Fremtiden er nå: Forbered virksomheten din på EUs AI-lov

Den europeiske unions banebrytende AI-lov, godkjent av lovgivere på onsdag, er satt til å etablere blokken som en global leder innen AI-styring. Lovgivningen, som mottok overveldende støtte fra MEP-er, tar sikte på å ivareta grunnleggende rettigheter, demokrati, rettsstaten og miljømessig bærekraft, samtidig som den fremmer innovasjon ved å regulere AI-systemer basert på deres potensielle risikoer og virkninger.

Implikasjonene er betydelige for virksomheter som opererer innenfor EU eller samarbeider med EU-baserte kunder og partnere. Proaktiv tilpasning til AI-lovens bestemmelser kan føre til et konkurransefortrinn innen tillit, åpenhet og ansvarlig innovasjon, mens manglende overholdelse risikerer bøter, skade på omdømmet og tapte muligheter.

Så hvordan kan bedrifter forberede seg på å navigere i dette nye AI-landskapet med suksess? Vi fordyper oss i de kritiske bestemmelsene i AI-loven, den potensielle innvirkningen på ulike forretningsfunksjoner og praktiske skritt du kan ta for å sikre samsvar og utnytte fordelene med dette nye AI-paradigmet.

Forstå EU AI Act

EU AI Act er et banebrytende regelverk som tar sikte på å sikre at AI-teknologier utvikles og brukes trygt, transparent og på en måte som respekterer EU-borgeres rettigheter og friheter. 

• Dens formål er å lage et harmonisert sett med regler for kunstig intelligens på tvers av EUs medlemsland, med fokus på å beskytte grunnleggende rettigheter og sikkerhet. 
• De omfang av loven er bred, og dekker et bredt spekter av AI-applikasjoner, fra chatbots til komplekse maskinlæringsalgoritmer. 
• Dens hovedmål inkludere å fremme AI-innovasjon i EU, sikre AI-systemers sikkerhet og beskyttelse av grunnleggende rettigheter, og etablere juridisk klarhet for bedrifter og utviklere.

Klassifisering av AI-systemer

Loven innfører en risikobasert tilnærming til AI-regulering, kategorisering av AI-systemer basert på risikonivået de utgjør for samfunnet:

Uakseptabel risiko:

AI-systemer som manipulerer menneskelig atferd for å omgå brukernes frie vilje eller systemer som tillater sosial scoring av myndigheter er forbudt. Eksempler inkluderer: 

• Kognitiv atferdsmanipulasjon av mennesker eller spesifikke sårbare grupper
• Sosial skåring: klassifisering av mennesker basert på atferd, sosioøkonomisk status eller personlige egenskaper
• Biometrisk identifikasjon og kategorisering av personer
• Sanntids og eksterne biometriske identifikasjonssystemer, for eksempel ansiktsgjenkjenning

High Risk:

Disse systemene vil bli vurdert før de kommer på markedet og gjennom hele livssyklusen. Folk vil ha rett til å sende inn klager på AI-systemer til utpekte nasjonale myndigheter. Eksempler inkluderer: 

• Kritisk infrastruktur som transport, elektrisk nett og vann som kan sette innbyggernes liv og helse i fare
• Utdannings- eller yrkesopplæring som kan bestemme tilgangen til utdanning og yrkesløpet i noens liv (f.eks. scoring av eksamener)
• Sikkerhetskomponenter i produkter, for eksempel AI-applikasjon i robotassistert kirurgi
• Ansettelse, ledelse av arbeidere og tilgang til selvstendig næringsvirksomhet (f.eks. CV-sorteringsprogramvare for rekrutteringsprosedyrer)
• Viktige private og offentlige tjenester som kredittscoring som kan nekte innbyggerne muligheten til å få lån
• Rettshåndhevelse som kan forstyrre folks grunnleggende rettigheter, for eksempel evaluering av bevisets pålitelighet
• Migrasjon, asyl og grensekontroll (f.eks. automatisert behandling av visumsøknader)
• Rettsbehandling og demokratiske prosesser, for eksempel AI-løsninger for å søke etter rettsavgjørelser

Begrenset risiko:

Andre AI-systemer som utgjør minimal eller ingen risiko for EU-borgeres rettigheter eller sikkerhet. Leverandører av disse tjenestene må sørge for at de er designet og utviklet for å sikre at individuelle brukere vet at de samhandler med et AI-system. Leverandører kan frivillig forplikte seg til etiske retningslinjer utviklet av industrien, slik som ISO/IEC 42001. Eksempler på lavrisiko AI-systemer inkluderer;

• Chatbots / virtuelle assistenter
•  AI-aktiverte videospill 
• Spamfiltre 

Generelle AI-modeller:

