Hej!

EU AI Act Guide: Alt om compliance og de nye regler (2024-2030)

Vi har skabt denne guide til EU’s AI Act for at gøre kompleks lovgivning overskuelig for danske virksomheder. En praktisk, juridisk funderet gennemgang, der ruster dig til de nye krav uden at drukne i paragraffer. Læs hvordan du fremtidssikrer din brug af kunstig intelligens og bevarer dine kunders tillid.

Indholdsfortegnelse

Forstå EU’s nye AI Act: Din komplette guide til compliance

Kunstig intelligens er ikke længere bare et fremtidsfænomen – det er en integreret del af hverdagen for de fleste virksomheder. Faktisk viste en undersøgelse fra ComplyCloud, at hele 71 % af deres adspurgte deltagere allerede bruger AI i dag. Optimismen er enorm: Over 60 % af virksomhedsejere forventer, at AI vil øge produktiviteten.

Men med stor magt følger stort ansvar. Mere end 75 % af forbrugerne er bekymrede for misinformation, og derfor har EU vedtaget deres historiske AI Act. I dette blogindlæg dykker vi ned i, hvad lovgivningen betyder for dig og din virksomhed, baseret på ComplyClouds praktiske guide.

AI Act erstatter ikke GDPR – de arbejder sammen

En af de vigtigste ting at forstå er, at AI Act og GDPR lapper over hinanden, fordi AI-systemer meget ofte behandler personoplysninger. Selvom du bruger AI, skal du stadig sikre gennemsigtighed, ansvarlighed og et lovligt grundlag for behandlingen af data. For at fremtidssikre din virksomhed er det afgørende at forstå samspillet mellem disse to regelsæt.

Hvem gælder loven for?

AI Act gælder bredt for alle, der udvikler, markedsfører eller bruger AI-systemer og General-Purpose AI (GPAI) i EU. Reglerne rækker endda ud over EU’s grænser, hvis brugen af systemet påvirker en person inden for EU.

Loven skelner overordnet mellem to vigtige aktører:

  • Udbydere (Providers): Dem, der udvikler eller tilbyder AI-systemer og modeller på det europæiske marked.
  • Anvendere (Deployers): Dig, der bruger AI-systemer i en professionel sammenhæng.

De 4 risikoniveauer: Hvilken kategori falder din AI i?

EU’s AI Act inddeler AI-systemer i fire forskellige risikokategorier, som afgør, hvilke regler du skal følge. Det er vigtigt at bemærke, at det er brugen af AI-systemet – og ikke selve systemet – der definerer risikoniveauet.

1. Forbudt AI (Uacceptabel risiko)

Visse systemer udgør en så stor trussel mod samfundet og fundamentale rettigheder, at de er strengt forbudte. Dette inkluderer:

  • Social scoring: Vurdering af borgere baseret på adfærd.
  • Følelsesgenkendelse: Måling af ansattes eller elevers følelser (medmindre der er en medicinsk/sikkerhedsmæssig grund).
  • Skjult manipulation: Systemer der bevidst narrer folk, f.eks. børn til in-app køb.
  • Biometrisk kategorisering: Gruppering af mennesker ud fra følsomme træk som race, politik eller seksuel orientering.
  • Urettet skrabning af data: Automatisk indsamling af ansigter fra internettet eller overvågningskameraer.

2. Højrisiko AI

Dette omfatter systemer, der kan skade sundhed, sikkerhed eller fundamentale rettigheder. Det gælder for eksempel AI brugt til ansættelser, uddannelse, kritisk infrastruktur og retshåndhævelse.

Er du anvender (deployer), skal du sørge for menneskeligt tilsyn, informere borgere om at de er underlagt AI-beslutninger, føre logbøger og sørge for træning af dine medarbejdere.

3. Begrænset risiko AI

Her finder vi systemer som chatbots og generativ AI, der skaber tekst, lyd eller billeder. Kravet her er primært gennemsigtighed: Brugere skal tydeligt informeres om, at de taler med en AI, og AI-genereret indhold skal mærkes.

4. Minimal risiko AI

Dette dækker langt de fleste systemer i dag, som spamfiltre og AI i computerspil. Her er der ingen strenge lovkrav, men det anbefales stærkt, at man opretter interne retningslinjer.

Hvad med systemer som ChatGPT?

AI Act har specifikke regler for General-Purpose AI (GPAI) – altså de store bagvedliggende modeller som GPT-4. Kravene pålægges primært tech-giganterne, mens de fleste virksomheder vil have rollen som anvender.

Hvornår træder det i kraft – og hvad koster det at bryde loven?

AI Act trådte i kraft den 1. august 2024. Reglerne om forbudt AI og krav om AI-træning gælder dog allerede fra 2. februar 2025.

Bøderne kan lyde på op til 7 % af virksomhedens globale årlige omsætning eller 35 millioner euro for brug af forbudt AI. Som Martin Folke Vasehus, CEO hos ComplyCloud udtaler: “Du bør se på AI Act og din compliance som en konkurrencefordel og positionering.”

Din 6-trins plan til AI-compliance

  1. Kortlæg dine aktiver: Få overblik over jeres AI-systemer.
  2. Risikovurdering: Vurder systemerne for både AI-trusler og datasikkerhed.
  3. Governance og kontrol: Opret et årshjul for løbende tjek.
  4. Dokumentation: Få styr på interne politikker og “code of conduct”.
  5. Overhold GDPR: Opdater din privatlivspolitik og udfør en DPIA.
  6. Træning og bevidsthed: Uddan ledelse og medarbejdere i ansvarlig brug.

Fremtiden tilhører dem, der tør udnytte AI’s potentiale – vel at mærke på en ansvarlig og lovlig måde.

Forfatter: Michael Bisgaard

Michael er indehaver af Pikuseru og arbejdet med digitale løsninger i mere end 15 år.

Få nyheder og viden direkte i indbakken
Du fandt vores lille kage knap 🧁
Vi kommer derfor forbi med kage

Tak for dit besøg på vores hjemmeside, du fandt vores lille kage knap og derfor kommer vi forbi med kage til din virksomhed. Udfyld formularen. og så kommer vi forbi, helt uforpligtende.

Tilmeld dig vores nyhedsbrev
- og så hører du fra os direkte via e-mail, vi spammer dig ikke!