Få gode råd til implementering af AI-forordningen

Få gode råd til implementering af AI-forordningen

AI-forordningen er trådt i kraft med første regler fra februar 2025. Få overblik over risikokategorier, roller og gennemsigtighedskrav samt samspillet med GDPR – og tre konkrete tiltag, der hjælper virksomheder sikkert i mål med efterlevelsen.

Risikokategorier og centrale krav i AI-forordningen

AI-forordningen trådte i kraft 1. august 2024, og de første materielle regler får virkning 2. februar 2025. Regimet er risikobaseret: jo højere risiko, desto strengere krav. Derfor bør virksomheder starte tidligt med at kortlægge anvendt AI og relevante krav.

Forbudte systemer efter art. 5 omfatter AI, der truer sikkerhed eller grundlæggende rettigheder. Højrisikosystemer reguleres i art. 6 og bilag III og omfatter bl.a. anvendelser inden for kritisk infrastruktur, uddannelsesoptag og sundhed. Uafhængigt af risiko gælder gennemsigtighedskrav i art. 50, fx oplysning om deepfakes og information til brugere, der interagerer med chatbots. AI-modeller til almen brug (GPAI), herunder store sprogmodeller, er særskilt reguleret i kapitel V med særlige forpligtelser ved systemiske risici.

Et AI-system er maskinbaseret, kan agere med varierende autonomi og udlede output som forudsigelser eller anbefalinger. AI-modeller er centrale byggesten, men udgør ikke et system i sig selv; de kræver yderligere komponenter som brugergrænseflade for at blive til et AI-system.

Roller i værdikæden og ansvar ved brug af AI-systemer

Forordningen fordeler pligter på tværs af værdikæden: udbyder, idriftsætter, bemyndiget repræsentant, importør, distributør og operatør. Hvilke krav der gælder, afhænger af din konkrete rolle, fx dokumentation, risikostyring, brugsvejledninger og informationspligt nedstrøms.

Rolleafklaring er et tidligt nøgletrin og bør afspejles i kontrakter, interne politikker og governance. Flere aktører kan have overlappende roller, hvilket skærper behovet for klare ansvarsgrænser, leverandørstyring og auditspor gennem hele livscyklussen for AI-løsningen.

Sammenhæng med GDPR og tre praktiske skridt til compliance

AI-forordningen og GDPR har forskellige anvendelsesområder, men begge kræver systematisk dokumentation, ansvarlighed og løbende kontrol. Organisationer kan med fordel genbruge GDPR-arbejdsgange som registre, risikovurderinger og træning for at effektivisere implementeringen.

Nedenfor tre anbefalinger, der kan kickstarte implementeringen:

  1. Afgræns brugen af AI og klassificér hvert system i den rette kategori (forbudt, højrisiko, gennemsigtighed, GPAI).
  2. Kortlæg værdikæden og fastlæg rolle- og ansvarsfordeling i kontrakter og interne retningslinjer.
  3. Genbrug etablerede GDPR-arbejdsgange til dokumentation, risikovurdering og løbende kontrol.

Relaterede artikler

Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere - og holder dig foran.