Hvad er AI Act?
I marts vedtog Europa-Parlamentet formelt det første horisontale og selvstændige rammeværk for kunstig intelligens, kendt som AI Act (AI-forordningen på dansk).
Mens EU har været noget forsigtig med implementeringen af kunstig intelligens (AI) i nogle henseender, er Europa-Parlamentet nu blevet enige om et omfattende rammeværk. Disse rammer skal regulere både udviklingen og brugen af AI.
AI-forordningen har til formål at finde en balance mellem at fremme indførelsen af AI på tværs af medlemslandene og at opretholde individers rettigheder, herunder menneskerettigheder og retten til ansvarlig, pålidelig og etisk AI.
Hvad er risikokategorierne?
AI-forordningen inddeler kunstig intelligens i tre risikoklasser: "uacceptabel", "høj" og "lav/minimal".
Det er forbudt at markedsføre, tage i brug eller bruge AI-systemer, der udgør en uacceptabel risiko. Disse omfatter AI-systemer, der er designet til subliminalt at påvirke menneskelig adfærd negativt, og dem, der udnytter sårbare individers svagheder.
Derudover er offentlige myndigheders brug af AI-systemer til at vurdere eller klassificere fysiske personers troværdighed ("social scoring") forbudt. AI-systemer må i princippet ikke bruges til biometrisk fjernidentifikation i realtid af fysiske personer i offentligt tilgængelige rum til retshåndhævelsesformål.
AI-systemer, der udgør en høj risiko for fysiske personers sundhed og sikkerhed eller grundlæggende rettigheder, kaldes "højrisiko-AI-systemer". Disse grundlæggende rettigheder omfatter menneskelig værdighed, respekt for privat- og familieliv, beskyttelse af personoplysninger, ytrings- og informationsfrihed samt forsamlings- og foreningsfrihed.
Medmindre AI-systemer anses for at være uacceptable og klassificeres som højrisiko-AI-systemer, falder de ind under kategorien lav/minimal risiko. Disse systemer er underlagt mindre strenge krav. Udbydere af sådanne systemer bør dog stadig udarbejde adfærdskodekser og opfordres til frivilligt at anvende reglerne for AI-systemer med høj risiko. Derudover kræver EU's AI Act, at selv AI-systemer med lav risiko skal være sikre, hvis de markedsføres eller tages i brug.
I betragtning af den brede definition af AI i AI-forordningen forventes det, at de fleste AI-systemer skal være i overensstemmelse med loven, når den træder i kraft.
Hvem bliver berørt?
AI-forordningen har en omfattende juridisk rækkevidde og en betydelig indvirkning på de involverede. Den vil påvirke både udbydere (udviklere) og brugere af AI-systemer. Arbejdsgivere, der betragtes som brugere af AI, vil også være underlagt de skitserede forpligtelser, når de implementerer systemer på arbejdspladsen.
Derudover vil der blive etableret nationale testordninger (kendt som sandkasser) sammen med adfærdskodekser for at sikre korrekt overholdelse af de regler, der gælder for AI-systemer til generelle formål.
Eksisterende EU-lovgivning samt sektorspecifikke EU-retsakter om produktsikkerhed vil fortsat være gældende. Overholdelse af AI-forordningen vil ikke fritage organisationer fra deres allerede eksisterende juridiske forpligtelser på disse områder.
Hvornår træder loven i kraft?
AI-forordningen er planlagt til at blive implementeret gradvist over tid. I stedet for en enkelt officiel dato vil en række datoer indføre forskellige regler og kontroller.
Forordningen blev offentliggjort i Den Europæiske Unions Tidende den 12. juli 2024 og trådte i kraft den 1. august 2024. Det betyder, at AI-forordningen nu er en del af EU's retsorden, men det betyder ikke, at bestemmelserne i loven er gældende.
EU vil i løbet af årene sikre udvikling og vedtagelse af sekundær lovgivning og retningslinjer, som skal implementeres af organisationer og offentlige myndigheder i medlemslandene.