I henhold til loven er disse definert som AI-modeller som viser betydelig generalitet, som kompetent kan utføre et bredt spekter av forskjellige oppgaver og kan integreres i forskjellige nedstrømssystemer eller applikasjoner. Eksempler på disse inkluderer:

• Bilde-/talegjenkjenningstjenester
• Lyd-/videogenereringstjenester 
• Mønsterdeteksjonssystemer
• Automatiserte oversettelsestjenester

Krav til samsvar

Generelle samsvarskrav for AI-systemer i henhold til loven inkluderer:

• Fundamental Rights Impact Assessments (FRIA) – før distribusjon må AI-systemer vurdere innvirkningen på grunnleggende rettigheter som disse systemene kan produsere. Hvis det kreves en konsekvensvurdering for databeskyttelse, bør FRIA utføres i forbindelse med den DPIA. 
• Samsvarsvurderinger (CA) -CAer må utføres før en AI plasseres på EU-markedet eller når et høyrisiko AI-system er vesentlig modifisert. Importører av AI-systemer må også sørge for at den utenlandske leverandøren allerede har utført riktig CA-prosedyre.
• Implementere systemer for risikostyring og kvalitetsstyring å kontinuerlig vurdere og redusere systemiske risikoer. Eksempler inkluderer ISO 9001.
• Åpenhet—Enkelte AI-systemer må være transparente, for eksempel der det er en klar risiko for manipulasjon, for eksempel via chatbots. Enkeltpersoner må informeres når de samhandler med AI; AI-innhold må være merket og detekterbart. 
• Kontinuerlig overvåking - AI-tjenester må sikre løpende testing og overvåking for å sikre nøyaktighet, robusthet og cybersikkerhet. 

For høyrisiko AI-systemer, i tillegg til det ovennevnte, vil virksomheter også måtte sørge for: 

• Datakvalitet: Garantere nøyaktigheten, påliteligheten og integriteten til dataene som brukes av AI-systemer, og minimere feil og skjevheter som kan føre til feilaktige beslutninger.
• Dokumentasjon og sporbarhet: Opprettholde omfattende registreringer og dokumentasjon av AI-systemoperasjoner, beslutningsprosesser og datakilder. Dette sikrer åpenhet og letter revisjon, og muliggjør sporbarhet av AI-beslutninger tilbake til deres opprinnelse.
• Menneskelig tilsyn: Etablere mekanismer for menneskelig tilsyn, noe som muliggjør menneskelig intervensjon i AI-systemoperasjoner. Denne sikringen sikrer at AI-beslutninger kan gjennomgås, tolkes og, om nødvendig, overstyres av menneskelige operatører, og opprettholder menneskelig kontroll over kritiske beslutninger.

Videre, når offentlige myndigheter implementerer AI-systemer, er de forpliktet til å registrere dem i en offentlig EU-database for å fremme åpenhet og ansvarlighet, bortsett fra bruk knyttet til rettshåndhevelse eller migrasjon.

Hva med Chat GPT?

Generative AI-leverandører som genererer syntetisk lyd-, bilde-, video- eller tekstinnhold må sørge for at innhold er merket i et maskinlesbart format og kan oppdages som kunstig generert eller manipulert.

De må også overholde kravene til åpenhet og EUs lov om opphavsrett. Noen av forpliktelsene er:

• Avsløre at AI skapte innholdet
• Designe modellen for å forhindre at den genererer ulovlig innhold
• Publisering av sammendrag av opphavsrettsbeskyttede data brukt til opplæring

Bøter og tvangsfullbyrdelse

EU-kommisjonens AI-kontor vil føre tilsyn med AI-systemer avledet fra generelle AI-modeller av samme leverandør, og fungerer med markedsovervåkingsmyndigheten. Andre AI-systemer vil falle under tilsyn av nasjonale markedsovervåkingsorganer.

AI-kontoret vil koordinere EU-omfattende styring og regelhåndhevelse for generell AI, mens medlemslandene vil definere håndhevelsestiltak, inkludert straffer og ikke-monetære tiltak. Selv om enkeltpersoner kan rapportere brudd til nasjonale myndigheter, åpner ikke loven for individuelle skadekrav. Det er straffer for: 

• Forbudte AI-brudd, opptil 7 % av den globale årlige omsetningen eller 35 millioner euro. 
• De fleste andre brudd er opptil 3 % av den globale årlige omsetningen eller 15 millioner euro. 
• Levering av feil informasjon til myndighetene, opptil 1 % av den globale årlige omsetningen eller 7.5 millioner euro. 

AI-styret skal gi råd om lovens gjennomføring, koordinere med nasjonale myndigheter og gi anbefalinger og uttalelser.

