DAEN

MENU

AI-forordningen: De vigtigste punkter i Europa-Parlamentets udkast

I en historisk afstemning den 14. juni 2023 vedtog Europa-Parlamentet sit udkast til den nye AI-forordning, og dermed er vi kommet et skridt nærmere vedtagelsen af den endelige forordning. Forude venter spændende forhandlinger mellem Parlamentet, Ministerrådet og Kommissionen, førend forordningen forventes endeligt vedtaget i slutningen af året. Parlamentets udkast rummer vigtige nyheder, bl.a. lægges der op til at udvide listen over forbudte AI-systemer, regler for brug af foundation models og generativ AI såsom ChatGPT etc., nye rettigheder for personer samt pligt for brugere af AI-systemer til at udarbejde såkaldte ”fundamental rights impact assessments”. I denne artikel får du et overblik over de væsentligste nye elementer, og hvad du skal holde øje med i forhandlingerne fremadrettet.

I en historisk afstemning den 14. juni 2023 vedtog Europa-Parlamentet sit udkast til den nye AI-forordning, og dermed er vi kommet et skridt nærmere vedtagelsen af den endelige forordning. Forude venter spændende forhandlinger mellem Parlamentet, Ministerrådet og Kommissionen, førend forordningen forventes endeligt vedtaget i slutningen af året. Parlamentets udkast rummer vigtige nyheder, bl.a. lægges der op til at udvide listen over forbudte AI-systemer, regler for brug af foundation models og generativ AI såsom ChatGPT etc., nye rettigheder for personer samt pligt for brugere af AI-systemer til at udarbejde såkaldte ”fundamental rights impact assessments”. I denne artikel får du et overblik over de væsentligste nye elementer, og hvad du skal holde øje med i forhandlingerne fremadrettet.

AI-forordningen – en ny ”grundlov” for omsætning og anvendelse af AI-systemer

AI-forordningen vil – når den vedtages – de facto fungere som en generel ”grundlov” for udbydere og brugere af AI-systemer, herunder både offentlige myndigheder og private virksomheder, uanset hvilken sektor der er tale om.

Den indeholder bl.a. forbud mod visse anvendelser af kunstig intelligens, omfattende krav til omsætning og anvendelse af højrisiko-AI-systemer, gennemsigtighedsforpligtelser og meget skrappe sanktioner for overtrædelse af reglerne.

AI-forordningens historik er følgende:

  • Den 21. april 2021 offentliggjorde EU-Kommissionen sit udkast til den nye AI-forordning.
  • Den 25. november 2022 offentliggjorde Rådet (bestående af EU’s medlemsstater) sin kompromistekst.
  • Den 16. maj 2023 offentliggjorde Europa-Parlamentet efter en politisk aftale sin kompromistekst, som blev vedtaget den 14. juni 2023 (herefter benævnt ”EP-udkastet”).

Der er med andre ord lige nu tre forskellige udkast til AI-forordningen, som parterne nu skal forhandle om i de såkaldte trilogforhandlinger i resten af 2023.

Du kan læse mere om EU-Kommissionens udkast og et tidligere udkast fra Rådet i vores nyhed: AI-forordningen - seneste nyt.

Ændret definition af AI-systemer

EP-udkastet rummer en ny og forenklet definition af et ”AI-system”. I artikel 3, nr. 1, defineres et AI-system som følger:

”‘artificial intelligence system’ (AI system) means a machine-based system that is designed to operate with varying levels of autonomy and that can, for explicit or implicit objectives, generate outputs such as predictions, recommendations, or decisions that influence physical or virtual environments.”

Ændringen af definitionen medfører dels, at definition i højere grad matcher OECD’s definition af et AI-system, dels at definitionen er blevet mere snæver end i de hidtidige udkast med fokus på de gængse typer af kunstig intelligens som machine learning, deep learning m.v.

AI-forordningen omfatter dog også AI-systemer i form af foundation models, general purpose AI-systemer og generativ AI, som er selvstændigt defineret og reguleret, jf. nedenfor.

Flere forbudte AI-systemer og ændrede definitioner

Med AI-forordningen indføres – med inspiration fra databeskyttelsesforordningen – en risikobaseret tilgang til brugen af AI-systemer, hvor der indføres forskellige niveauer af forpligtelser, alt efter hvilken risiko anvendelsen af AI-systemet indebærer. AI-forordningen opdeler AI-systemer i nedenstående risikokategorier i nedenstående figur.

