Hva er EU AI Act?

EU AI Act er verdens første omfattende lovgivning for kunstig intelligens, vedtatt av EU i mars 2024. Loven etablerer et risikobasert rammeverk som klassifiserer AI-systemer etter potensielle skadevirkninger og stiller strengere krav jo høyere risiko systemet utgjør. For Norge gjelder EU AI Act gjennom EØS-avtalen.

Kort forklart EU AI Act er EUs nye AI-lov som klassifiserer AI-systemer etter risiko – fra forbudt til minimal risiko – og stiller krav til sikkerhet, transparens og menneskerettigheter. Den gjelder for alle som utvikler eller bruker AI i EU og EØS.

Risikonivåene

Uakseptabel risiko – forbudt

Noen AI-systemer er helt forbudt fordi de anses som en uakseptabel trussel mot grunnleggende rettigheter. Sosial scoring av borgere der AI-systemer som rangerer mennesker basert på sosial adferd etter kinesisk modell er forbudt. Biometrisk masseovervåking i sanntid der sanntids ansiktsgjenkjenning i offentlige rom er forbudt, med begrensede unntak for alvorlig kriminalitet. Emosjonell manipulasjon der AI-systemer som utnytter sårbarhet for å manipulere adferd er forbudt. Underbevisst påvirkning der AI-teknikker som påvirker folk uten at de er klar over det er forbudt.

Høy risiko – strengt regulert

AI-systemer med potensielt betydelig innvirkning på folks liv er underlagt strenge krav. Bruksområder klassifisert som høyrisiko inkluderer ansettelse og rekruttering med AI-systemer som screener CV-er eller vurderer kandidater, kredittvurdering med AI som beslutter om du får lån eller forsikring, utdanning med AI som vurderer studenter eller bestemmer opptakk, rettsvesen med AI som brukes i risikovurdering eller bevisbedømmelse, kritisk infrastruktur med AI som styrer strømnett, vannforsyning eller transport, og medisinsk utstyr med AI-systemer klassifisert som medisinsk utstyr.

For høyrisiko-systemer kreves risikovurdering med systematisk identifisering og håndtering av risikoer, datakvalitet der treningsdata må være representative, relevante og frie for skjevheter, teknisk dokumentasjon med detaljert dokumentasjon av systemets funksjon og begrensninger, menneskelig oversikt der mennesker må kunne overstyre AI-beslutninger, transparens der brukere informeres om at de interagerer med AI, nøyaktighet og robusthet med testing for å sikre pålitelig ytelse, og logging med registrering av AI-systemets aktivitet for etterprøvbarhet.

Begrenset risiko – transparenskrav

AI-systemer med moderat risiko har primært transparenskrav. Chatboter der brukere må informeres om at de snakker med en AI. Deepfakes der AI-generert innhold som utgir seg for å være ekte må merkes. Emosjonell gjenkjenning der brukere må informeres om at deres emosjoner analyseres.

Minimal risiko – ingen spesielle krav

De aller fleste AI-systemer faller i denne kategorien og har ingen spesielle krav utover eksisterende lovgivning. Spam-filtre, AI i dataspill, AI-assistenter for enkel tekstgenerering og de fleste forbrukerrettede AI-verktøy er i denne kategorien.

Krav til grunnmodeller

EU AI Act har egne regler for grunnmodeller (foundation models) og generativ AI som GPT-4, Claude og Gemini. Alle grunnmodeller må dokumentere treningsprosess og energibruk, implementere opphavsrettsoverholdelse, og publisere et sammendrag av treningsdataen.

Grunnmodeller med «systemisk risiko» – modeller med stor beregningskapasitet eller mange brukere – har tilleggskrav om modell-evaluering, risikovurdering og hendelsesrapportering.

Tidslinje

EU AI Act implementeres trinnvis. Forbud mot uakseptabel risiko trer i kraft 6 måneder etter vedtak. Krav til grunnmodeller og generativ AI trer i kraft 12 måneder etter vedtak. Krav til høyrisiko-systemer trer i kraft 24–36 måneder etter vedtak. Full implementering er komplett innen 2027.

For norske bedrifter betyr dette at de har tid til å forberede seg, men bør starte nå med å kartlegge sin AI-bruk.

Håndhevelse og straffer

Brudd på EU AI Act kan gi betydelige bøter. Bruk av forbudt AI gir bøter på opptil 35 millioner euro eller 7 % av global omsetning. Brudd på høyrisiko-krav gir bøter på opptil 15 millioner euro eller 3 % av global omsetning. Feil informasjon til myndigheter gir bøter på opptil 7,5 millioner euro eller 1,5 % av global omsetning.

Hvert EU/EØS-land utpeker nasjonale tilsynsmyndigheter for håndhevelse. I Norge er det foreløpig ikke avklart hvilken myndighet som får hovedansvaret, men Datatilsynet og Nkom er sannsynlige kandidater.

Hva betyr dette for norske bedrifter?

Kartlegg AI-bruken

Start med å inventarliste alle AI-systemer i bruk – fra ChatGPT-bruk blant ansatte til AI-drevne beslutningssystemer. Klassifiser hvert system etter AI Acts risikonivåer.

Vurder høyrisiko-systemer

Hvis dere bruker AI i ansettelse, kredittvurdering, kundevurdering eller andre høyrisiko-bruksområder, må dere forberede compliance med de strenge kravene. Start med risikovurdering og dokumentasjon.

Implementer transparens

Sørg for at kunder og brukere informeres når de interagerer med AI. Merk AI-generert innhold der det er relevant.

Bygg kompetanse

Sørg for at relevante ansatte forstår AI Act-kravene og kan vurdere om AI-systemer er compliant.

Følg med på utviklingen

AI Act er ny og detaljene rundt implementering vil bli klarere over tid. Følg veiledning fra EU-kommisjonen, Datatilsynet og bransjeorganisasjoner.

EU AI Act vs. GDPR

EU AI Act og GDPR utfyller hverandre. GDPR regulerer persondata uavhengig av teknologi – den gjelder for all databehandling, inkludert AI. AI Act regulerer AI-systemer spesifikt med fokus på sikkerhet, transparens og menneskerettigheter.

For AI-systemer som behandler persondata gjelder begge lovene samtidig. En AI-drevet ansettelsesprosess må overholde GDPR for databehandlingen og AI Act for AI-systemets sikkerhet og rettferdighet.

Internasjonal kontekst

EU AI Act er den mest ambisiøse AI-lovgivningen globalt, men andre regioner har sine tilnærminger. USA har ingen føderal AI-lov men sektorbasert regulering og executive orders. Kina har spesifikke lover for anbefalingsalgoritmer, deepfakes og generativ AI. Storbritannia har valgt en sektorbasert tilnærming uten overordnet AI-lov. Canada utvikler Artificial Intelligence and Data Act (AIDA).

EUs tilnærming forventes å sette en global standard – lignende «GDPR-effekten» der selskaper globalt tilpasser seg EU-krav fordi det er enklere enn å ha separate systemer.