Tidslinjer for overholdelse

AI-loven forventes å bli lov innen juni i år, og dens bestemmelser vil begynne å tre i kraft i etapper: 

• Seks måneder senere vil land bli pålagt å forby forbudte AI-systemer
• Ett år senere vil regler for generelle AI-systemer begynne å gjelde
• To år senere vil hele AI-loven kunne håndheves. 

Innvirkning på bedrifter

EUs AI-lov vil få vidtrekkende konsekvenser på tvers av sektorer, fra teknologi og helsevesen til finans og til og med individuelle forretningsfunksjoner som er avgjørende for driften din. Å forstå hvordan loven vil påvirke dine spesifikke bransje- og forretningsfunksjoner, vil gjøre deg i stand til å proaktivt tilpasse AI-praksisen din med de nye kravene.

Generelle hensyn til forretningsdrift

• Produktutvikling: Du må innlemme "ethics by design"-prinsipper, og sikre at AI-systemer utvikles med rettferdighet, åpenhet og ansvarlighet i tankene fra begynnelsen.
• Markedsføring og salg: Vær forberedt på å gi kundene detaljert informasjon om AI-tilbudene dine, inkludert deres risikoklassifisering og samsvar med loven.
• Juridisk og overholdelse: Arbeid tett med det juridiske teamet ditt for å tolke lovens bestemmelser, vurdere AI-porteføljens risikonivåer og implementere nødvendige sikkerhetstiltak og dokumentasjon.
• HR og rekruttering: Hvis du bruker kunstig intelligens til ansettelse og evaluering av ansatte, sørg for at systemene blir revidert for skjevheter og gir mulighet for menneskelig tilsyn og appeller.
• Kundeservice: AI-drevne chatbots og virtuelle assistenter må være transparente om deres kunstige natur og gi muligheter for menneskelig eskalering.

Behov for operasjonelle endringer

Bedrifter på tvers av alle sektorer vil måtte implementere en rekke operasjonelle endringer for å overholde EUs AI-lov, inkludert:

• Justering av AI-modeller: Å sikre at AI-algoritmer er rettferdige, transparente og forklarbare, kan kreve redesign eller oppdatering av dem for å eliminere skjevheter og forbedre tolkningsevnen.
• Praksis for datahåndtering: Vedta strengere datastyringspraksis, med fokus på datakvalitet, sikkerhet og personvern. Dette inkluderer nøyaktig datainnhenting, sikker datalagring og etisk databruk.
• Åpenhetstiltak: Øke åpenheten til AI-systemer, spesielt de som samhandler direkte med forbrukere. Bedrifter må kanskje utvikle mekanismer for å forklare hvordan AI-systemene deres tar beslutninger eller anbefalinger.

Juridiske og etiske hensyn

Det juridiske og etiske landskapet for virksomheter vil også utvikle seg under EUs AI-lov, med sterk vekt på:

• Ansvarlighet: Bedrifter holdes ansvarlige for AI-systemene de distribuerer. Dette inkluderer å sikre at AI-systemer er trygge og ikke-diskriminerende og respekterer personvernrettigheter. Bedrifter kan trenge å etablere interne prosesser for kontinuerlig AI-overvåking og samsvarsrevisjon.
• Beskyttelse av grunnleggende rettigheter: Loven forsterker beskyttelsen av grunnleggende rettigheter, inkludert personvern, ikke-diskriminering og frihet fra manipulasjon. Dette nødvendiggjør en grundig etisk gjennomgang av AI-applikasjoner for å sikre at de ikke bryter disse rettighetene.
• Etisk bruk av kunstig intelligens: Utover lovlig overholdelse, er det et press mot etiske hensyn i AI-utvikling og -distribusjon. Dette inkluderer å sikre at AI-systemer bidrar positivt til samfunnet, ikke forverrer sosiale ulikheter og er utformet med allmenne interesser i tankene.

Trinn for å forberede virksomheten din

For å effektivt forberede virksomheten din for EUs AI-lov, effektivisere innsatsen din ved å fokusere på kritiske trinn og utnytte etablerte rammeverk, som ISO 42001, for AI-styringssystemer. Her er noen praktiske første trinn:

• Gjennomfør en AI-revisjon: Ta oversikt over alle AI-systemene dine, kategoriser dem etter risikonivå, og identifiser hull i samsvar med lovens krav.
• Engasjere interessenter: Involver nøkkelinteressenter fra produkt-, juss-, markedsførings-, HR- og andre relevante avdelinger for å utvikle en omfattende handlingsplan.
• Invester i forklarbar AI: Prioriter AI-løsninger som tydelig forklarer deres beslutningsprosess, noe som gjør det lettere å overholde åpenhetsforpliktelser.
• Styrke datastyring: Gå gjennom praksisene dine for datainnsamling, lagring og behandling for å sikre samsvar med lovens standarder for datakvalitet og personvern.
• Fremme en kultur av ansvarlig AI: Lær ansatte om etisk AI-utvikling og bruk og oppmuntre til etterlevelse av lovens prinsipper.

