Användningen av generativa AI-lösningar har ökat lavinartat sedan Open AI:s chatrobot ChatGPT blev tillgängligt för envar i slutet av november 2022. Därefter har fler generativa AI-system lanserats, däribland Microsofts Copilote Enterprise och Googles Gemini. Gemensamt för dessa chatrobotar är att de kan underlätta vårt dagliga arbete avsevärt genom att till exempel leverera alla möjliga slags texter vi ber den om, spetsa till ditt personliga CV, sammanfatta långa patent och rapporter, ge förslag på artiklar eller skriva kod för att skapa program och webbsidor. Helt klart är att användningen av olika generativa AI-system kan vara till stor hjälp och leda till ökad produktivitet för våra företag.
Samtidig har användningen av AI lett till het debatt. Vilken information får man mata en generativ AI-lösning med? Vem har ansvaret och kontrollen för att AI inte genererar kränkande, felaktig eller missvisande information? Vad har vi för säkerhet? Hur skyddar vi människors integritet? Dessa övergripande frågor sammanfattar bakgrunden till varför EU-kommissionen tagit fram den nya AI-förordningen, världens första heltäckande AI-lagstiftning. Det huvudsakliga syftet med AI-förordningen är att fastställa harmoniserade regler för att tillhandahålla tillförlitliga AI-system och säker användning av systemen inom EU. Samtidigt ska AI-förordningen se till att grundläggande mänskliga rättigheter och juridiska rättsprinciper skyddas.
AI-förordningen kommer att reglera företags användning av AI-system
Användningen av artificiell intelligens i EU kommer att regleras av AI-förordningen. Det innebär att i stort sett alla som på något sätt i sin verksamhet har med AI att göra kommer att påverkas, dvs. företag som utvecklar AI-verktyg, företag som inkorporerat AI i sin produkt/tjänst, företag som köpt färdiga AI-system av en leverantör eller tillverkare. Även importörer av AI-system framtagna utanför EU men vars resultat ska användas inom EU träffas. Det enda undantaget från lagen är personlig och icke professionell användning samt användning där syftet endast är forskning och innovation eller om det handlar om nationella säkerhetsändamål.
Ett riskbaserat regelverk
AI-förordningen är ett s.k. riskbaserat regelverk. Det betyder att lagreglerna fastställer skyldigheter för leverantörer och användare beroende på den risknivå som AI kan generera. De olika risknivåerna är oacceptabel risk (förbjuden AI), hög risk och begränsad/låg risk. Även om många AI-system utgör en minimal risk måste de genomgå en bedömning.
Förbjuden AI är sådana AI-system som anses utgöra ett hot mot människor, t ex kognitiv beteendemanipulation av personer eller specifika sårbara grupper, social poängsättning utifrån personlighet, biometrisk identifiering och kategorisering av fysiska personer. Här går att jämföra med GDPR:s regler om behandling av personuppgifter.
Högrisk AI-system innefattar AI-system som har en negativ påverkan på vår säkerhet och våra grundläggande rättigheter. Högrisk AI-system delas in i två grupper; AI-system som används i produkter som träffas av EU:s produktsäkerhetslagstiftning (leksaker, flyg, bilar, medicinska produkter och hissar) och AI-system som faller inom vissa specifika områden och som kommer att behöva registreras i en EU-databas, t ex hantering och drift av kritisk infrastruktur, brottsbekämpning, hantering av migration, asyl och gränskontroll. AI-system med hög risk behöver alltså uppfylla vissa krav. De är inte förbjudna, men på grund av att de kan medföra allvarliga konsekvenser för enskilda behöver höga krav ställas på hur systemen utformats. Därför kommer företag som använder sig av högrisk AI-system behöva tillsätta en ”governance” struktur som många känner igen från GDPR. Det kommer alltså ställas krav på att införa s k ”notification requirements” vilket innebär att om risk föreligger måste företaget rapportera till såväl en AI myndighet som sin Data Protection Authortity.
