DAEN

MENU

Den kommende AI-forordning og dens betydning for forsikrings- og pensionsbranchen

I takt med den øgede digitalisering i forsikrings- og pensionsbranchen vil brugen af kunstig intelligens (AI) også blive mere udbredt. På samme tid bliver regulering af området stadig mere detaljeret – det seneste skud på stammen er den kommende AI-forordning. I denne nyhed giver vi en indflyvning til forordningen og dens betydning for forsikrings- og pensionsbranchen.

I takt med den øgede digitalisering i forsikrings- og pensionsbranchen vil brugen af kunstig intelligens (AI) også blive mere udbredt. På samme tid bliver regulering af området stadig mere detaljeret – det seneste skud på stammen er den kommende AI-forordning. I denne nyhed giver vi en indflyvning til forordningen og dens betydning for forsikrings- og pensionsbranchen.

Indledning

EU-kommissionen fremlagde i april 2021 et forslag til en ny forordning om harmoniserede regler for kunstig intelligens (AI-forordningen), som sidenhen har været under forhandling i EU’s institutioner. Det er forventningen, at forordningen færdigforhandles inden for et år. Der er indsat en 2-årig overgangsperiode i forordningen, således at forordningens bestemmelser som udgangspunkt finder anvendelse 2 år efter offentliggørelsen af forordningen – ligesom det i sin tid gjorde sig gældende for databeskyttelsesforordningen.

AI-forordningen vil – når den vedtages – de facto fungere som en ”grundlov” for udbydere og brugere af AI-systemer, herunder både private virksomheder og offentlige myndigheder, uanset hvilken sektor der er tale om.

AI-forordningens formål er:

  • at sørge for, at AI-systemer, der bringes i omsætning og anvendes på EU-markedet, er sikre og i overensstemmelse med eksisterende lovgivning om grundlæggende rettigheder og Unionens værdier,
  • at sikre retssikkerheden med henblik på at fremme investering og innovation inden for kunstig intelligens,
  • at forbedre forvaltning og effektiv håndhævelse af den eksisterende lovgivning om grundlæggende rettigheder og sikkerhedskrav til AI-systemer, samt
  • at fremme udviklingen af et indre marked for lovlige, sikre og pålidelige AI-anvendelser og forhindre markedsfragmentering.

Hvornår og for hvem gælder forordningen?

AI-forordningen har et bredt anvendelsesområde og omfatter myndigheder og virksomheders omsætning og brug af AI-systemer, f.eks. en leverandør af et CV-screeningsværktøj og et forsikringsselskab, der bruger dette værktøj.

Forordningen finder efter artikel 2 bl.a. anvendelse på udbydere, brugere, importører og distributører af AI-systemer, idet forordningen dog som udgangspunkt regulerer alle led i værdikæden for produktion, brug og omsætning af AI-systemer.

En udbyder er efter AI-forordningen en fysisk eller juridisk person, en offentlig myndighed, et agentur eller et andet organ, der udvikler eller får udviklet et AI-system og bringer det i omsætning eller ibrugtager det under eget navn eller varemærke, enten mod betaling eller gratis. Videre er en bruger enhver fysisk eller juridisk person, offentlig myndighed eller ethvert agentur eller andet organ, der anvender et AI-system under sin myndighed. Brugere kan under visse omstændigheder selv blive anset for at være udbydere.

Forordningen regulerer AI-systemer, som er bredt defineret i forordningen. I det seneste udkast til forordningen – som har ændret sig flere gange – er AI-systemer defineret som et system, der er udformet med henblik på:

  • at fungere med elementer af autonomi, og
  • som på grundlag af data og input fra maskiner og/eller mennesker udleder, hvordan et givet sæt mål kan nås ved hjælp af maskinlæring og/eller logiske og videnbaserede tilgange, og
  • som producerer systemgenereret output såsom indhold (generative AI-systemer), forudsigelser, anbefalinger eller beslutninger, der påvirker de miljøer, som AI-systemet interagerer medmodtager maskin- og/eller menneskebaserede data og input.

Centrale regler i AI-forordningen

Med AI-forordningen indføres en risikobaseret tilgang til brugen af AI-systemer, hvor der indføres forskellige niveauer af forpligtelser, alt efter hvilken risiko anvendelsen af AI-systemet indebærer. AI-forordningen opdeler AI-systemer i fire risikokategorier fra forbudte AI-systemer til systemer med lav eller minimal risiko.

Systemer med en uacceptabel risiko vil efter forordningens artikel 5 være forbudte at omsætte, ibrugtage eller anvende i EU. Forbuddet omfatter f.eks. omsætning, ibrugtagning eller anvendelse af AI-systemer med henblik på evaluering eller klassificering af fysiske personers over en given periode på grundlag af deres sociale adfærd eller kendte eller forudsagte personlige egenskaber eller personlighedstræk, således at den sociale bedømmelse fører til eksempelvis skadelig eller ugunstig behandling af visse fysiske personer eller grupper heraf, som er uberettiget eller uforholdsmæssig i forhold til deres sociale adfærd eller alvorligheden heraf.