Der er grundlæggende enighed mellem parterne om, at en sådan risikobaseret tilgang skal bevares, men der skal forhandles om, hvilke AI-systemer der skal være forbudte, og hvilke der skal defineres som højrisiko.

Systemer med en uacceptabel høj risiko vil efter forordningens artikel 5 være forbudte at omsætte, ibrugtage eller anvende i EU.

Parlamentet har foretaget væsentlige ændringer i listen over AI-systemer, der er forbudt i EU, og tilføjet yderligere forbudte AI-systemer, herunder:

  • Forbud mod alle biometriske kategoriseringssystemer, der anvender følsomme karakteristika (herunder køn, race, etnicitet, statsborgerskabsstatus, religion, politisk orientering), jf. artikel 5, stk. 1, litra ba.
  • Forbud mod AI-systemer til brug for risikovurderinger af individer eller grupper med henblik på at forudsige risiko for kriminel adfærd, herunder baseret på bl.a. profilering, lokation og tidligere adfærd, jf. artikel 5, stk. 1, litra da.
  • Forbud mod AI-systemer, der bruger ”untargeted scraping” af biometriske data fra sociale medier eller CCTV-optagelser for at oprette ansigtsgenkendelsesdatabaser, jf. artikel 5, stk. 1, litra db.
  • Forbud mod AI-systemer til brug for følelsesgenkendelse inden for områder for retshåndhævelse, grænsekontrol, på arbejdspladser og i uddannelsesinstitutioner, jf. artikel 5, stk. 1, litra dc.
  • Forbud mod brugen af ​​biometriske identifikationssystemer i EU i både realtid og efterfølgende (undtagen i tilfælde af alvorlig kriminalitet og med forudgående dommertilladelse til efterfølgende brug) og ikke kun til brug i realtid, som foreslået af Kommissionen, jf. artikel 5, stk. 1, litra d-e.

Højrisiko AI-systemer

Der er uenighed mellem parterne om, hvilke områder og brugsscenarier (opregnet i forordningens bilag III) der bør kategoriseres som “højrisiko”, samt hvor bredt eller specifikt højrisikoscenarierne på de forskellige områder skal defineres.

Parlamentet har i sit udkast udvidet listen over højrisiko AI-systemer i bilag III til også at omfatte AI-systemer anvendt til biometrisk identifikation af individer (f.eks. ansigtsgenkendelse) og AI-systemer anvendt til at udlede personlige karakteristika af individer (make inferences) ud fra biometri eller biometriske data, herunder følelsesgenkendelsessystemer (emotion recognition).

Derudover er der i EP-udkastet sket præciseringer i bl.a. kategorierne kritisk infrastruktur, beskæftigelse og uddannelse, så det er tydeligere, hvad kategorierne omfatter.

En anden væsentlig ændring i EP-udkastet er, at AI-systemerne, der er oplistet bilag III, efter artikel 6, stk. 2, kun vil blive anset for højrisiko, hvis de udgør en "significant risk to health, safety and fundamental rights".

Dette står i modsætning til Kommissionens forslag, hvor områderne og brugsscenarierne i bilag III automatisk blev kvalificeret som højrisiko.

Nye pligter til udbydere af foundation models og generativ AI såsom ChatGPT

En meget markant nyskabelse er, at EP-udkastet rummer definitioner og regler for omsætning og brug af “foundation models” og “generative AI”, f.eks. ChatGPT, GPT-4, Bard og andre Large Language Models mv.

Foundation models defineres i artikel 3, nr. 1 c som ”an AI model that is trained on broad data at scale, is designed for generality of output, and can be adapted to a wide range of distinctive tasks”.

I udkastets artikel 28 b er der fastsat en lang række nye forpligtelser for udbydere af foundation models, herunder bl.a. pligt til at sikre en robust beskyttelse af fundamentale rettigheder, sundhed, sikkerhed, miljøet, demokratiet og retssikkerhed. Det skal bl.a. ske gennem pligt til at identificere og håndtere de risici, som modellen frembyder, overholde visse design-, informations- og miljøkrav samt registrere modellen i en EU-database.

