What Is the EU's Artificial Intelligence Act - and Why Do You Need to Get Ready Now?
- marts 11, 2024
Vidste du, at 64% af virksomhedsejere mener, at AI har potentiale til at styrke kunderelationerne? Og at over 60% af virksomhedsejere mener, at AI kan øge produktiviteten?
Men vidste du også, at 70% af forbrugerne enten er meget bekymrede eller noget bekymrede over virksomheders brug af AI-værktøjer?
Mikset af potentiale og bekymringer er grunden til, at organisationer er nødt til at bruge AI ansvarligt og gennemsigtigt. Og det er grunden til, at vi er nødt til at regulere deres brug af AI-systemer til kunstig intelligens og general-purpose AI-modeller.
Det er også din grund til at dykke ned i dette blogindlæg, da vi besvarer alle de vigtigste spørgsmål – ikke mindst 1000 kroner-spørgsmålet ‘hvorfor’:
Hvordan skelner AI-forordningen mellem forskellige typer AI?
Overordnet set skelner AI-forordningen mellem AI-systemer, General-Purpose AI-modeller (GPAI) og GPAI-systemer.
I AI-forordning er et AI-system defineret som:
“Et maskinbaseret system, der er designet til at fungere med forskellige niveauer af autonomi, og som kan udvise tilpasningsevne efter implementering, og som, for eksplicitte eller implicitte mål, udleder fra det input, det modtager, hvordan man genererer output såsom forudsigelser, indhold, anbefalinger eller beslutninger, der kan påvirke fysiske eller virtuelle miljøer.” (ComplyClouds oversættelse)
Et eksempel på et AI-system kunne være et system til selvkørende biler baseret på maskinlæring eller et maskinlæringsbaseret system, der kan forudsige diagnoser.
Omvendt er en GPAl defineret som:
“En AI-model, herunder når den trænes med en stor mængde data ved hjælp af selvtilsyn i stor skala, der viser betydelig generalitet og er i stand til kompetent at udføre en bred vifte af forskellige opgaver, uanset hvordan modellen markedsføres, og som kan integreres i en række downstream-systemer eller applikationer. Dette dækker ikke AI-modeller, der bruges til forskning, udvikling og prototyping, før de frigives på markedet.” (ComplyClouds oversættelse)
Eksempler på en GPAI er ChatGPT eller Copilot.
Et GPAI-system et AI-system, der er baseret på en general-purpose AI-model. Det har evnen til at tjene en række forskellige formål, både til direkte brug og til integration i andre AI-systemer.
Hvad er de forskellige risikoniveauer indenfor AI?
AI-forordning skelner mellem 4 niveauer af AI-systemer baseret på den risiko, de udgør. De 4 niveauer er:
- Forbudt AI
- High-risk AI
- AI med begrænset risiko
- AI med minimal risiko.
Hvem er omfattet af AI-forordningen?
AI-forordningen omfatter for dem, der har til hensigt at markedsføre high-risk AI-systemer med eller tage dem i brug i EU – uanset om operatørerne er baseret i EU eller i et tredjeland.
Mere specifikt skelner AI-forordningen mellem:
Udbydere af AI-systemer eller general-purpose-modeller
Juridisk eller psykisk person, der udvikler eller tilbyder AI-systemer eller AI-modeller til generelle formål på det europæiske marked.
Brugere af AI-systemer
Juridisk eller fysisk person, der bruger AI-systemer i en professionel sammenhæng.
Importører af AI-systemer
Operatør, der importerer AI-systemer, der tilbydes af organisationer uden for EU.
Distributører af AI-systemer
Andre slutudbydere og importører, der gør AI-systemer tilgængelige i EU.
Distributører af AI-systemer
Andre slutudbydere og importører, der gør AI-systemer tilgængelige i EU.
Autoriserede repræsentanter
Juridisk eller psykisk person, der har fået og accepteret et skriftligt mandat fra en udbyder af et AI-system eller en AI-model.
Anvendelsesområdet for EU’s AI-forordning er også ekstraterritorialt, hvilket betyder, at den gælder for organisationer uden for EU. Det omfatter fx udbydere fra tredjelande, som bruger output fra AI-systemet inden for EU.
Med hensyn til AI-forordningens anvendelsesområde er der også enheder, der er udelukket fra forordningen. Disse er:
- National sikkerhed
- Militær og forsvar
- Forskning og udvikling
- Open source-software (delvist).
Hvornår skal du overholde AI-forordningen?
