe som vil kunne skje allerede i løpet av første halvdel av 2024.
Høy risiko
Et AI-system som klassifiseres som høy risiko må følge omfattende krav både i utviklings- og bruksfasen. Det vil blant annet bli obligatorisk å gjennomføre en konsekvensvurdering av grunnleggende rettigheter.
Vi vet enda ikke nøyaktig hva formuleringen for «høy risiko» er her, men det antas at det vil følge en utfyllende liste når loven vedtas. Det vi uansett vet, er at et AI-system alltid vil betraktes som høy risiko når de er pålagt CE merking under annen EU-lovgivning. Høy kvalitet på datasett, logging, dokumentasjon, cybersikkerhet og menneskelig overvåkning er eksempler på krav vi regner med blir inkludert i lovgivningen.
Minimal risiko
De fleste AI-systemer som utgjør liten eller ingen risiko vil mest sannsynlig ikke bli underlagt noen spesielle plikter med AI Act. Disse er for eksempel anbefalingssystemer, slik som når en strømmetjeneste gir deg anbefalinger om hvilken film du bør se, og spamfiltre som filtrerer ut uønsket e-post i innboksen din.
Risiko knyttet til transparens
Noen AI-systemer som interagerer med mennesker eller genererer innhold utgjør en begrenset risiko som i hovedsak handler om transparens – om bruker eller mottaker kan identifisere om innholdet er laget av et AI-system. Derfor vil det mest sannsynlig stilles krav om informasjon til brukere og om merking av innhold for slike systemer.
Tilpasning til AI Act
Vi anbefaler virksomheter som allerede er i gang med å utvikle eller bruke kunstig intelligens, eller som planlegger å gjøre det, å vurdere om selskapet vil bli omfattet av AI Act når den trer i kraft. Alle som omfattes bør begynne tilpasningsprosessen allerede nå.
Det kan være hensiktsmessig å benytte en steg-for-steg tilnærming, for eksempel:
1. Fastsett selskapets risikotoleranse for utvikling, innkjøp og bruk av AI-systemer
2. Kartlegg og lukk eventuelle gap i eksisterende styringsstrukturer, inkludert utvikling, innkjøp, risikostyring, overvåkning, IKT-sikkerhet og datahåndtering
3. Sørg for at ansatte som jobber med AI har nødvendig opplæring i virksomhetens retningslinjer og regulatoriske krav.
Spørsmål om AI Act?
Julie Lossius Husum
Assistant Manager | Advokatfullmektig
KPMG Law Advokatfirma AS
Christina Thømt Fallang
Associate | Cyber & Security
KPMG i Norge
Steve Contreras
Senior Associate | Advokatfullmektig
KPMG Law Advokatfirma AS
Ta kontakt med vårt AI-senter
Vi har mange rådgivere som engasjerer seg for ny teknologi og kunstig intelligens. De jobber alle med hvordan vi kan bruke nye verktøy best mulig for å nå forretningsmål. Noe du lurer på? Her er noen av dem du kan snakke med om AI i din virksomhet.
Tom Einar Nyberg
Partner | Head of Data, AI & Emerging Technology
KPMG i Norge
Esther Amalie Voktor Borgen
Director | Produkteier og prosjektleder
KPMG i Norge
Mats Myhrvold Bjerke
Manager | Digital Lighthouse
KPMG i Norge