SecurityWorldMarket

11-12-2023

EU’s nye AI-lovgivning: Det skal du være opmærksom på

Den nye EU-forordning omkring AI, også kendt som AI Act, kommer i fremtiden til at have stor betydning for både udbydere og brugere af AI-systemer, herunder offentlige myndigheder og private virksomheder – uanset hvilke sektorer disse måtte være omfattet af.
Organisationen IT-Branchen gør opmærksom på, at det er vigtigt at være opmærksom på de nye regler, da de vil have betydning for, hvad virksomheder må bruge AI til og hvilke krav, som skal overholdes. I fremtiden vil virksomheder bl.a. være forpligtet til at foretage en risikovurdering af deres AI-systemer og iværksætte foranstaltninger til at reducere risiciene.
Her viderebringer vi IT-Branchens betragtninger.

Risikobaseret tilgang

Den kommende AI-lovgivning vil være baseret på en risikobaseret tilgang, hvor forpligtelserne for virksomheder afhænger af, hvor stor en risiko det AI-system, de anvender, udgør.

Det betyder, at klassificeringen af AI-systemer vil være baseret på en række faktorer, herunder systemets formål, dets potentielle skade samt brugen af personoplysninger.

Systemer med høj risiko skal leve op til strengere krav, fordi de er mere tilbøjelige til at forårsage skade.

Det er også muligt, at et AI-system kan ændre risikokategori, hvis formålet eller brugen ændres, fordi det potentielt kan påvirke de risici, som systemet udgør.

Minimal eller ingen risiko AI-systemer

Minimal eller ingen risiko-AI-systemer er ikke underlagt særlige krav i AI-forordningen, fordi de ikke udgør en risiko for mennesker eller samfund. Disse systemer kan f.eks. bruges til at filtrere spam eller generere computerspil.

Begrænset risiko AI-systemer

Omfatter systemer som f.eks. bruges til at forudsige vejret eller systemer til at anbefale produkter, men også chatbots, deepfakes og følelsesgenkendelse. Reglerne for systemerne er mindre strikse end for højrisiko-systemer. Her kræves det f.eks., at brugerne klart skal kunne identificere, at de interagerer med en maskine. Derudover gælder det for systemer, der skaber video, lyd eller billeder, som efterligner virkelige objekter, at det tydeligt skal angives, at indholdet er kunstigt genereret eller manipuleret.

Højrisiko AI-systemer

Højrisiko AI-systemer er underlagt strenge krav for at sikre, at de er sikre og etiske. Disse krav omfatter f.eks. krav om risikovurdering, menneskeligt tilsyn og beskyttelse af privatlivets fred. Højrisiko AI-systemer kan f.eks. bruges til at træffe beslutninger om kreditvurderinger, offentlige sociale ydelser eller til jobrekruttering.

Forbudte AI-systemer

Forbudte AI-systemer er for farlige til at blive brugt. Disse systemer kan f.eks. bruges til at træffe beslutninger om straf, til anvendelse i våben, men også behandle persondata på en måde, der kan føre til diskrimination.

Hvilke krav gælder for din virksomhed?

Uanset virksomhedens risikoniveau er der nogle generelle krav, som gælder for alle brugere af AI-systemer.

For alle virksomheder og organisationer gælder det, at de er ansvarlige for brugen af de AI-systemer, de udvikler, anvender eller sælger. Det betyder, at alle virksomheder skal træffe foranstaltninger som sikrer, at systemerne bruges på en sikker og etisk forsvarlig måde.

I forlængelse heraf gælder det, at AI-systemer ikke må bruges til at diskriminere mod personer på grund af deres race, køn og religion.

Et andet vigtigt aspekt er datasikkerheden og beskyttelsen af privatlivet.

Brugere skal håndtere alle data, der anvendes i forbindelse med AI-systemet i overensstemmelse med gældende databeskyttelses- og privatlivslove.

Det er vigtigt at være opmærksom på, at der udover de generelle krav gælder en række specifikke krav for AI-systemer med begrænset og høj risiko.