Udbydere af foundation models til brug for generativ AI – forstået som ”AI systems specifically intended to generate, with varying levels of autonomy, content such as complex text, images, audio, or video” – skal efter udkastets artikel 28 b, stk. 4, desuden:

  • gøre det transparent, at indholdet er skabt af en computer og ikke af et menneske
  • træne, designe og udvikle foundation-modellen til at forhindre skabelsen af ulovligt indhold
  • dokumentere og offentliggøre et tilstrækkeligt detaljeret overblik (”summary”) over brugen af træningsdata, der er beskyttet af ophavsret

Brugere skal lave ”fundamental rights impact assessments”

Som noget nyt indføres der også en ny bestemmelse i artikel 29 a om, at brugere af AI-løsninger (deployers) skal udarbejde en såkaldt ”fundamental rights impact assessment” (FRIA) forud for brugen af et højrisiko AI-system.

Denne FRIA skal som minimum indeholde bl.a. oplysninger om formålet med brugen af løsningen, verifikation af løsningens compliance, vurderingen af risiciene forbundet med løsningen og dens påvirkning af fundamentale rettigheder og miljøet, risikohåndteringsplan og governancetiltag.

FRIA’en skal udarbejdes sammen med konsekvensanalysen vedrørende databeskyttelse efter databeskyttelsesforordningen (DPIA), hvor DPIA’en skal vedhæftes som et addendum.

Uddannelse og træning af medarbejdere (”AI literacy”)

EP-udkastet rummer en ny forpligtelse i artikel 4 d for både udbydere og brugere af AI-systemer at til sikre den fornødne uddannelse af medarbejdere m.v. – såkaldt ”AI literacy”. Pligten omfatter træning vedrørende både den teknologiske side, inklusive de forskellige former for brug, risici og fordele, samt understøttelse af compliance med reglerne.

Nye rettigheder til borgerne og kunderne

EP-udkastet introducerer et nyt kapitel 3 a med rettigheder til individer, herunder forskellige regler om klageadgang.

Artikel 68 c indeholder en ny ”right to explanation of individual decision-making”. Når en bruger træffer visse fuldautomatiske afgørelser ved brug af et højrisiko AI-system over for enkeltindivider, har den pågældende person som udgangspunkt ret til at anmode brugeren om at modtage en klar og meningsfuld forklaring på AI-systemets rolle i beslutningsprocessen. Denne forklaring skal indeholde de vigtigste parametre i beslutningen og de involverede inputdata. 

Denne ret til forklaring gælder ved siden af oplysningsforpligtelserne i databeskyttelsesforordningens artikel 13-14 og 22 samt indsigtsretten i artikel 15, hvor man har ret til information om forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 22, stk. 1 og 4, og som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.

Næste skridt

Med Europa-Parlamentets vedtagelse af sit udkast den 14. juni 2023 er trilogforhandlingerne mellem Parlamentet, Rådet og Kommissionen nu påbegyndt.

Når de tre parter er enige, vil de formelt vedtage og offentliggøre den endelige version af AI-forordningen. Dette vil formentlig ske allerede i slutningen af 2023 eller i starten af 2024. Under alle omstændigheder vil foråret 2024 være en vigtig ultimativ deadline grundet EP-valg og udløb af Kommissionsperioden.

Når AI-forordningen er endeligt vedtaget, vil den finde anvendelse indenfor to-tre år alt afhængig af, hvordan forhandlingerne falder ud. I denne periode vil alle, der udbyder eller bruger AI-systemer, skulle forberede sig på at kunne leve op til forordningens krav, herunder identificere, hvilken aktørrolle de har i henhold til forordningen, samt hvilken type AI-system der er tale om.

Hold dig opdateret

Hvis du vil vide mere, er du velkommen til at tilmelde dig vores kursus om AI-forordningen eller deltage i vores nye Netværk om Kunstig Intelligens og Ansvarlig Dataanvendelse, hvor du løbende bliver opdateret og får gode anbefalinger til, hvad du allerede nu kan forberede dig på.

Du er også velkommen til at kontakte os, hvis du har lyst til at høre mere om, hvad vi kan bistå med.

Hold dig opdateret: Få juridisk viden og indsigter fra vores eksperter direkte i din indbakke

Når du tilmelder dig vores nyhedsbreve, bliver du opdateret på seneste nyt fra de retsområder, som du ønsker at følge. Du får også adgang til kommende kurser, webinarer og arrangementer – alt sammen designet til at holde dig informeret og ajour. Uanset om du er på udkig efter rådgivning, viden eller netværksmuligheder, er vores nyhedsbreve din nøgle til det hele.