I augusti 2024 publicerades den nya AI-förordningen (AI Act) i kraft, vilket innebär nya krav för företag som använder AI inom EU. Förordningens syfte är att säkerställa en ansvarsfull AI-utveckling och skydda allmänhetens rättigheter.
Målet är att skapa ett säkert AI-ekosystem i EU.
Frågan är vad detta innebär för företag och vilka åtgärder som krävs för att säkerställa efterlevnad av de nya reglerna.
Vilka företag omfattas av AI Act?
AI Act påverkar företag som utvecklar, säljer eller använder AI-system inom EU, oavsett storlek. Även företag utanför EU som erbjuder AI-tjänster till EU-marknaden omfattas. De aktörer som främst påverkas är:
- Utvecklare och leverantörer av AI-system som säljer eller skapar AI-lösningar, särskilt högrisk-AI.
- Distributörer och återförsäljare av AI-lösningar inom EU, även om de inte utvecklar själva tekniken.
- Slutanvändare av högrisk-AI-system inom exempelvis medicin, finans och HR.
Dessutom påverkas företag som hanterar data för att träna AI-system, med krav på datakvalitet och efterlevnad av GDPR.
Klassificering av AI-system i AI Act
AI-system delas in i tre kategorier:
- Högrisk-AI-system: Används inom kritiska sektorer som hälso- och sjukvård, transport och rättsväsende. Dessa system måste uppfylla strikta säkerhetskrav och genomgå kontinuerlig övervakning.
- Begränsad risk: System som kan påverka användares rättigheter, exempelvis chatbots. Här krävs grundläggande transparens, såsom att informera användaren om att de interagerar med ett AI-system.
- Minimal eller ingen risk: AI-system med låg påverkan på säkerhet eller rättigheter, exempelvis spamfilter. Dessa omfattas inte av specifika krav enligt AI Act.
CE-märkning och AI Act
För högrisk-AI-system är CE-märkning obligatorisk, vilket visar att produkten uppfyller EU’s säkerhetskrav och får säljas inom EU. Exempel på högrisk-produkter som kräver CE-märkning är medicintekniska AI-system, säkerhetssystem i fordon och AI-lösningar inom utbildning och rekrytering. För att erhålla CE-märkning måste dessa system genomgå noggranna granskningar och riskanalyser.
Sammanfattning av AI-förordningen
AI-förordningen (AI Act) börjar tillämpas den 1 augusti 2024 och ställer krav på företag som utvecklar, säljer eller använder AI-system inom EU, inklusive utländska aktörer med EU-marknaden som mål. AI-system klassificeras utifrån risknivå, där högrisk-AI-system kräver CE-märkning och kontinuerlig övervakning.
AI Act påverkar inte befintlig EU-lagstiftning som GDPR, vilket innebär att dataskyddskrav och rättigheter förblir oförändrade för AI-system som hanterar personuppgifter.
Vill du veta mer om detta eller ha råd kring hur ditt företag ska agera för att möta kraven, tveka inte att kontakta oss på Certify & Comply för rådgivning.
