Nye AI-regler kan gi gigantbøter

EUs nye AI-forordning kommer til Norge. Regelbrudd kan bli straffet med bøter på hele 7 prosent av bedriftens årlige omsetning, advarer Hallvard Müller i Crayon.

Publisert 17. okt. 2024
Lesetid: 2 minutter
Article lead
+ mer
lead
CHATGPT: Kan fort bli til høy risiko om tjenesten brukes i høyrisikoanvendelser som helsetjenester eller kritisk infrastruktur, skriver artikkelforfatteren. Foto: Dreamstime
CHATGPT: Kan fort bli til høy risiko om tjenesten brukes i høyrisikoanvendelser som helsetjenester eller kritisk infrastruktur, skriver artikkelforfatteren. Foto: Dreamstime
Jus

Gjestekommentar: Hallvard Müller, seniorrådgiver innen data governance og personvern i Crayon

EUs AI-forordning (EU AI Act), verdens første helhetlige lovgivning for kunstig intelligens, vil påvirke alle sektorer, og tvinge virksomheter til å forholde seg til nye og strengere krav. Forordningen vil trolig få virkning i Norge i løpet av første halvår 2026, men det er ingen grunn til å vente med å forberede seg.

AI-forordningen deler AI-systemer, eller egentlig anvendelser, inn i fire risikokategorier:

  • Uakseptabel risiko: AI-anvendelser som vil bli forbudt. Dette omfatter manipulasjon eller utnyttelse av sårbare grupper, som barn eller eldre.
  • Høy risiko: AI-anvendelser som påvirker kritiske områder som helse og finans, men som kanskje også har tørst innovasjonspotensial, vil bli underlagt strenge krav.
  • Begrenset risiko: AI-anvendelser der brukerkontroll og åpenhet er nødvendig, for eksempel chatbots, anbefalingssystemer og ansiktsgjenkjenning.
  • Minimal risiko: AI-anvendelser uten spesielle krav.
Hallvard Müller. Foto: Crayon

Risikoklassifiseringen avhenger av AI-systemets bruksområde og ikke av bedriftens bransje eller teknologi alene. Bedrifter som utvikler AI-systemer, vil få flere krav enn de som kun bruker dem. Jo høyere risiko, desto mer vil kreves av bedriftene for å forstå og styre risikoene innenfor bedriftens risikoevne og -vilje.

ChatGPT, for eksempel, representerer begrenset risiko i seg selv, men kan fort bli til høy risiko om tjenesten brukes i høyrisikoanvendelser som helsetjenester eller kritisk infrastruktur. Det er derfor avgjørende viktig å ha kontroll på den faktiske bruken og avklare hvem som har ansvar for hva – leverandøren eller bedriften.

For mange bedrifter vil AI-forordningen representere et nytt tankesett. Det er ikke nok å være innovativ; man må også være ansvarlig. Dette betyr å kunne vurdere ikke bare de tekniske risikoene, men også de etiske og samfunnsmessige implikasjonene av AI-systemer.

ISO 42001, verdens første standard for ledelsessystemer for kunstig intelligens, kan være et nyttig verktøy i denne sammenhengen. Standarden gir et rammeverk for hvordan bedrifter kan håndtere risikoen ved AI-systemer gjennom hele deres livssyklus, fra utvikling til implementering. Dette rammeverket kan integreres med andre ISO-standarder, som ISO 27001 for informasjonssikkerhet og ISO 9001 for kvalitet, og dermed bidra til å skape en helhetlig tilnærming til risikostyring.

Bedrifter som ikke etterlever AI-forordningen, vil kunne risikere bøter på opptil 7 prosent av årlig omsetning – vesentlig høyere enn sanksjonene for å ikke etterleve GDPR.

For bedrifter som ønsker å lykkes med kunstig intelligens, er det nå et tidsvindu for å ta grep. De som utvikler en robust risikostyring, sikrer transparens, og bygger etisk og ansvarlig AI, vil ikke bare kunne møte de regulatoriske kravene – de vil også være bedre rustet til å vinne tillit og skape bærekraftig innovasjon. Det er i dette landskapet, mellom teknologi og ansvar, at fremtidens vinnerbedrifter vil befinne seg.

Hallvard Müller

Seniorrådgiver innen data governance og personvern i Crayon

hallvard müller
Crayon
Jus
Teknologi

Informasjon om bruk av AI