Artificial Intelligence har i den grad gjort indpas blandt danske virksomheder. Men en af de største – og første – overvejelser, vi oplever, at mange organisationer har, når de giver sig i kast med at bruge AI, handler om lovgivning og etik.
Mere konkret: Hvordan overholder du lovgivningen på området, når du bruger AI i din forretning? Og hvilke konkrete punkter, skal du som virksomhed være opmærksom på, når du eller dine medarbejdere vælger at gøre brug af AI? For ikke at nævne, hvad er lovgivningen på området helt præcist?
Så lad os starte med netop det – lovgivningen.
Hvad er AI Act?
EU har i en årrække aktivt arbejdet på at etablere en fælles lovgivning omkring brugen af kunstig intelligens i den Europæiske Union.
I december 2023 fastlagde EU den såkaldte AI Act, der nu på et politisk plan er vedtaget. AI Act har til formål at regulere og kategorisere Artificial Intelligence på tværs af EU og sikre, at der er klare lovmæssige rammer for både udviklingen og implementeringen af AI.
Disse standarder er etableret med henblik på at beskytte grundlæggende rettigheder såsom ytringsfrihed og privatliv, sikre transparens og ansvar i både udvikling og benyttelse af AI-systemer, samt skabe gode forhold for kreationen af innovative AI-løsninger under en fælles lovramme.
Hvem skal overholde AI Act?
I forsøget på at regulere AI, har EU med AI Act valgt en risikobaseret tilgang.
Det betyder helt kort, at AI-modeller og systemer, der underlægges AI Act, vil blive inddelt i en af tre risikokategorier:
1. Uacceptabel risiko
Denne kategori gælder for AI-systemer, der ses som værende uacceptable og dermed forbudte at udvikle- og udbyde i EU. Dette indebærer bl.a. AI-systemer til brug i forbindelse med social scoring, biometrisk profilering af personer, eller ved udnyttelse af sårbarheder i mennesker såsom fysiske eller mentale handicap.
2. Høj risiko
Denne kategori tager udgangspunkt i AI-systemer, der har med kritisk infrastruktur eller påvirkning af grundlæggende rettigheder at gøre. Dette kan eksempelvis være, når AI benyttes i rekrutteringshenseende til at udpege bestemte individer til bestemte stillinger, eller når AI bruges til at vurdere for eksempel lovovertrædelser, kreditvurderinger eller berettigelse til offentlige ydelser. Disse AI-systemer underlægges mange krav om risikostyring, tests, datakontrol, tilsyn mfl. for at være lovlige.
Her stilles ligeledes krav til brugerne af systemet, der bl.a. skal sikre, at de anvender AI-systemet i overensstemmelse med retningslinjerne, overvåger driften af systemet og opbevarer logfiler, såfremt de er under brugerens kontrol.
3. Begrænset risiko
Denne kategori behandler AI-løsninger, der beskrives som havende en begrænset risiko. Her nævnes bl.a. chatbots, deep-fakes og følelsesgenkendelse. Her vil der blive stillet krav til, at brugerne tydeligt skal vide, at de interagerer med en maskine. Og for billede-, video- og lyd-systemer, der generer indhold, som synes virkeligt, skal det være klart oplyst, at der er tale om manipuleret og kunstigt genereret content.
AI med minimal risiko
Derudover beskrives også AI med minimal risiko. På dette niveau, vil der ifølge AI Act ikke blive indført krav for systemerne, men der er mulighed for at tilslutte sig en række regler frivilligt.
Det skal hertil nævnes, at reglerne på nuværende tidspunkt kun er vedtaget politisk, og der endnu ikke er udarbejdet håndgribelige guidelines for, hvordan virksomheder skal forholde sig til disse.
Hvad er tidsplanen for AI Act?
I første omgang har EU primært udspecificeret risikoniveauerne og udstedet en tidsplan for, hvornår de forskellige niveauer skal være compliant for at undgå retsforfølgelse. Helt kort ser tidslinjen således ud:
- 1. august 2024: EU AI Act træder i kraft.
- Februar 2025: Forbud mod og bøder til AI-systemer med uacceptabel risiko.
- August 2025: GPAI (General-purpose AI) skal leve op til øgede krav for transparens og dokumentation – herunder kendte modeller som ChatGPT og Midjourney.
- August 2026: Framework fastlægges for højrisiko-systemer og øgede transparenskrav for AI på alle risikoniveauer.
- August 2027: Højrisiko AI, der er integreret i produkter, skal efterleve samme krav som frameworket året forinden foreskriver.
Selve implementeringen af EU’s AI Act er altså bare første skridt på vejen, og der er mange frameworks og (dejlige) juridiske formuleringer, der skal på plads, inden vi kender til de større konsekvenser af lovgivningen.
Hvad skal virksomheder være opmærksomme på i arbejdet med AI?
Når du gerne vil give dig i kast med at arbejde med AI internt i din organisation, er der visse overvejelser, du bør gøre først, hvis du vil sikre gode resultater, der er i overenstemmelse med de gældende retningslinjer.
Først og fremmest, sørg for at etablere interne rammer for brugen af AI.
Start ud med at:
- Fastlægge hvilke forskellige tools, der giver mening for jeres virksomhed at bruge. På hvilke områder, kan AI gøre den største forskel for jer?
- Opstille de tiltag, I vil foretage for at sikre jeres (og potentielle samarbejdspartneres eller kunders) data i interaktionen med AI
- Give jeres - eventuelt udvalgte - medarbejdere særlig oplæring og introduktion til teknologien, inden de giver sig i kast med AI-værktøjerne
Overvej desuden følgende:
- Hvilken kategori tilhører den AI-teknologi, I gerne vil bruge?
-
- Og hvad kommer det til at kræve af jer, hvis I skal følge AI Acts forskrifter for denne type AI?
- Hvilken data, har I planer om at bruge i arbejdet med AI? Husk, at data kan indeholde bias, hvorfor det er vigtigt at lave audit på jeres data, før I aktiverer den
- Hvis I får unikke AI-systemer lavet til netop jer: Har I sikret, at jeres systemudbyder ligeledes har øje for deres ansvar og eventuelle afrapportering og regulering?
Selvom EU’s AI Act endnu mangler mere tydeligt definerede regelsæt og retningslinjer for virksomheder, er der altså allerede overvejelser og tanker, du bør gøre dig nu, når du vil i gang med at implementere AI i din organisation.