Vedta ISO 42001 Governance Framework

ISO/IEC 42001 er en internasjonal standard som gir et rammeverk for å etablere, implementere, vedlikeholde og kontinuerlig forbedre et styringssystem for kunstig intelligens i organisasjoner. Den adresserer de unike ledelsesutfordringene som AI-systemer utgjør, inkludert åpenhet og forklarbarhet, for å sikre ansvarlig bruk og utvikling.

Kritiske aspekter ved ISO 42001:

• Risikostyring: It gir et rammeverk for å identifisere, vurdere og administrere risikoer gjennom hele livssyklusen til AI-systemer, fra design og utvikling til utrulling og dekommisjonering.
• Etiske vurderinger: Standarden understreker viktigheten av etiske hensyn ved bruk av AI, inkludert åpenhet og ansvarlighet, og å sikre at AI-systemer ikke forsterker eksisterende skjevheter eller skaper nye.
• Data beskyttelse: Gitt at AI-systemer ofte behandler store mengder personlige og sensitive data, skisserer ISO 42001 databeskyttelse og personvernpraksis, i samsvar med globale databeskyttelsesforskrifter som GDPR.
• AI-sikkerhetstiltak: Den beskriver spesifikke sikkerhetstiltak for AI-systemer, inkludert sikring av AI-algoritmer mot tukling, sikring av integriteten til datainndata og sikring av konfidensialiteten til data.
• Hendelsesrespons: Standarden inkluderer retningslinjer for utvikling av en hendelsesresponsplan skreddersydd til de unike utfordringene som AI-teknologier utgjør, og sikrer at organisasjoner kan reagere effektivt på sikkerhetshendelser som involverer AI-systemer.

Fordelene ved å ta i bruk ISO 42001 

1. Forbedret tillit: Ved å følge en globalt anerkjent standard kan organisasjoner bygge tillit hos kunder, partnere og regulatorer ved å demonstrere deres forpliktelse til sikker og etisk bruk av kunstig intelligens.
2. Redusert risiko: Implementering av ISO 42001s risikostyringsrammeverk hjelper organisasjoner med proaktivt å identifisere og redusere potensielle sikkerhetssårbarheter i AI-systemer, noe som reduserer risikoen for sikkerhetsbrudd og datalekkasjer.
3. Overholdelse av regelverk: Etter hvert som regelverket rundt AI og databeskyttelse utvikler seg, kan ISO 42001 tjene som en retningslinje for organisasjoner for å sikre overholdelse av gjeldende og fremtidige juridiske krav.
4. Competitive Advantage: Bedrifter som prioriterer AI-sikkerhet kan differensiere seg i markedet, og appellerer til sikkerhetsbevisste kunder og partnere.
5. Forbedret AI-styring: Standarden oppfordrer til en helhetlig tilnærming til AI-styring, som integrerer sikkerhets-, etikk- og databeskyttelseshensyn i organisasjonens AI-strategi.

Ved å ta i bruk ISO 42001 som grunnlag for din AI-styring og overholdelsesinnsats kan du strømlinjeforme forberedelsesprosessen, og sikre en strukturert tilnærming til å oppfylle kravene i EUs AI-lov samtidig som etisk AI-praksis fremmes.

Komme i gang på reisen til kompatibel AI-bruk

EU AI Act er et sentralt øyeblikk i AI-regulering, og bedrifter må handle nå for å unngå overholdelsesrisiko og gripe muligheter. Tilnærm deg loven som en katalysator for positiv endring, og samkjør AI-praksisen din med prinsipper om åpenhet, ansvarlighet og etisk bruk for å avgrense prosesser, drive innovasjon og etablere virksomheten din som en leder innen ansvarlig AI.

Utnytt veiledningen gitt av ISO 42001, den internasjonale standarden for AI-styringssystemer, for å strukturere tilnærmingen din og sikre omfattende dekning av kritiske områder som styring, risikostyring og kontinuerlig forbedring.

Ved å proaktivt forberede deg på EUs AI-lov kan du redusere risikoer og posisjonere virksomheten din som en leder innen ansvarlig AI-innovasjon.

Tilleggsressurser

For ytterligere å hjelpe deg med å navigere i EU AI Act, bør du vurdere å utforske disse ressursene:

• Offisiell EU-dokumentasjon om AI-loven
• Detaljert informasjon om ISO 42001
• Bestill en demo med teamet vårt for å se hvordan vi allerede har hjulpet organisasjoner med å oppnå ISO 42001-overholdelse