DAEN

MENU

AI-forordningen – seneste nyt

I denne artikel sætter vi fokus på de centrale regler i forordningsudkastet og deres betydning i praksis. Vi gennemgår tillige de vigtige forskelle, der er mellem det oprindelige forslag fra EU-Kommissionen og de væsentlige ændringer, der er sket med de senest offentliggjorte kompromistekster fra Rådet.

I denne artikel sætter vi fokus på de centrale regler i forordningsudkastet og deres betydning i praksis. Vi gennemgår tillige de vigtige forskelle, der er mellem det oprindelige forslag fra EU-Kommissionen og de væsentlige ændringer, der er sket med de senest offentliggjorte kompromistekster fra Rådet.

EU-Kommissionen offentliggjorde i april 2021 et forslag til en ny forordning om harmoniserede regler for kunstig intelligens (AI-forordningen). I slutningen af 2021 og i januar og februar 2022 offentliggjorde det slovenske og franske formandskab for Rådet for Den Europæiske Union (Rådet) en række kompromistekster til forordningen, der indeholder væsentlige ændringer i forhold til Kommissionens oprindelige forslag.  

Forordningen vil – når den vedtages – de facto fungere som en generel ”grundlov” for udbydere og brugere af AI-systemer, herunder både offentlige myndigheder og private virksomheder, uanset hvilken sektor der er tale om. Den indeholder forbud mod visse anvendelser af kunstig intelligens, omfattende krav til højrisiko-AI-systemer og meget skrappe sanktioner for overtrædelse af reglerne.

Artiklen er den anden artikel i Poul Schmith/Kammeradvokatens artikelserie om EU’s nye retsakter på dataområdet. Du kan læse den første artikel om datastyringsforordningen her.

Overblik over AI-forordningen og dens formål

Udkastet til AI-forordningen er en del af en samlet pakke bestående af AI-forordningen, revision af den koordinerede plan for kunstig intelligens samt forslag til revision af det eksisterende maskindirektiv. AI-forordningen skal ses i forlængelse af Kommissionens hvidbog om kunstig intelligens, der blev præsenteret den 19. februar 2019.

AI-forordningens overordnede mål er udmøntet i følgende fire konkrete formål:

  • at sørge for, at AI-systemer, der bringes i omsætning og anvendes på EU-markedet, er sikre og i overensstemmelse med eksisterende lovgivning om grundlæggende rettigheder og Unionens værdier,
  • at sikre retssikkerheden med henblik på at fremme investering og innovation inden for kunstig intelligens,
  • at forbedre forvaltning og effektiv håndhævelse af den eksisterende lovgivning om grundlæggende rettigheder og sikkerhedskrav til AI-systemer, samt
  • at fremme udviklingen af et indre marked for lovlige, sikre og pålidelige AI-anvendelser og forhindre markedsfragmentering.

På denne baggrund fastsætter AI-forordningen efter artikel 1 nærmere bestemt følgende regler:

  • Harmoniserede regler for omsætning, ibrugtagning og anvendelse af systemer med kunstig intelligens ("AI-systemer") i Unionen,
  • forbud mod visse former for praksis med hensyn til kunstig intelligens,
  • specifikke krav til højrisiko-AI-systemer og forpligtelser for operatører af sådanne systemer,
  • harmoniserede gennemsigtighedsregler for visse AI-systemer,
  • regler om markedsovervågning og -tilsyn og governance, samt
  • foranstaltninger til fremme af innovation, herunder fastsættes der en ramme for implementering af reguleringsmæssige sandkasser.

Hvornår finder AI-forordningen anvendelse?

AI-forordningen har et bredt anvendelsesområde og omfatter både offentlige myndigheder og private virksomheders bl.a. omsætning og brug af AI-systemer, f.eks. en leverandør af et CV-screeningsværktøj og en bank, der bruger dette værktøj.

Forordningen finder efter artikel 2 bl.a. anvendelse på:

  1. udbydere, der omsætter eller ibrugtager AI-systemer i Unionen, uanset om samme udbydere befinder sig i eller er etableret i Unionen eller i et tredjeland,
  2. brugere af AI-systemer i Unionen, samt
  3. udbydere og brugere af AI-systemer, der befinder sig i eller er etableret i et tredjeland, hvis det output, der produceres af systemet, anvendes i Unionen.

De centrale aktører, som reguleres i forordningen, er udbydere og brugere af AI-systemer, idet forordningen dog som udgangspunkt regulerer alle led i værdikæden for produktion og omsætning af AI-systemer.