AI-system definition
Et AI-system er et maskinbaseret system, der er designet til at fungere med varierende grader af autonomi. Det kan udvise tilpasningsevne efter ibrugtagning og, med eksplicitte eller implicitte mål, udlede af det input, det modtager, hvordan man genererer output som f.eks. forudsigelser, indhold, anbefalinger eller beslutninger, der kan påvirke fysiske eller virtuelle miljøer.
Hvad sker der nu?
Efter tilpasningen af AI-fordordningen vil der ske flere skridt, før loven træder i kraft. De mest afgørende trin er fremhævet nedenfor.
Inden for seks måneder efter ikrafttrædelsen Inden for de første seks måneder vil AI-systemer med en uacceptabel risiko blive forbudt. Eksempler på sådanne systemer er dem, der anvender subliminale teknikker uden for en persons bevidsthed eller målrettet manipulerende eller vildledende teknikker med det formål eller den virkning at forvride adfærden væsentligt (artikel 5). |
Inden for ni måneder efter ikrafttrædelsen Færdiggørelse af Codes of Practice for General Purpose AI (GPAI), som lægger vægt på industrier, der er involveret i disse spørgsmål. Dette kræver dokumentation, der demonstrerer klarhed og gennemsigtighed, og som indeholder omfattende oplysninger om risikostyring og uddannelsesprotokoller. Al-dokumentation skal være kortfattet og gennemsigtig, herunder detaljer om AI-systemernes tekniske arkitektur. |
Inden for 12 måneder efter ikrafttrædelsen GPAI-reglerne (General Purpose AI) vil blive håndhævet, hvilket kræver, at medlemsstaterne foreslår administrative bødeprocesser og etablerer kompetente myndigheder, der samarbejder med EU's AI-kontor. Kontoret vil foretage årlige gennemgange af AI-forordningens funktionalitet, herunder potentielle forbud. |
Inden for 18 måneder efter ikrafttrædelsen EU har til hensigt at tilbyde vejledning, der beskriver og kategoriserer højrisiko-AI-systemer som specificeret i artikel 6. |
Inden for 24 måneder efter ikrafttrædelsen Medlemslandene skal have etableret mindst én national AI-regulatorisk sandkasse. |
Inden for 36 måneder efter ikrafttrædelsen EU vil indføre forpligtelser vedrørende højrisiko-AI-systemer, især inden for biometri, kritisk infrastruktur, uddannelse, adgang til vigtige offentlige tjenester, retshåndhævelse, indvandring og retspleje. Derudover vil EU foretage revisioner og overveje ændringer af listen over højrisiko-AI-systemer. |
Hvad skal organisationer gøre?
På trods af at AI er udbredt på tværs af brancher, er det ofte i sektorer som sundhedspleje, finansielle tjenester og detailhandel, at man ser en tidlig indførelse.
Ikke desto mindre er det opfordres for alle organisationer, uanset branche, at udvikle en omfattende oversigt over de AI-systemer, de udvikler og anvender. Disse systemer bør kategoriseres ud fra deres risikoniveau som defineret i AI-forordningen. Hvis nogen AI-systemer falder ind under kategorierne begrænset, høj eller uacceptabel risiko, skal organisationer foretage en vurdering af konsekvenserne af AI-loven for deres aktiviteter. Det er afgørende, at man hurtigt forstår konsekvenserne og finder en passende løsning.
For mere information om, hvordan man håndterer disse udfordringer, kan organisationer kontakte KPMG eller klikke nedenfor for at få indsigt i, hvordan man navigerer i AI-forordningen.
Flere indsigter om brugen af AI
Kontakt os
Lena Ernlund Malmberg
Director, Head of Legal Transformation
KPMG i Danmark
Troels Steenstrup Jensen
Director, NextGen Operations
KPMG i Danmark
Jesper Kaasgaard
Senior Manager, Digital Risk
KPMG i Danmark
Følg os
- Find kontorer kpmg.findOfficeLocations
- kpmg.emailUs
- Social media @ KPMG kpmg.socialMedia