Risikokategorier og centrale krav i AI-forordningen
AI-forordningen trådte i kraft 1. august 2024, og de første materielle regler får virkning 2. februar 2025. Regimet er risikobaseret: jo højere risiko, desto strengere krav. Derfor bør virksomheder starte tidligt med at kortlægge anvendt AI og relevante krav.
Forbudte systemer efter art. 5 omfatter AI, der truer sikkerhed eller grundlæggende rettigheder. Højrisikosystemer reguleres i art. 6 og bilag III og omfatter bl.a. anvendelser inden for kritisk infrastruktur, uddannelsesoptag og sundhed. Uafhængigt af risiko gælder gennemsigtighedskrav i art. 50, fx oplysning om deepfakes og information til brugere, der interagerer med chatbots. AI-modeller til almen brug (GPAI), herunder store sprogmodeller, er særskilt reguleret i kapitel V med særlige forpligtelser ved systemiske risici.
Et AI-system er maskinbaseret, kan agere med varierende autonomi og udlede output som forudsigelser eller anbefalinger. AI-modeller er centrale byggesten, men udgør ikke et system i sig selv; de kræver yderligere komponenter som brugergrænseflade for at blive til et AI-system.
Roller i værdikæden og ansvar ved brug af AI-systemer
Forordningen fordeler pligter på tværs af værdikæden: udbyder, idriftsætter, bemyndiget repræsentant, importør, distributør og operatør. Hvilke krav der gælder, afhænger af din konkrete rolle, fx dokumentation, risikostyring, brugsvejledninger og informationspligt nedstrøms.
Rolleafklaring er et tidligt nøgletrin og bør afspejles i kontrakter, interne politikker og governance. Flere aktører kan have overlappende roller, hvilket skærper behovet for klare ansvarsgrænser, leverandørstyring og auditspor gennem hele livscyklussen for AI-løsningen.
Sammenhæng med GDPR og tre praktiske skridt til compliance
AI-forordningen og GDPR har forskellige anvendelsesområder, men begge kræver systematisk dokumentation, ansvarlighed og løbende kontrol. Organisationer kan med fordel genbruge GDPR-arbejdsgange som registre, risikovurderinger og træning for at effektivisere implementeringen.
Nedenfor tre anbefalinger, der kan kickstarte implementeringen:
- Afgræns brugen af AI og klassificér hvert system i den rette kategori (forbudt, højrisiko, gennemsigtighed, GPAI).
- Kortlæg værdikæden og fastlæg rolle- og ansvarsfordeling i kontrakter og interne retningslinjer.
- Genbrug etablerede GDPR-arbejdsgange til dokumentation, risikovurdering og løbende kontrol.