Ved en udbyder forstås en fysisk eller juridisk person, en offentlig myndighed, et agentur eller et andet organ, der udvikler eller får udviklet et AI-system og bringer det i omsætning eller ibrugtager det under eget navn eller varemærke, enten mod betaling eller gratis, jf. forordningens artikel 3, nr. 2.

En bruger er enhver fysisk eller juridisk person, offentlig myndighed eller ethvert agentur eller andet organ, der anvender et AI-system under sin myndighed, jf. artikel 3, nr. 4.

Brugere m.v. vil blive anset for selv at være udbydere, hvis de markedsfører højrisiko AI-systemet under eget navn eller tager det i brug, ændrer dets formål eller foretager en væsentlig ændring af systemet, jf. artikel 28.

AI-forordningen finder ikke anvendelse på AI-systemer, der er udviklet eller udelukkende anvendes til militære formål eller formål vedrørende national sikkerhed, jf. artikel 2, stk. 3.

Som noget nyt i forhold til EU-Kommissionens udkast fra april 2021, indeholder kompromisteksten en bestemmelse i artikel 2, stk. 6-7, om, at AI-forordningen ikke finder anvendelse på AI-systemer, inklusive deres output, som specifikt er udviklet og ibrugtaget udelukkende i forskningsøjemed. Tilsvarende gælder al forsknings- og udviklingsaktivitet vedrørende AI-systemer for så vidt denne aktivitet ikke medfører eller indebærer omsætning eller ibrugtagning af AI-systemet.

Hvilke former for AI er reguleret i forordningen?

I forhold til det oprindelige udkast til forordningen fra EU-Kommissionen er der sket en ændring i definitionen af et ”system med AI” (AI-system) i forordningens artikel 3, nr. 1. Med ændringen defineres et AI-system nu som et system, der

  1. modtager maskin- og/eller menneskebaserede data og input,
  2. udleder, hvordan man opnår et givet sæt af menneskedefinerede mål ved hjælp af læring, begrundelse eller modellering implementeret med de teknikker og tilgange, der er anført i forordningens bilag 1, og
  3. genererer output i form af indhold (generative AI-systemer), forudsigelser, anbefalinger eller beslutninger, som påvirker de miljøer, den interagerer med.

Ifølge bilag 1 til forordningen omfatter definitionen følgende teknikker og tilgange:

  1. maskinlæringstilgange, herunder superviseret, usuperviseret og reinforcement learning, ved hjælp af en bred vifte af metoder, herunder dyb læring,
  2. logiske og videnbaserede tilgange, herunder vidensrepræsentation, induktiv (logisk) programmering, videnbaser, inferens- og deduktionsmotorer, (symbolsk) ræsonnement og ekspertsystemer, samt
  3. statistiske metoder, bayesianske estimations-, søgnings- og optimeringsmetoder.

Formålet med ændringen er at skabe mere juridisk klarhed over og bedre reflektere, hvad der menes med et AI-system, med en eksplicit henvisning til, at et AI-system bør være i stand til at bestemme, hvordan man opnår et givet sæt af menneskeligt definerede mål ved at lære, begrunde eller modellere. Ændringen i definitionen har også til formål at hindre, at mere traditionelle softwaresystemer, der normalt ikke betragtes som kunstig intelligens, bliver omfattet af AI-forordningen.

For at fremtidssikre definitionen af AI-systemer i forhold til den fremtidige markedsmæssige og teknologiske udvikling, har Kommissionen mulighed for at ændre listen over AI-teknikker i bilag 1 via delegerede retsakter, jf. forordningens artikel 4.

Risikobaseret tilgang og forbud mod visse ai-systemer

Med AI-forordningen indføres en risikobaseret tilgang til brugen af AI-systemer, hvor der indføres forskellige niveauer af forpligtelser, alt efter hvilken risiko anvendelsen af AI-systemet indebærer. AI-forordningen opdeler AI-systemer i følgende risikokategorier:

1. Uacceptabel risiko, hvor der som udgangspunkt gælder et forbud mod visse anvendelser.

2. Høj risiko, hvor der er specifikke krav forbundet med AI-systemerne, og hvor der er påkrævet forudgående overensstemmelsesvurdering og efterfølgende markedsovervågning.