Udover forbud mod visse typer AI-systemer indeholder forordningen overordnet tre typer regulering:

  • Særlige krav til anvendelse af AI-systemer, der anses for at frembyde høj risiko (Artikel 6-51).
  • Transparenskrav til AI-systemer, der interagerer med mennesker (Artikel 52).
  • Rammer for frivillige adfærdskodekser for AI-systemer, der ikke er højrisikosystemer (Artikel 69).

Hovedvægten i AI-forordningen er reguleringen af højrisikosystemer, som er defineret som AI-systemer indenfor otte overordnede områder, såsom:

  • biometrisk fjernidentifikation,
  • kritisk digital infrastruktur,
  • uddannelse og erhvervsuddannelse,
  • beskæftigelse og HR,
  • adgang til og benyttelse af væsentlige private og offentlige tjenester og fordele, herunder bl.a. offentlige myndigheders afgørelser, kreditvurderinger, risikovurdering og prisfastsættelse ifm. fysiske personers livs- og sygeforsikring,
  • retshåndhævelse m.m.

Højrisikosystemer er intensivt reguleret i forhold til både udvikling, drift, salg og brug. Der skal for disse systemer efter det seneste udkast til AI-forordningen eksempelvis etableres et risikostyrings- og kvalitetssikringssystem (artikel 9 og 17), udarbejdes og vedligeholdes omfattende teknisk dokumentation (artikel 11 og bilag III), ligesom der vil gælde krav om menneskeligt tilsyn, transparens, robusthed, cybersikkerhed og korrekthed. Derudover skal brugere af højrisikosystemer i medfør af AI-forordningsudkastets artikel 29 udarbejde en konsekvensanalyse for databeskyttelsen som fastsat i databeskyttelsesforordningens artikel 35.

Visse regler gælder derudover for alle typer af AI-systemer, dvs. uanset hvilken risiko de er forbundet med. Alle AI-systemer, herunder højrisikosystemer, som er tiltænkt at interagere med fysiske personer, skal således f.eks. designes på en sådan måde, at personerne gøres opmærksom på, at de indgår i en interaktion med et AI-system. Et andet eksempel er en særlig oplysningspligt for AI-systemer, som frembringer "deep fakes" af billeder, lyd og video.

I lyset af, at højrisikosystemer bl.a. omfatter fysiske personers adgang til og benyttelse af væsentlige private tjenester og fordele samt HR- og beskæftigelsessystemer, er der en rimelig sandsynlighed for, at forsikrings- og pensionsbranchen allerede anvender eller har planer om at anvende AI-systemer, der vil være omfattet af den kommende forordning, herunder de særlige – og omfattende – krav til højrisikosystemer. Dette vil især gælde, i det omfang AI-systemer anvendes i kundevendte services.

Læs mere om vores juridiske rådgivning inden for AI-løsninger.

Hvad kan I gøre allerede nu?

Omfanget af de kommende regler gør det relevant allerede på nuværende tidspunkt at overveje, hvordan der opnås compliance med reglerne. Det er i den forbindelse væsentligt at være opmærksom på, at der er overlap mellem AI-forordningen og databeskyttelsesforordningen i flere af de centrale temaer, hvor AI-forordningen indeholder mere AI-specifikke regler. Dette ses eksempelvis i krav til gennemsigtighed og til korrekthed samt kravet om konsekvensanalyse vedrørende databeskyttelsen.

I kan således med fordel allerede nu forberede jer på AI-forordningen, idet visse af kravene i nogen grad allerede gælder. Forberedelse kan baseret på vores erfaringer særligt bestå i følgende:

  • Det vil først og fremmest være væsentligst at have fokus på compliance med databeskyttelsesreglerne, f.eks. ved at lave en konsekvensanalyse, hvor nødvendigt, samt implementere og dokumentere privacy by design.
  • Få et overblik over de AI-systemer, I eventuelt allerede anvender eller påtænker at anvende – hvilken risiko henhører systemet under?
  • Begynd allerede nu at indtænke kravene fra AI-forordningen, herunder ift. indkøb af applikationer/forhandling med leverandører.
  • Uddannelse og awareness om reglerne.

Vi følger løbende med i forhandlingerne om AI-forordningen og udviklingen heri, ligesom vi i løbet af foråret afholder et event om AI-forordningens og databeskyttelsesforordningens betydning for AI-systemer i bl.a. pensions- og forsikringsbranchen.

Hvis I i mellemtiden har spørgsmål til ovenstående eller til området i øvrigt, skal I være meget velkomne til at kontakte os.

Hold dig opdateret: Få juridisk viden og indsigter fra vores eksperter direkte i din indbakke

Når du tilmelder dig vores nyhedsbreve, bliver du opdateret på seneste nyt fra de retsområder, som du ønsker at følge. Du får også adgang til kommende kurser, webinarer og arrangementer – alt sammen designet til at holde dig informeret og ajour. Uanset om du er på udkig efter rådgivning, viden eller netværksmuligheder, er vores nyhedsbreve din nøgle til det hele.