Den endelige politiske aftale om AI-forordningen giver nu klarere linjer for, hvilke systemer der er omfattet, hvornår et system er højrisiko, og hvordan indberetningspligter udløses. Virksomheder bør tidligt kortlægge deres AI-anvendelser, klassificere dem og tilpasse governance, dokumentation og kontroller, så krav kan opfyldes uden at bremse drift og innovation.
Definition og anvendelsesområde
Definitionen af et AI-system er udvidet og ligger tættere på OECD’s forståelse. Fokus er på maskinbaserede systemer med varierende grad af autonomi, der ud fra input udleder, hvordan output som forudsigelser, indhold, anbefalinger eller afgørelser genereres. Kravet om “menneskedefinerede mål” omfatter nu både eksplicitte og implicitte målsætninger, og den tidligere udtømmende teknikliste er fjernet.
Konsekvensen er et bredt anvendelsesområde: Selv relativt enkle maskinlæringsløsninger og mindre omfattende generativ AI vil som udgangspunkt være omfattet. Leverandører og brugere må derfor forvente compliance-krav på tværs af livscyklussen, herunder dokumentation, dataforvaltning og overvågning af systemets performance og virkninger.
Højrisikosystemer og undtagelser
Højrisiko omfatter bl.a. AI, der er sikkerhedskomponent i produkter reguleret af sektorlovgivning (bilag II), samt anvendelser oplistet i bilag III, fx rekrutteringssystemer til screening af kandidater. Den endelige tekst præciserer undtagelser, når brugen kun understøtter mindre, rutineprægede opgaver, forbedrer en menneskelig aktivitet, identificerer mønstre uden at erstatte den menneskelige beslutning, eller udfører forberedende opgaver.
Profileres fysiske personer, er systemet dog fortsat højrisiko. Rollefordelingen og graden af afhængighed af AI-output er afgørende: Gøres AI-resultatet de facto afgørende, kan højrisikokrav udløses. Det kan indebære risikostyring, dataforvaltning, gennemsigtighed, logning, teknisk dokumentation, menneskelig overvågning og systematisk eftermarkedsovervågning.
Indberetning og databeskyttelse
Begrebet “alvorlige hændelser” udvides til også at omfatte AI-relaterede krænkelser af EU’s regler om grundlæggende rettigheder samt særskilte kategorier for skader på ejendom og miljø. Indberetningspligten hviler primært på leverandøren, men kan i visse situationer også pålægges brugeren, særligt hvor AI påvirker afgørelser med væsentlige konsekvenser.
Behandles personoplysninger, skal AI-forordningens krav koordineres med GDPR. Det taler for opdaterede konsekvensanalyser, registreringer af behandling, passende sikkerhedsforanstaltninger og en beredskabsproces for hændelser. En samlet AI-styringsmodel med klare roller, uddannelse og løbende kontrol vil gøre det lettere at dokumentere efterlevelse og reagere rettidigt.