3. Begrænset risiko, hvor der er gennemsigtighedsforpligtelser for visse AI-systemer.

4. Lav eller minimal risiko, hvor der ikke er specifikke krav, og som derfor kan omsættes og anvendes frit, men hvor der er mulighed for at underlægge sig krav frivilligt gennem adfærdskodekser.

Systemer med en uacceptabel høj risiko vil efter forordningens artikel 5 være forbudte at omsætte, ibrugtage eller anvende i EU. Forbuddet omfatter følgende:

  • Praksisser, der har et betydeligt potentiale til at manipulere en persons underbevidsthed ved hjælp af subliminale teknikker, eller udnytter sårbarheder hos specifikke sårbare grupper for væsentligt at forvride deres adfærd på en måde, der sandsynligvis vil forvolde dem eller en anden person psykisk eller fysisk skade.
  • Offentlige myndigheders generelle brug af visse sociale pointsystemer baseret på AI, hvor disse fører til skadelig eller ugunstig behandling.
  • Anvendelsen af systemer til biometrisk fjernidentifikation i realtid på offentlige steder med henblik på retshåndhævelse, med visse undtagelser.

Danmark vil grundet det danske retsforbehold ikke være omfattet af forbuddet mod anvendelsen af systemer til biometrisk fjernidentifikation i realtid på offentlige steder.

Skrappe krav til Højrisiko-AI-systemer

AI-systemer med en høj risiko vil kunne anvendes i EU, hvis kravene i forordningens afsnit III overholdes. Højrisiko-AI-systemer er defineret i forordningens artikel 6.

Den ene kategori omfatter AI-systemer, der er beregnet til at blive anvendt som en sikkerhedskomponent i et produkt eller i sig selv er et produkt omfattet af harmoniseret EU-lovgivning anført i bilag 2 til forordningen, og der er forpligtet til at gennemgå en tredjeparts overensstemmelsesvurdering. Det omfatter bl.a. AI-systemer integreret i medicinsk udstyr, legetøj m.v.

Den anden kategori omfatter AI-systemer, der er selvstændige systemer – dvs. uafhængige af et produkt – og hvor Kommissionen vurderer, at systemets formål udgør en høj risiko for menneskers sundhed og sikkerhed eller grundlæggende rettigheder. Disse højrisiko-AI-systemer er oplistet i bilag 3 til forordningen og omfatter følgende otte overordnede områder med dertilhørende nærmere angivne anvendelser:

  1. Biometriske systemer
  2. Kritisk infrastruktur og beskyttelsen af miljøet
  3. Uddannelse og erhvervsuddannelse
  4. Beskæftigelse, forvaltning af arbejdstagere og adgang til selvstændig virksomhed
  5. Adgang til og benyttelse af private og offentlige tjenester og fordele, herunder bl.a. offentlige myndigheders afgørelser, kreditvurderinger m.v.
  6. Retshåndhævelse
  7. Migrationsstyring, asylforvaltning og grænsekontrol samt
  8. Retspleje og demokratiske processer.

AI-systemer, der er kategoriseret som høj-risiko, pålægges en række skrappe forpligtelser i forordningens kapitel 2. Det omfatter følgende:

  • Risikostyringssystem (artikel 9): Etablering, dokumentation og vedligehold af et risikostyringssystem, der bl.a. skal identificere risici tilknyttet systemet samt indføre passende risikostyringsforanstaltninger til at adresse de pågældende risici.
  • Data og datastyring (artikel 10): Såfremt AI-systemet involverer træning af modeller med data, skal de pågældende datasæt efterleve en række kvalitetskriterier, herunder bl.a. for passende datastyring- og dataforvaltningspraksis, samt at datasæt skal være relevante, repræsentative, fejlfri og fuldstændige.
  • Teknisk dokumentation (artikel 11): Der skal udarbejdes teknisk dokumentation, der påviser, at højrisiko-AI-systemet overholder de krav, der er fastsat i forordningen, og således at alle de oplysninger, der er nødvendige for at vurdere AI-systemets overholdelse af disse krav, gives til de nationale kompetente myndigheder og bemyndigede organer. Forordningens bilag 4 indeholder de elementer, som dokumentationen som minimum skal omfatte.
  • Registrering (artikel 12): Højrisiko-AI-systemer udformes og udvikles på en sådan måde, at hændelser ("logfiler") registreres automatisk, når højrisiko-AI-systemet er i drift. Denne logning er i overensstemmelse med anerkendte standarder eller fælles specifikationer.
  • Gennemsigtighed og formidling af oplysninger til brugere (artikel 13): Systemerne skal udformes og udvikles på en sådan måde, at deres drift er tilstrækkelig gennemsigtig til, at brugerne kan fortolke systemets output og anvende det korrekt. Samtidig skal systemet ledsages af brugsanvisninger i et passende digitalt format eller på anden vis, som indeholder kortfattede, fuldstændige, korrekte og klare oplysninger, som er relevante, tilgængelige og forståelige for brugerne.
  • Menneskeligt tilsyn (artikel 14): Højrisiko-AI-systemer skal udformes og udvikles på en sådan måde, herunder med passende menneske-maskine-grænseflade værktøjer, at fysiske personer kan føre effektivt tilsyn med dem i den periode, hvor AI-systemet er i brug.
  • Nøjagtighed, robusthed og cybersikkerhed (artikel 15): Højrisiko-AI-systemer skal udformes og udvikles på en sådan måde, at de i lyset af deres tilsigtede formål har et passende niveau af nøjagtighed, robusthed og cybersikkerhed i hele deres livscyklus.

