Blogg: AI Act i praksis - hvordan kan du forberede deg?

EUs AI-forordning (AI Act) treffer bredt. Banker, nettbutikker, rekrutteringsselskap eller helsetjenesteforetak vil alle bli innbefattet av forordningen. Sjansen er med andre ord stor for at også din virksomhet rammes.

Her er fem eksempler på virksomheter som kanskje ikke tror de omfattes – men som faktisk gjør det:

  1. Startups og tech-selskaper
    • En HR-startup utvikler en AI-basert rekrutteringsløsning som filtrerer eller selekterer ut søknader automatisk. Dette vil trolig omfattes av AI Act som et høyrisikosystem, der forordningen oppstiller både strenge krav til selve AI-løsningen og oppstartsselskapet som har utviklet løsningen. Selskaper som tar AI Act på alvor fra dag én vil få et stort konkurransefortrinn. 
  2. Retail og netthandel
    • En kleskjede bruker AI for å analysere kundenes preferanser og gi personaliserte produktanbefalinger. Hvis dette innebærer omfattende innsamling og bruk av persondata, kan det utløse krav om transparens og risikovurdering.
  3. Finans og bank
    • En bank bruker AI for å vurdere hvem som skal få lån. Hvis AI-modellen automatiserer beslutningen om kredittvurdering, er dette regulert som et høyrisikoområde, noe som betyr at banken må kunne forklare hvordan AI-en kommer frem til sine beslutninger.
  4. Helse og offentlig sektor
    • Et sykehus tester AI for å analysere pasienters symptomer og foreslå diagnoser. Medisinsk AI er strengt regulert, og AI Act stiller krav til dokumentasjon, testing og overvåking av slike systemer.
  5. Sikkerhetsselskaper
    • En bedrift tilbyr kameraovervåkning med ansiktsgjenkjenning for adgangskontroll. Biometrisk AI er et av de mest regulerte områdene i AI Act, med strenge krav til samtykke og risikovurderinger.
  6. Leverandører av AI-løsninger til profesjonelle brukere 
    • Et teknologiselskap tilbyr en tilpasset AI-løsning basert på en eksisterende språkmodell, for eksempel til bruk innen juridisk rådgivning eller kundeservice. I slike tilfeller vil både leverandøren av løsningen og virksomheten som tar den i bruk kunne omfattes av kravene i AI Act – særlig til transparens og dokumentasjon. Forordningen legger særlig vekt på å at brukerne skal forstå når de samhandler med AI, og at det foreligger tilstrekkelig informasjon om hvordan systemet fungerer.

 

Typiske misforståelser

  • «AI Act gjelder bare store teknologiselskaper» 

Feil. AI Act gjelder også for virksomheter som tar i bruk AI-løsninger fra tredjeparter i egen drift. Vi kan sammenligne nedslagsfeltet til AI Act på samme måte som GDPR (personvernforordningen). Dette er noe som på en eller annen måte vil ramme veldig mange virksomheter i Norge.

  • «Vi utvikler ikke AI selv, så vi omfattes ikke»

Feil. Dersom virksomheten din bruker AI-systemer som omfattes av regelverket, kan det medføre krav til risikohåndtering og dokumentasjon. 

  • «Vi er en liten aktør, så dette er ikke relevant for oss»

Feil. AI Act skiller ikke mellom små og store selskaper – det er AI-systemets bruksområde og risiko som avgjør hvilke krav som gjelder.

 

Les også: Viktigere enn noen gang å bruke AI trygt og effektivt

 

Hva betyr dette for din virksomhet?

For mange virksomheter er det avgjørende å kartlegge hvordan AI Act påvirker dem, enten de utvikler, leverer eller på en eller annen måte bruker AI. Her vil det være viktig å identifisere hva slags AI-løsninger du benytter og hvilke krav som du er omfattet av. De virksomhetene som forbereder seg tidlig, vil ha et klart konkurransefortrinn i møte med markedet og oppnå økt tillit hos både kunder og samarbeidspartnere. De vil også unngå både bøter og tap av omdømme dersom det oppdages at dette ikke er på plass. 

Hva bør du gjøre nå?

Mens norske virksomheter venter på en norsk lov som innlemmer AI Act i norsk rett, er det mye som kan gjøres for å være godt forberedt på det kommende regelverket. En strukturert tilnærming nå vil ikke bare gjøre overgangen enklere, men også styrke virksomhetens evne til å håndtere AI på en ansvarlig og effektiv måte. 

  1. Kartlegg AI-systemer i virksomheten: Det første du bør gjøre er å kartlegge eksisterende og planlagte AI-løsninger i virksomheten din. Kartlegg tiltenkt bruk av AI-systemet, datastruktur og algoritmene som vil benyttes. 
  2. Risikoklassifisering og identifisering av krav: Videre bør du vurdere og klassifisere AI-systemet etter risikokategoriene i AI Act (minimal, lav, høy og forbudt). Basert på risikonivået for AI-løsningen, identifiserer du hvilke krav som treffer deg. 
  3. GAP-analyse mot AI Act: Gjennomfør en vurdering, for eksempel gjennom en GAP-analyse, for å vurdere nåværende etterlevelse av kravene som gjelder for deg. Identifiser eventuelle gap og hva som må på plass for å sikre etterlevelse av kravene. Legg opp en plan for hvordan lukke disse gapene. Prioriter tiltak basert på risiko, kompleksitet og behov. 
  4. Kommunikasjon, åpenhet og ansvar: Husk at både AI Act og GDPR stiller krav til åpenhet og transparens. Vær transparent med ansatte, kunder og samarbeidspartnere om hvordan AI brukes i tjenestene dine, og hvordan du sikrer deres sikkerhet og personvern.

 

Les første del av denne bloggen her:

Derfor er AI Act viktig for deg