EU AI Act (forordning 2024/1689) er verdens første helhetlige regelverk for kunstig intelligens. Det trådte i kraft 1. august 2024, og gjelder gradvis fra 2025 til 2027.
En deployer er en virksomhet som tar i bruk et AI-system i sin organisasjon — uten å ha utviklet det selv.
Eksempler:
Deployere har krav om internkontroll, opplæring av ansatte (AI literacy), risikovurdering og logging for høyrisk-systemer.
En provider er en virksomhet som utvikler eller selger et AI-system — enten til markedet eller til intern bruk.
Eksempler:
Providere har strengest krav: teknisk dokumentasjon, samsvarsvurdering, CE-merking og registrering i EU-database for høyrisk-systemer.
AI-systemer som utgjør en uakseptabel risiko og er totalforbudt. Gjelder f.eks. systemer som manipulerer mennesker subliminalt, sosial kredittscore, og ulovlig biometrisk overvåking på offentlige steder.
Systemer med betydelig risiko for menneskers rettigheter, sikkerhet eller helse. Inkluderer AI i kritisk infrastruktur, utdanning, ansettelser, kredittgivning og rettshåndhevelse. Strengest krav til dokumentasjon og kontroll.
Systemer med moderat risiko, primært transparenskrav. Chatboter og AI som genererer innhold må opplyse om at brukeren snakker med en AI.
De fleste AI-systemer, som spamfiltre, spillbots og anbefalingsalgoritmer. Ingen spesifikke krav under AI Act, men god praksis anbefales.
Hva er de, og hvorfor må vi ha dem?
EU AI Act pålegger virksomheter konkrete forpliktelser basert på hvilken rolle de har og hvilken risikoklasse AI-systemet tilhører. Forpliktelsene er juridisk bindende krav som må oppfylles for å være i samsvar med regelverket.
AI literacy (Art. 4)
Alle virksomheter — uansett risikonivå — må sørge for at ansatte som arbeider med AI har tilstrekkelig kunnskap om systemenes muligheter, begrensninger og risikoer.
Transparens (Art. 13 og 50)
Brukere som påvirkes av AI-beslutninger skal informeres. Chatboter og AI-generert innhold skal merkes tydelig.
Menneskelig tilsyn (Art. 14) — høyrisk
For høyrisk-systemer kreves det at kvalifiserte personer aktivt overvåker og kan overstyre AI-systemets output.
Risikostyring og internkontroll (Art. 9 og 26)
Deployere av høyrisk-systemer må etablere et dokumentert risikostyringssystem og løpende overvåke systemets ytelse og bruk.
Hva skjer om vi ikke etterlever? Overtredelser kan medføre bøter på opptil 35 millioner euro eller 7 % av global omsetning for de alvorligste bruddene (forbudte praksiser). Manglende etterlevelse av øvrige krav kan gi bøter opp til 15 millioner euro eller 3 % av omsetning.
Åtte praksiser som er totalforbudt uansett formål eller risikonivå.
Artikkel 5 i EU AI Act forbyr åtte spesifikke bruksområder for AI som anses for farlige til å tillates under noen omstendighet. Alle virksomheter — uansett rolle eller risikoklasse — må vurdere om systemene de bruker faller inn under disse forbudene.
Subliminal manipulasjon
AI som utnytter ubevisste mekanismer for å påvirke atferd på skadelig vis
Utnyttelse av sårbare grupper
Systemer rettet mot barn, eldre eller funksjonshemmede med hensikt å skade
Sosial kredittscore
Rangering av individer basert på atferd i offentlige eller private sammenhenger
Sanntids biometrisk overvåking
Ansiktsgjenkjenning og lignende i offentlige rom (med snevre unntak for rettshåndhevelse)
Prediktiv politiarbeid
AI som profiler enkeltpersoner for å forutsi kriminell atferd uten objektiv grunn
Emosjonsgjenkjenning (arbeid/skole)
Systemer som detekterer følelser på arbeidsplassen eller i utdanning
Biometrisk kategorisering
Klassifisering basert på rase, politiske meninger, religion eller seksuell orientering
Ansiktsskraping
Masseinnhenting av ansiktsbilder fra internett eller CCTV for ansiktsgjenkjenningsdatabaser
Hvorfor vurdere dette? Selv om dere bruker etablerte kommersielle systemer (ChatGPT, Copilot), må dere dokumentere at bruken ikke faller inn under forbudte praksiser. Dette er en del av internkontrollen og gir trygghet dersom tilsynsmyndigheter spør.
Hva regnes som en alvorlig hendelse, og hva gjør vi?
EU AI Act krever at alvorlige hendelser knyttet til høyrisk-AI-systemer rapporteres til nasjonale myndigheter. En hendelse er alvorlig dersom den fører til — eller bidrar til — død, alvorlig personskade, vesentlig forstyrrelse av kritisk infrastruktur eller brudd på grunnleggende rettigheter.
Hendelser med betydelig skadepotensial. Skal rapporteres til nasjonale myndigheter innen 15 dager etter at hendelsen ble oppdaget.
Hendelser som medfører umiddelbar risiko for liv eller kritisk infrastruktur. Skal rapporteres innen 2 dager.
Eksempler på hendelser
For minimale og begrensede risikosystemer (som ChatGPT og Copilot) er rapporteringsplikt typisk ikke aktuelt, men det er god praksis å dokumentere alle uønskede hendelser internt. Bruk Hendelser-modulen for å holde oversikt.
EU AI Act — offisiell tekst: eur-lex.europa.eu → søk på «2024/1689»
EU AI Act Compliance Checker: artificialintelligenceact.eu
Datatilsynet (Norge): datatilsynet.no → KI og personvern
Digitaliseringsdirektoratet: digdir.no → Kunstig intelligens