Europa-Kommissionen har annonceret forskellige deadlines for, hvornår organisationer skal overholde EU’s AI-forordningen.
‘Nedtællingen’ til disse tidsfrister starter fra den dato, hvor lovgivningen træder i kraft. Tidsfristerne er:
- 6 måneder for forbudt AI
- 12 måneder for GPAI
- 24 måneder for high-risk AI (under bilag III)
- 36 måneder for high- AI (under bilag II)
- Adfærdskodekser skal være klar 9 måneder efter ikrafttrædelsen.
Så i modsætning til EU’s implementering af GDPR vil forordningens dato for ikrafttrædelse ske over tid afhængigt af typen af AI-system eller GPAI.
Disse løbende deadlines er, fra vores synspunkt, en hjælpende hånd til organisationer: Vi behøver ikke at gætte på, hvordan vi skal prioritere overholdelse af hvert risikoniveau – EU har allerede gjort prioriteringen klar og realistisk for os. Det giver os også mulighed for at forberede os, lære og tilpasse os løbende.
Endelig har EU en forpligtelse med hensyn til adfærdskodeks, som:
- Skal være klar 9 måneder efter vedtagelsen af AI-forordningen
- Skal understøtte compliance med AI-forordningen
- Vil blive lavet af AI Office.
Hvad er sanktionerne?
- Op til 7% af den globale årlige omsætning eller 35 millioner euro for at bryde reglerne om forbudte AI-systemer.
- Op til 3% af den globale årlige omsætning eller 15 millioner euro for andre overtrædelser.
- Op til 1,5 % af den globale årlige omsætning eller 7,5 millioner euro for at give ukorrekte oplysninger til bemyndigede organer og nationale kompetente myndigheder.
Bemærk, at når bøderne beregnes, skal der tages hensyn til, om virksomheden er en SMV eller startup.
Snup vores 'fact sheet' om AI Act
Vil du forstå EU’s AI Act på bare fem minutter?
Hvem kan 'slå alarm'?
Det europæiske AI Office og AI Board er oprettet for at sikre en korrekt implementering af reglerne.
Nationale myndigheder vil håndhæve AI-forordningen på medlemslandsniveau.
Enhver person vil kunne indgive klager over manglende compliance med AI-forordningen.
Hvorfor skal du forberede din på AI-forordningen nu?
Nu, hvor vi har dækket alt det grundlæggende, ved vi også, at vi er nødt til at tale om elefanten i rummet:
Hvorfor skal du forberede dig til en forordning, som vi ikke har set den endelige version af?
Det er der to grunde til.
Årsag #1: De fleste virksomheder bruger allerede AI-værktøjer
Vi ved, at AI-værktøjer allerede er populære og bliver brugt flittigt af virksomheder i dag. Det fik vi også bekræftet på vores første ComplyCloud-webinar om EU’s AI-forordning i februar 2024, hvor vi spurgte vores 263 deltagere, om de bruger AI i dag. 71% svarede ja.
Så at forberede sig på AI-forordningen er ganske enkelt den rigtige og ansvarlige ting at gøre – også ud fra et økonomisk synspunkt. Det er værd at overveje de AI-værktøjer, du planlægger at implementere nu – det kan være spild af tid og penge, hvis de i AI-forordningen bliver ulovlige eller medfører en høj risiko.
Årsag #2: Krydsfelt mellem AI-forordningen og GDPR
Der er et krydsfelt mellem GDPR og AI-forordningen, da kortlægning og vurdering af AI-systemer allerede er en del af dine GDPR-forpligtelser. Vi har allerede set dette i praksis, da Datatilsynet har svaret på to forespørgsler – én fra en kommune og én fra en privat virksomhed, som ønskede at bruge AI-værktøjer til at behandle personoplysninger.
Fra vores synspunkt er disse forespørgsler, og hvordan Datatilsynet har reageret på dem, en stærk indikator for den bevidsthed, der allerede findes om brugen af AI-værktøjer – på trods af den manglende regulering.
På falderebet: Visdomsord fra vores CEO
Kunstig intelligens og EU’s AI-lov kom hurtigt på alles læber. Men før vi lader os ‘rive med’, bør vi alle reflektere over betydningen af ‘gennemsigtighed’ i en bredere kontekst end blot en teknisk kontekst.
Det har vores CEO Martin Folke Vasehus gjort i dette blogindlæg – og vi foreslår, at du dykker ned i hans visdomsord.
Dyk ned i vores CEO-indlæg om EU's AI Act
Synes du også, at lovgivning og transparens bør gå hånd i hånd?
