Hvornår er et AI-system højrisiko under AI-forordningen?

Når det er en sikkerhedskomponent under EU’s produktsikkerhedsregler eller tiltænkt et anvendelsesområde i bilag III. Vurderingen bygger på systemets tilsigtede anvendelse set ud fra en helhedsbetragtning.

Kan menneskelig kontrol fjerne et systems højrisikostatus?

Nej. Menneskelig kontrol er et krav til efterlevelse for højrisikosystemer, men ændrer ikke selve klassificeringen. Dette adskiller sig fra GDPR’s tilgang i art 22.

Kan kontraktlige forbud mod højrisikobrug hindre klassificering som højrisiko?

Nej. Hvis markedsføring, dokumentation eller produktets positionering indikerer højrisikobrug, opvejer en klausul ikke den faktiske præsentation. Klassificeringen følger af den samlede fremstilling.

Schjødt

Privacy Corner

Compliance Legal Tech og AI EU-ret Persondata og cybersikkerhed

Kommissionens udkast præciserer, hvornår AI er højrisiko: helhedsvurdering af tilsigtet anvendelse, ingen omgåelse via opsplitning og ingen undtagelse ved menneskelig kontrol. Profilering udløser automatisk højrisiko. Se også de nye tidsfrister og anbefalede skridt.

Eva Jarbekk

Luca Tosoni

Jeppe Songe-Møller

Inge Kristian Brodersen
Kaare M. Risung
Øyvind Eidissen
Anna Eide
Sofie Axelsson
Ane Rode
Oskar Engman
Thomas Hagen
Paal-André Storesund

EU-Kommissionen har offentliggjort et udkast til retningslinjer for klassificering af højrisiko AI efter AI-forordningen. Udkastet skærper fokus på tilsigtet anvendelse, afviser omgåelse via opsplitning og præciserer, at menneskelig kontrol er et krav til efterlevelse – ikke en vej uden om klassificering.

Klassificering og tilsigtet anvendelse under AI-forordningen

Et AI-system er højrisiko, hvis det enten er en sikkerhedskomponent under eksisterende EU-produktsikkerhedsregler eller er tiltænkt en brug, der er opregnet i bilag III (bl.a. biometri, kritisk infrastruktur, ansættelse, kreditscoring, uddannelse og grænsekontrol). Klassificering udløser ikke et forbud, men en pakke af krav om bl.a. teknisk dokumentation, menneskeligt tilsyn og registrering i EU-databasen.

Den praktiske nøgle er tilsigtet anvendelse. Kommissionen lægger en helhedsbetragtning til grund, hvor markedsføringsmateriale, teknisk dokumentation, brugerhåndbøger og produktets faktiske positionering vægter. Kontraktlige forbehold om ikke at bruge systemet til højrisikoformål kan ikke opveje en præsentation, der reelt promoverer sådanne anvendelser.

Ingen undtagelse via opsplitning eller menneskelig kontrol

Systemarkitekturer med flere indbyrdes forbundne komponenter, der samlet understøtter et højrisikoformål, klassificeres som højrisiko i sin helhed. Opsplitning af et agentisk eller komplekst system i moduler ændrer ikke dette udgangspunkt.

Menneskelig kontrol flytter heller ikke et system ud af højrisikokategorien. I modsætning til GDPR’s art 22 er human-in-the-loop et efterlevelseskrav under AI-forordningen, når klassificeringen allerede er højrisiko. Retningslinjerne opstiller desuden en rød linje: udfører systemet profilering af fysiske personer efter GDPR, kan filtermekanismen i AI-forordningen art 6 stk 3 ikke anvendes.

Tidsplan og anbefalede skridt til efterlevelse

Kravene for bilag III forventes at gælde fra 2. december 2027, mens bilag I følger fra 2. august 2028. Udkastet er i høring, men forberedelse bør påbegyndes nu, da implementeringen er omfattende og tidskrævende.

Forkert selvklassifikation kan udløse tilsyn og sanktioner. Organisationer bør styrke dokumentation og governance og sikre, at ekstern kommunikation ikke utilsigtet udvider anvendelsesområdet.

Organisationer kan med fordel prioritere følgende spor allerede nu:

Kortlæg AI-porteføljen op mod bilag III med fokus på ansættelse, kredit og uddannelse.
Auditér markedsføring, tekniske beskrivelser og brugerhåndbøger for at sikre korrekt tilsigtet anvendelse.
Underbyg vurderinger efter art 6 stk 3 med klar dokumentation og ansvarlige beslutningsgange.

Udkastet kan læses hos Kommissionen her.

Læs hele artiklen hos Schjødt →

Søgeord