AI-loven — En ny regulatorisk virkelighed
Den Europæiske Union blev den første jurisdiktion i verden til at skabe omfattende regler for kunstig intelligens. AI-loven trådte i kraft i august 2024 og anvendes i faser — de første forpligtelser er allerede håndhævbare, med yderligere krav der introduceres frem til 2025–2027. Enhver virksomhed, der implementerer AI-systemer i sine operationer inden for EU, skal gøre sig bekendt med disse regler.
AI-loven forbyder ikke kunstig intelligens — den regulerer det baseret på en risikobaseret tilgang. Jo højere risikoen er, desto strengere er kravene. De fleste forretningsapplikationer af AI falder i lav- eller begrænset risikokategorierne, hvilket betyder relativt lette forpligtelser. Men der er områder, hvor kravene er meget strenge.
Risikoklassificering af AI-systemer
AI-loven opdeler AI-systemer i fire risikokategorier:
- Uacceptabel risiko (forbudt) — systemer, der manipulerer menneskelig adfærd under bevidsthedstærsklen, social scoring af myndigheder, realtids biometrisk overvågning (med undtagelser). Disse systemer er simpelthen forbudte.
- Høj risiko — AI brugt i rekruttering, kreditscoring, sundhedspleje, uddannelse, retsforvaltning og kritisk infrastruktur. De strengeste krav: dokumentation, test, gennemsigtighed, menneskelig tilsyn og registrering i EU-databasen.
- Begrænset risiko — chatbots, deepfakes, indholdsgenereringssystemer. Gennemsigtighedsforpligtelse: brugeren skal vide, at de interagerer med en AI.
- Minimal risiko — de fleste forretnings-AI-applikationer: spamfiltre, produktanbefalinger, intern procesautomatisering. Minimale eller ingen yderligere forpligtelser.
Hvem er udbyder og hvem er bruger af et AI-system?
AI-loven skelner mellem to nøgleroller. En udbyder er den enhed, der skaber og markedsfører et AI-system. En bruger er den enhed, der bruger et AI-system i sine forretningsoperationer. Forpligtelserne er forskellige for hver rolle — udbydere er underlagt strengere krav vedrørende teknisk dokumentation og certificering.
En virksomhed, der køber en færdig AI-løsning fra en udbyder og bruger den til egne processer, er en bruger. En virksomhed, der tilpasser eller finjusterer en model til egne applikationer, kan blive udbyder med alle de tilhørende konsekvenser.
Brugerforpligtelser for høj-risiko-systemer
Hvis din virksomhed bruger et høj-risiko AI-system (f.eks. et scoringssystem i kreditbeslutninger, et CV-forsorteringsværktøj, et diagnostisk støttesystem i sundhedspleje), skal du:
- Sikre menneskelig tilsyn med AI-systemets beslutninger
- Opretholde driftslogfiler i mindst 6 måneder
- Gennemføre en vurdering af grundlæggende rettigheder (FRIA)
- Informere medarbejdere om AI-systemer, der berører dem
- Rapportere alvorlige hændelser og fejl til den relevante tilsynsmyndighed
Sanktioner og tidslinjer
Sanktioner for overtrædelse af AI-loven er alvorlige: op til 35 millioner EUR eller 7 % af den globale årlige omsætning for overtrædelser vedrørende forbudte systemer. Op til 15 millioner EUR eller 3 % af omsætningen for andre overtrædelser. Tidslinjerne er forskudt — forbud mod uacceptable systemer har været gældende siden 2025, mens krav til høj-risiko-systemer gælder fra 2026–2027.
Sådan hjælper ESKOM.AI med AI-lovens overholdelse
ESKOM.AI hjælper organisationer med at forberede sig til AI-lovens krav. Vi tilbyder revisioner af eksisterende AI-systemer til risikoklassificering, udvikling af teknisk dokumentation, implementering af mekanismer til menneskelig tilsyn og logning samt uddannelse af overholdelsesteams. Enhver ny AI-implementering, vi leverer, er designet med AI-lovens overholdelse i tankerne fra dag ét.