AI

EU AI Act: En enkel guide till EU:s nya AI-förordning  

Av Hillevi Hägglöf

EU AI Act: En enkel guide till EU:s nya AI-förordning   - eu ai act - Avega Group AB

AI-förordningen (EU AI Act) är en ny EU-gemensam lag som ska skapa gemensamma regler för utveckling och användning av AI-teknik inom EU. Målet är att skapa förtroende för AI genom att säkerställa höga skyddsnivåer för både individer och samhällen.

Förordningen, som började gälla i augusti 2024 och implementeras stegvis under de kommande två åren, ska inte bara skydda våra grundläggande rättigheter utan också stärka EU:s position som ledare inom etisk AI. Här går vi igenom vad lagen innebär och vad som är viktigt att tänka på för ditt företag.

En riskbaserad AI-strategi

Risken som AI-systemet innebär för människor och samhälle avgör hur strikt regleringen blir.

EU:s definition av AI är bred och teknikneutral, vilket betyder att reglerna gäller både traditionella maskininlärningsapplikationer men också mer kraftfulla AI-system. För att se till att framtidens AI utvecklas och används på ett ansvarsfullt sätt används en strategi som baseras på risk. Det betyder att risken som AI-systemet innebär för människor och samhälle avgör hur strikt regleringen blir.

Risken delas upp i fyra nivåer:

  1. Oacceptabel risk: Här hamnar AI-system som utgör direkta hot mot individers säkerhet och rättigheter, exempelvis social poängsättning. Dessa system förbjuds helt.
  2. Hög risk: AI-system med stor påverkan på hälsa, säkerhet eller grundläggande rättigheter, som system inom sjukvård och rättsväsende, är fortsatt tillåtna men hårt reglerade.
  3. Begränsad risk: AI-applikationer med begränsad risk är tillåtna men reglerade. Här ingår AI-applikationer som chattbotar och rekommendationssystem.
  4. Minimal eller ingen risk: Applikationer med minimal eller ingen risk, som transkriberingsverktyg eller rättstavningsprogram, får utvecklas och användas fritt utan restriktioner.

“Högrisksystem” låter kanske som något bara stora företag behöver bry sig om, men det omfattar faktiskt fler typer av applikationer än man kan tro. Ett bokningssystem kan till exempel klassas som högrisk om det påverkar tillgången till kritiska tjänster. Rekryteringsplattformar som filtrerar ansökningar kan också räknas hit eftersom de påverkar arbetssökandes framtid. Även smalare användningsområde, som mjukvara för pseudonymisering av persondata, kan hamna i kategorin högrisk.

Milstolpar för AI-förordningen

AI-förordningen trädde i kraft i augusti 2024 och implementeras stegvis under de kommande två åren. Här är de viktigaste milstolparna:

  • Februari 2025: Alla AI-applikationer med oacceptabel risk förbjuds helt.
  • Augusti 2025: Bestämmelser som rör AI-modeller för allmänna ändamål träder i kraft.
  • Augusti 2026: Från och med nu måste alla nya högrisksystem följa AI-förordningens regler, som då börjar gälla generellt.

Vissa undantag görs i AI-förordningen för specifika produkter och system som får längre tid på sig att anpassa sig efter lagstiftningen. Det gäller till exempel AI-system som redan används i storskalig IT-infrastruktur och vissa AI-modeller som redan finns på marknaden.

Vilka regler gäller?

Vilka krav som gäller för ditt företag beror på hur ni använder AI i verksamheten. Tänk på att det inte bara är de som utvecklar eller levererar AI-produkter som påverkas – även de som använder färdiga lösningar, som Microsoft Copilot, omfattas av reglerna i någon utsträckning. Ett bra sätt att förbereda sig är att inventera företagets nuvarande och planerade AI-lösningar för att bedöma risknivån.

Grundprincipen bakom AI-förordningen är enkel: ju högre risk, desto striktare krav.  Generellt kan man säga att följande områden berörs:

  • Datahantering: Här ställs krav på robusta system för hantering och förvaltning av data. Företag behöver också ha strategier för Data Governance för att säkerställa att data är korrekt och håller hög kvalitet.
  • Tillförlitlighet: Systemet måste testas för att se till att det fungerar tillräckligt bra och är pålitligt under olika förhållanden.
  • Cybersäkerhet: För att skydda känslig data behöver cybersäkerhetsåtgärder implementeras, till exempel kryptering och intrångsdetektering. Rutiner för incidenthantering och mänsklig tillsyn måste också upprättas.
  • Transparens: Användarna har rätt till tydlig information om hur AI-systemet fungerar och vilka begränsningar det har. Teknisk dokumentation behövs för att visa att reglerna följs.

För mer information om de specifika kraven finns checklistor i rapporten “AI-förordningen – en introduktion och guide” från Svenskt Näringsliv.

Genom att tidigt inventera och riskbedöma sina AI-system kan företag bättre förbereda sig för att uppfylla dessa krav. Konsekvenserna om man inte följer reglerna kan bli allvarliga: böter på upp till 6 % av företagets omsättning eller max 30 miljoner euro.

Läs mer här om Avegas tjänster inom AI och Data Governance.

Hillevi Hägglöf är Data Scientist och språkteknolog med över ett decennium av erfarenhet inom AI. Hon har särskild expertis inom kvalitetssäkring av generativ AI.

Dela