Forpligtelser for udbydere og brugere af højrisiko-ai-systemer

Forordningens kapitel 3 fastsætter en række forpligtelser for udbydere, brugere og øvrige aktører afhængig af deres placering i værdikæden.

Udbydere af højrisiko-AI-systemer skal efter forordningens artikel 16 bl.a.:

  • sikre overholdelse af de ovennævnte generelle krav for høj-risiko-AI-systemer og foretage korrigerende foranstaltninger, hvis kravene ikke er opfyldt,
  • indføre et kvalitetsstyringssystem,
  • udarbejde den tekniske dokumentation for højrisiko-AI-systemet,
  • opbevare de logfiler, der automatisk genereres af deres højrisiko-AI-systemer, når logfilerne er under deres kontrol,
  • sørge for at gennemføre overensstemmelsesvurdering for systemet,
  • sørge for at registrere højrisiko-AI-systemet i en særlig EU-database herfor,
  • underrette de relevante myndigheder i de lande, hvor de har tilgængeliggjort eller ibrugtaget systemet,
  • CE-mærke systemet, samt
  • kunne påvise overholdelse af kravene til tilsynsmyndighederne.

AI-forordningen stiller færre krav til brugerne af højrisiko-AI-systemer. Brugerne skal efter forordningens artikel 29:

  • anvende højrisiko-AI-systemet i overensstemmelse med brugsanvisningen,
  • sikre relevante inputdata i lyset af formålet med systemet,
  • overvåge driften af systemet på grundlag af brugsanvisningen,
  • opbevare logfiler, hvis de er under brugernes kontrol, samt
  • udarbejde en konsekvensanalyse vedrørende databeskyttelse (DPIA) på baggrund af oplysningerne i brugsanvisningen.

Brugere vil som nævnt blive anset for selv at være udbydere, hvis de markedsfører højrisiko-AI-systemet under eget navn eller tager det i brug, ændrer dets formål eller foretager en væsentlig ændring af systemet, jf. forordningens artikel 28.

Gennemsigtighedsforpligtelser for visse ai-systemer

AI-forordningsudkastet fastsætter i artikel 52 en række gennemsigtighedsforpligtelser for visse AI-systemer for udbydere og brugere.

  • Udbydere skal sikre, at AI-systemer, der er beregnet til at interagere med fysiske personer, udformes og udvikles på en sådan måde, at fysiske personer oplyses om, at de interagerer med et AI-system, medmindre dette er indlysende ud fra omstændighederne og anvendelsessammenhængen.
  • Brugere af et system til følelsesgenkendelse eller et system til biometrisk kategorisering skal oplyse de fysiske personer, der er eksponeret for systemet, om anvendelsen af systemet.
  • Brugere af et AI-system, der genererer eller manipulerer billed-, lyd- eller videoindhold, der i væsentlig grad ligner faktiske personer, genstande, steder eller andre enheder eller begivenheder, og som fejlagtigt vil fremstå ægte eller sandfærdigt ("deepfake"), skal oplyse, at indholdet er blevet genereret kunstigt eller manipuleret.

Der er dog gjort undtagelser fra kravene i forbindelse med systemer, der er tilladt ved lov med henblik på retshåndhævelse. Ved sidstnævnte anvendelse af AI-systemet er oplysningspligten derudover heller ikke gældende, hvis anvendelsen er nødvendig for at udøve retten til ytringsfrihed eller retten til kunst og videnskab, der er sikret ved Den Europæiske Unions charter om grundlæggende rettigheder.