Medborgare inom EU kommer även ha rätt att lämna in klagomål och få förklaringar om beslut som baseras på AI-system med hög risk och som påverkar deras rättigheter. AI-system med hög risk ska bedömas dels innan de släpps ut på marknaden, dels löpande därefter för att säkerställa att de fortsättningsvis uppfyller kraven i AI-förordningen. Tanken bakom detta är att säkerställa att det alltid finns en mänsklig påverkan på AI-system som hindrar att maskiner tar över människor (men over machine always).
Exempel på AI-system med begränsad/låg risk är just den populära generativa AI, som ChatGPT. Generativ AI klassas inte som högrisk, men måste uppfylla krav på transparens och upphovsrättslig lagstiftning inom EU. En tillverkare/ägare ska till exempel tydliggöra att innehållet genererats av AI och se till att AI-systemet är utformat på så sätt att olagligt innehåll inte genereras. Innehåll som antingen genereras eller modifieras med hjälp av AI - bilder, ljud eller videofiler (deepfakes) ska märkas som AI-genererat så att användare är medvetna om när de stöter på sådant innehåll. Här kan jämföras med bestämmelserna i marknadsföringslagen vad gäller reklambudskap. Ingen ska bli lurad av vad vi ser.
När börjar reglerna i AI-förordningen gälla?
Den 19 april i år röstade Europaparlamentet ja till en preliminär text för den nya AI-förordningen. Innebär det att vi har en slutlig version av lagtexten? Nej, inte än. Först måste texten språkgranskas och översättas så troligtvis dröjer det några veckor till innan vi har en slutgiltig text. Först då kan vi med säkerhet säga när de olika bestämmelserna blir tillämpliga. Dock kan man redan nu säga att bestämmelserna avseende oacceptabel / förbjuden AI kommer att träda i kraft sex månader efter att vi har en slutgiltig lagtext, dvs. det kommer att ske före årsskiftet 2024/2025. Bestämmelserna om generativ AI (låg risk) träder i kraft 12 månader efter antagandet, dvs. med största sannolikhet sommaren 2025. Reglerna för högrisk AI-system träder i kraft 24 månader efter antagandet, dvs. troligtvis sommaren 2026. Dock kan det vara till många företags fördel att börja sätta sig in i de nya bestämmelserna så snart som möjligt. Detta gäller särskilt leverantörer av AI-system med hög risk. AI-förordningen kommer att ställa krav på att sådana företag inför omfattande styrning, kontroll och dokumentation, men också ändring av nuvarande AI-system som inte uppfyller lagkraven.
Vad händer vid bristande regeltillämpning?
Den som bryter mot bestämmelserna i nya AI-förordningen kan träffas av höga sanktionsavgifter. Det är den nationella myndigheten som kommer besluta om sanktionsavgifterna men AI-förordningen föreskriver vissa beloppsnivåer. När det handlar om användning av förbjuden AI är sanktionsavgifterna mycket höga, nämligen det högsta av 30 milj. euro eller 6 procent av företagets globala omsättning. När det gäller små och medelstora företag, inbegripet nystartade företag, ska dessa sanktionsavgifter uppgå till högst 3 procent av deras globala årsomsättning för det föregående räkenskapsåret.
AI-förordningen innebär stora krav på efterlevande av lagensbestämmelser. Precis som med GDPR kommer företag som börjar med sin anpassning först några månader innan reglerna börjar tillämpas ha svårt att hinna genomföra förändringarna i tid. AI-förordnigen föreskriver dock att kommissionen ska publicera riktlinjer och mallar för att underlätta regelefterlevnad. Sådana riktlinjer är naturligtvis oerhört viktigt för att företagen ska lyckas uppnå det politikerna vill med den nya AI-regleringen, men tyvärr finns ännu inga datum för när dessa värdefulla riktlinjer offentliggörs.
Det man kan göra redan i dag är att inom organisationen inventera vilka typer av AI-lösningar som redan används eller som planeras eller testas. Handlar det om automatiserade beslutsprocesser eller är det fråga om mer avancerade AI-system som kan omfattas av AI-förordningen? Vi vet att lagen kommer att ställa krav på spårbarhet för beslut och dokumentation om de AI-system som används. Det kan därför vara bra att redan nu se över denna typ av rutiner inom verksamheten.