🤖 Artikkelen er utarbeidet ved hjelp av kunstig intelligens (ChatGPT) og kan inneholde feil.
EU’s KI-forordning (AI Act) er det første omfattende regelverket for kunstig intelligens i Europa, med mål om å fremme trygg og tillitsvekkende AI . Regelverket trådte i kraft 1. august 2024 og skal sikre at utvikling og bruk av AI skjer i samsvar med grunnleggende rettigheter, inkludert personvern . AI Act suppleres av eksisterende personvernlovgivning (GDPR) – behandling av personopplysninger i AI må fortsatt følge GDPR, og de to regelverkene vil gjelde parallelt .
Risikobasert regulering av kunstig intelligens
AI Act innfører en risikobasert tilnærming der kravene avhenger av hvilket risikonivå et AI-system tilhører . Lavrisiko og minimal risiko-AI (f.eks. spamfiltre eller anbefalingsalgoritmer) omfattes i liten grad av regelverket, mens høyere risikonivå gir strengere regulering. Øverst i pyramiden er uakseptabel risiko – AI-systemer som anses å utgjøre en uakseptabel fare for menneskerettigheter eller sikkerhet forbys helt.
Noen eksempler på forbudte AI-bruksområder i EU (uakseptabel risiko) inkluderer:
- AI som manipulerer sårbare grupper, f.eks. leker med stemmestyring som oppmuntrer barn til farlig atferd .
- Sosial scoring av borgere basert på oppførsel eller egenskaper (inspirert av Kinas kredittsystem) .
- Fjernbiometrisk identifisering av personer i sanntid på offentlige steder (f.eks. ansiktsgjenkjenning via overvåkingskamera) .
Disse praksisene anses som svært inngripende og strider mot grunnleggende rettigheter, og blir derfor forbudt under AI Act.
AI-systemer som kan påvirke folks sikkerhet eller grunnleggende rettigheter betydelig klassifiseres som høyrisiko. Dette omfatter blant annet AI brukt i kritisk infrastruktur, utdanning (f.eks. opptakssystemer), ansettelses- og HR-formål, kredittvurdering og viktige offentlige tjenester, politimessige formål og rettspleie . Slike systemer forbys ikke, men underlegges strenge krav og kontrollrutiner. Alle høyrisiko-AI-systemer må gjennomgå grundige vurderinger og oppfylle en rekke forpliktelser før de kan tas i bruk, samt overvåkes jevnlig gjennom hele livssyklusen .
For å kunne lansere eller bruke et høyrisiko AI-system må utvikleren og tilbyderen blant annet sørge for:
- Risikostyring: grundige risikoanalyser og tiltak for å minimere risiko .
- Datasett av høy kvalitet for å unngå skjevheter og diskriminering .
- Logging og sporbarhet: aktivitetslogger som gjør det mulig å spore og ettergå systemets beslutninger .
- Omfattende dokumentasjon og informasjon som gjør at myndigheter og brukere kan forstå systemets formål og funksjon .
- Menneskelig tilsyn med systemets beslutninger (human oversight) .
- Sikkerhet og nøyaktighet: krav til robusthet, cybersikkerhet og høy nøyaktighet i systemets ytelse .
Dersom et høyrisiko-system ikke oppfyller kravene, kan det nektes markedsadgang i EU. Brukere av slike systemer har også rett til å klage til nasjonale tilsynsmyndigheter dersom de opplever at AI-systemet bryter regelverket .
Begrenset risiko-systemer (f.eks. enkelte bruk av chatbotter eller generativ AI) er tillatt, men underlegges spesifikke åpenhetskrav. Det innebærer for eksempel at når noen kommuniserer med en AI-basert chatbot, skal det opplyses tydelig at de samhandler med en maskin . Generativ AI som produserer innhold (tekst, bilder, video) må sørge for merking slik at brukerne gjøres oppmerksom på at materialet er AI-generert (for eksempel skal manipulerte bilder eller såkalte deepfakes tydelig merkes) . Disse tiltakene skal motvirke villedning og ivareta personvern og informert samtykke hos de som eksponeres for AI-generert innhold.
Tilsyn, håndheving og personvernmyndighetenes rolle
AI Act oppretter et eget europeisk AI-råd og et EU AI Office for å koordinere gjennomføringen av regelverket . Hvert EU-land skal utpeke en eller flere nasjonale tilsynsmyndigheter som skal føre tilsyn med at AI-regelverket overholdes . Det europeiske Personvernrådet (EDPB) – som består av EUs nasjonale datatilsyn – har anbefalt at de nasjonale personvernmyndighetene (datatilsynene) får rollen som tilsynsorgan under AI Act . EDPB peker på at datatilsynene allerede har kompetanse på AI og personvern, og at dette vil sikre bedre samordning og sterkere håndheving av både AI Act og personvernregelverket . Med andre ord ønsker man å unngå overlappende tilsyn og juridisk uklarhet ved å la datatilsynene føre tilsyn med AI-systemer som behandler personopplysninger.
For EU-institusjonenes egne bruk av AI er det allerede klart at det europeiske personvernombudet (EDPS) blir tilsynsmyndighet. EDPS er gjennom AI Act utpekt som ansvarlig for å overvåke at EU-institusjonene følger AI-regelverket, og kan ilegge administrative bøter ved brudd . Denne rollen kommer i tillegg til EDPS’ øvrige oppgaver etter personvernforordningen.
Det er viktig å merke seg at AI Act ikke erstatter GDPR. Reglene om personvern og databeskyttelse vil fortsatt gjelde fullt ut parallelt med det nye AI-regelverket. Bruk av AI involverer ofte behandling av personopplysninger, og AI Act krever derfor at slike behandlinger fortsatt må ha lovlig grunnlag, ivareta formålsbegrensning, datasikkerhet osv. i tråd med GDPR . AI Act inneholder også enkelte bestemmelser om deling av data og transparens som berører personvern, men disse utfyller snarere enn å overstyre GDPR.
Veien videre
AI Act ble formelt vedtatt i EU sommeren 2024 . Regelverket har en implementeringsperiode og trer ikke i kraft fullt ut umiddelbart. De første forbudsbestemmelsene (uakseptabel risiko AI) begynte å gjelde 2. februar 2025 . Øvrige deler av loven fases inn gradvis – for eksempel vil visse krav til generativ AI gjelde fra august 2025, og hoveddelen av kravene til høyrisiko AI-systemer vil bli gjeldende innen august 2026 . Denne trinnvise innføringen skal gi både myndigheter og virksomheter tid til å forberede seg.
For at AI Act skal bli gjeldende i Norge, må forordningen innlemmes i EØS-avtalen . Det innebærer at norske myndigheter først må formelt akseptere regelverket gjennom EØS-prosessen før det kan tre i kraft nasjonalt. Datatilsynet i Norge forbereder seg allerede på den nye loven, og mye tyder på at Datatilsynet vil bli utpekt som tilsynsmyndighet for AI Act i Norge, i tråd med Personvernrådets anbefaling.
EU’s AI Act markerer et veiskille for regulering av kunstig intelligens. Regelverket etablerer mekanismer for å sikre at AI utvikles og brukes på en måte som ivaretar personvern og grunnleggende rettigheter. Samtidig pågår det en løpende diskusjon om hvorvidt AI Act går langt nok – og hvordan det best kan håndheves i praksis uten å hemme innovasjon. Det er likevel klart at AI Act vil sette føringer for AI-utviklingen i årene som kommer, og styrke personvernet ved bruk av AI.