Store bøder og effektiv håndhævelse

I lighed med databeskyttelsesforordningen lægger AI-forordningen op til meget betydelige bøder for overtrædelse af forordningens regler. Bødens størrelse afgøres ud fra overtrædelsens alvorlighed ud fra en bødetrappe og udgør efter artikel 71 mellem 10, 20 eller 30 mio. EUR eller henholdsvis mellem 2, 4 eller 6 % af virksomhedens samlede globale årsomsætning i det foregående regnskabsår, alt efter hvilket beløb der er størst. Det vil være op til medlemslandene selv at beslutte, om offentlige myndigheder også skal kunne ifalde bødeansvar.

Forvaltningen og håndhævelsen af forordningen skal hovedsageligt ske i medlemslandene, og medlemslandene skal udpege en eller flere nationale tilsynsmyndigheder. Ifølge Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) samt Det Europæiske Databeskyttelsesråd (EDPB) vil det være ønskeligt, hvis AI-forordningen håndhæves af de samme nationale myndigheder, som håndhæver databeskyttelsesforordningen – dvs. i Danmark: Datatilsynet – men dette er ikke et krav efter AI-forordningen.

Ifølge AI-forordningsudkastet skal EDPS udpeges som kompetent myndighed for tilsynet med EU’s institutioner, agenturer og organers overholdelse af forordningen.

På EU-niveau etableres der et europæisk udvalg for kunstig intelligens (European Artificial Intelligence Board), der blandt andet skal yde rådgivning og bistand til Kommissionen med henblik på at sikre effektivt samarbejde på tværs af EU’s grænser og sikre ensartet implementering af reglerne.

Udbydere af højrisiko AI-systemer pålægges at etablere et overvågningssystem og -plan, der efter omsætningen af højrisiko systemet på markedet blandt andet skal sørge for en løbende evaluering af overholdelsen af højrisiko kravene. Markedsovervågningen og kontrol af AI-systemerne skal ske på baggrund af markedsovervågningsforordningen, der skal finde anvendelse på AI-forordningens udbydere, importører, distributører og brugere på tilsvarende måde, som markedsovervågningen i dag finder anvendelse på økonomiske operatører af produkter.

Næste skridt

AI-forordningsudkastet er endnu ikke forhandlet færdig af Rådet og Europa-Parlamentet. Der må forventes at komme ændringer til det nuværende udkast til forordningen. Når den endelige tekst vedtages, vil forordningen – ligesom databeskyttelsesforordningen – gælde umiddelbart i medlemsstaterne.

Forordningen lægger op til, at der som udgangspunkt gives en forberedelsesperiode på 24 måneder fra forordningens ikrafttrædelse, jf. forordningens artikel 85. I denne periode vil alle, der gør brug af AI-systemer, skulle forberede sig på at kunne leve op til forordningens krav, herunder identificere, hvilken aktørrolle de har i henhold til forordningen, samt hvilken type AI-system de bruger, og dermed hvilke krav de skal overholde.

Webinar om AI-forordningen og dens forhold til databeskyttelse

Vil du høre mere om AI-forordningen og dens forhold til databeskyttelsesforordningen, holder vi webinar om netop dette den 7. april 2022 kl. 13:30-15:00.

Her vil vi sætte fokus på, hvilken betydning AI-forordningen kan få for den behandling af personoplysninger, der typisk sker i AI-systemer, herunder hvilke nye krav der vil blive stillet til dig, der anvender AI. Vi giver også vores bud på, hvordan man allerede nu kan begynde at forberede sig på de nye regler, ligesom der vil være mulighed for at stille spørgsmål til vores specialister.

Hvis du ønsker at høre mere om AI-forordningen eller andre af de kommende retsakter på dataområdet, er du også velkommen til at kontakte en af vores specialister.

Læs mere om AI-forordningen og dens betydning for forsikrings- og pensionsbranchen.

Hold dig opdateret: Få juridisk viden og indsigter fra vores eksperter direkte i din indbakke

Når du tilmelder dig vores nyhedsbreve, bliver du opdateret på seneste nyt fra de retsområder, som du ønsker at følge. Du får også adgang til kommende kurser, webinarer og arrangementer – alt sammen designet til at holde dig informeret og ajour. Uanset om du er på udkig efter rådgivning, viden eller netværksmuligheder, er vores nyhedsbreve din nøgle til det hele.