Begrænset risiko

Hvor udbyderne af højrisiko-AI-systemer er ansvarlige for at overholde alle krav i AI Act, er udbyderne af systemer med begrænset risiko ikke underlagt de samme specifikke krav.

Højrisiko-AI-systemer, der indsamler eller behandler personoplysninger, skal beskytte oplysninger på en sikker og etisk måde.

Systemer med begrænset risiko er ikke underlagt de samme krav som højrisiko-AI-systemer, men de skal stadig overholde de generelle krav i databeskyttelsesforordningen (GDPR).

Derudover er systemer med begrænset risiko ikke underlagt krav om menneskeligt tilsyn.

Hvor brugere af højrisiko-AI-systemer skal foretage en risikovurdering af systemerne, er brugere af systemer med begrænset risiko ikke underlagt kravene om at foretage en risikovurdering.

Særlige krav til højrisiko AI-systemer

Højrisiko-AI-systemer er mere tilbøjelige til at forårsage skade end systemer med lavere risiko. Derfor stilles der strengere krav til anvendelsen af disse systemer.

Et af de vigtigste krav er, at brugerne skal udarbejde en konsekvensanalyse.

Formålet med konsekvensanalysen er at vurdere og håndtere de risici, der er forbundet med brugen af højrisiko-AI-systemer.

Denne analyse indebærer en detaljeret gennemgang af, hvordan disse systemer behandler data, og hvilke risici der er involveret i processen.

Samtidig er konsekvensanalysen et vigtigt skridt til at fastlægge og implementere passende foranstaltninger for at afbøde disse risici.

Behovet for at udføre en konsekvensanalyse stammer fra en forudgående risikovurdering, som identificerer et AI-system som højrisiko, hvilket er i overensstemmelse med GDPR artikel 35, stykke 1, som netop kræver sådanne analyser for systemer med høj risiko.

Konsekvensanalysen skal omfatte følgende elementer:

  • Identifikation af potentielle risici: Brugerne skal identificere alle potentielle risici ved AI-systemet, herunder risici for skade på personer, ejendele eller miljøet
  • Vurdering af risici: Brugerne skal vurdere den potentielle alvorlighed og sandsynlighed for hver risiko
  • Reduktion af risici: Brugerne skal foreslå foranstaltninger til at reducere risiciene ved AI-systemet.

Udbydere og brugere af højrisiko-AI-systemer er ansvarlige for at overholde disse krav. Hvis de ikke overholder kravene, kan de blive straffet.

Kravene er designet til at sikre, at højrisiko AI-systemer anvendes på en måde, der respekterer sikkerhed, etik og lovgivningsmæssige rammer, hvilket er afgørende for at beskytte både individuelle brugere og samfundet som helhed.

For at forstå risikoen, som er forbundet med brugen af systemet og de nødvendige foranstaltninger til at minimere risikoen, skal brugerne også være informeret om AI-systemets egenskaber omkring dets evner og begrænsninger.

Det er derfor afgørende, at brugerne har eller erhverver sig de nødvendige færdigheder og viden til at anvende højrisiko AI-systemet på en sikker måde.

Desuden skal brugerne være opmærksomme på deres forpligtelse til at indmelde og rapportere eventuelle alvorlige hændelser eller funktionsfejl i AI-systemet til producenten eller til de relevante myndigheder.

For højrisiko AI-systemer er det nødvendigt, at der er tilstrækkelig menneskelig overvågning til at gribe ind og rette fejl, eller for at modvirke potentielle negative effekter, som systemet kunne tænke sig at have.

Fremadrettet vil individer have ret til at kunne anmode brugeren om at få indsigt i AI-systemets rolle ved fuldautomatiske afgørelser, når beslutningen er truffet på baggrund heraf.

Kilde: IT-Branchen


Nyheder fra forsiden
Til "Virksomheder"  

Leverandører
Ændre marked
Global North America Middle East United Kingdom Sweden Norway Denmark
Tilbage til toppen