AI-forordningen indfører et lagdelt sæt af forpligtelser for både udbydere og brugere af AI-systemer. Manglende efterlevelse kan udløse betydelige bøder. Reglerne er risikobaserede, så jo større indvirkning et system kan have på sundhed, sikkerhed og grundrettigheder, desto mere omfattende bliver kravene til dokumentation, styring og tilsyn.
Nøgleaktører, risici og sanktioner
Forordningen skelner primært mellem udbydere, som udvikler eller markedsfører systemer, og brugere, som udruller dem i praksis. Hertil kommer sondringen mellem AI-systemer og general purpose AI-modeller. Hovedparten af forpligtelserne for den brede virksomhedsskare retter sig mod AI-systemer, herunder de mange løsninger, der tilpasses og integreres i konkrete anvendelser.
Systemer kategoriseres efter risiko, og kravene stiger med risikoen. Forbudt praksis må ikke udbydes eller anvendes, højrisiko underlægges detaljerede pligter, mens lav- og minimalrisiko primært mødes af informations- og transparenskrav eller ingen krav.
I alle led gælder et krav om AI-kompetencer hos relevante medarbejdere. Der forventes fælles vejledning fra et kommende European Artificial Intelligence Board, og i Danmark har Digitaliseringsstyrelsen og Datatilsynet allerede publiceret materiale om ansvarlig brug af AI, herunder generativ AI. Se Digitaliseringsstyrelsens guides: digst.dk. Se Datatilsynets vejledning om myndigheders brug af AI: datatilsynet.dk.
Kategorisering og tværgående krav
Den risikobaserede tilgang afspejles i fire kategorier, der rammesætter compliance-indsatsen:
- Forbudt praksis: fx social scoring og manipulerende anvendelser.
- Høj risiko: fx rekruttering, medicinsk udstyr, kritisk infrastruktur og visse offentlige ydelser.
- Begrænset risiko: fx chatbots underlagt transparens.
- Minimal risiko: fx underholdning, uden krav.
Uanset kategori stilles der krav om AI-kompetencer og grundlæggende bedømmelse af systemets virkninger. For højrisiko skal der foreligge omfattende teknisk og organisatorisk dokumentation, som gør det muligt for tilsynet at efterprøve overholdelsen.
Krav til udbydere af højrisikosystemer
Før markedsføring skal udbydere sikre forsvarlig dataforvaltning og datakvalitet. Det indebærer systematisk data governance, forebyggelse af skævheder og dokumentation for trænings- og valideringsdatas egnethed i forhold til systemets formål. Systemet skal være robust, sikkert og ledsaget af klare brugsinstruktioner.
Udbyderen skal udarbejde en declaration of conformity, der forklarer, hvorfor og hvordan systemet opfylder kravene, typisk ved at følge harmoniserede standarder. Derudover kræves et kvalitetsstyringssystem med processer for design, datahåndtering, test, dokumentation og kontrol af ændringer. Visse højrisikosystemer skal registreres i en fælles EU-database.
Udbyderen skal gennemføre en konformitetsvurdering. Afhængigt af standardefterlevelse kan denne følge en lempeligere procedure, eller kræve vurdering af et bemyndiget organ. Når kravene er opfyldt, påføres CE-mærkning. Efter markedsføring skal der etableres et risikostyringssystem, løbende test og overvågning, samt et post-market monitoring setup. Automatisk genererede logs skal som udgangspunkt opbevares i mindst seks måneder, medmindre anden ret fastsætter en længere periode.
Udbyderen er underlagt informations- og transparensforpligtelser over for brugere og myndigheder, herunder pligt til at kunne fremvise dokumentation ved tilsyn. Vejledninger og test kan understøttes i regulatoriske sandkasser, som nationale myndigheder stiller til rådighed.
Krav til brugere og tidsplan
Brugere skal anvende systemet i overensstemmelse med udbyderens instruktioner, udpege kompetent human oversight, overvåge driften og rapportere alvorlige hændelser eller risici til udbyderen og tilsynsmyndigheden. Hvor brugeren kontrollerer logs, gælder der som minimum samme opbevaringskrav som for udbyderen. Brugere skal desuden informere berørte personer, når der interageres med AI, også for systemer med lavere risikoniveau, hvor transparenskrav gælder.
Visse sektorer, herunder finansielle virksomheder, kan rapportere AI-forordnings-compliance via eksisterende rapporteringskanaler til sektorielle tilsynsmyndigheder for at undgå dobbeltindberetning, uden at materielle krav ændres. Tidsmæssigt træder forbudte praksisser i kraft først, efterfulgt af GPAI-krav og til sidst højrisikoregimet. Overgangsperioderne er faste og regnes fra offentliggørelsen i EU-Tidende, hvorfor organisationer bør planlægge governance, dokumentation og tekniske opgraderinger i god tid.
