AI Act, AI-förordningen

Redan nu är det en god idé att, med utgångspunkt i definitionen av AI i förordningen, börja inventera vilka AI-system man använder sig av och vad man planerar att införa. Träffar de reglerna för spridare (deployer) eller leverantör (provider)?

I den mån AI-system används idag kan det vara värdefullt att göra en preliminär klassificering av dessa utifrån risknivåerna i AI-förordningen. Observera att viss AI helt kommer att förbjudas (redan från 6 månader efter ikraftträdande av förordningen). Räknas något AI-system som högrisk-AI? Mycket AI inom kommunal och regional verksamhet kommer sannolikt att betraktas som högrisk-AI, till exempel inom socialtjänsten.

Då förordningen ställer vissa krav på spårbarhet för beslut och dokumentation är det också relevant att se över rutiner för detta.

Slutligt godkännande av förordningen skedde den 21 maj. Den slutliga texten kommer därmed inom kort att publiceras i Europeiska unionens officiella tidning (EUT). Förordningen träder i kraft 20 dagar efter denna publicering, men ska inte börja tillämpas förrän efter viss tid efter därefter, enligt vad som närmare beskrivs nedan.

De flesta av AI-förordningens regler börjar gälla 24 månader efter ikraftträdandet, dvs troligen sommaren 2026. För följande delar gäller andra tidsspann:

• Kapitel I och II ska tillämpas från och med sex månader efter dagen för förordningens ikraftträdande. Detta rör allmänna bestämmelser om bl.a. definitioner och förbjudna AI-metoder.
• Kapitel III avsnitt 4 (om anmälande myndigheter och organ), kapitel V om AI för allmänna ändamål, kapitel VII om sanktioner och kapitel XII om bland annat styrning och behöriga myndigheter ska tillämpas från och med 12 månader efter dagen för förordningens ikraftträdande, dock med undantag för artikel 101 om sanktionsavgifter för leverantörer av AI-system för allmänna ändamål.
• Artikel 6.1 och motsvarande krav i denna förordning om högrisk-AI ska tillämpas från och med 36 månader från dagen för förordningens ikraftträdande.

Detta definieras i artikel 3 (1). AI-system: ”ett maskinbaserat system som är utformat för att fungera med varierande grad av autonomi, som kan uppvisa anpassningsförmåga efter införande och som, för uttryckliga eller underförstådda mål, på grundval av de indata det tar emot, drar slutsatser om hur utdata såsom förutsägelser, innehåll, rekommendationer eller beslut som kan påverka fysiska eller virtuella miljöer ska genereras”.

Skäl 6 ger ytterligare vägledning.

Kommentar: Definitionen av AI-system är bred. Det är inte uteslutet att även system som etiketterats som maskininlärningssystem kan komma att träffas av AI-akten.

AI-förordningen kommer att kompletteras med bestämmelser i svensk rätt, bland annat om vilka myndigheter som ska vara behöriga myndigheter i förordningens mening och hur kravet enligt förordningen om nationella sandlådor ska uppfyllas. SKR kommer att följa det nationella genomförandearbetet och bevaka medlemmarnas intressen.

Medlemsstaterna har ansvaret att fastställa sanktioner och efterlevnadsåtgärder för överträdelser av förordningens bestämmelser, vilket inkluderar både monetära och icke-monetära åtgärder. Dessa sanktioner och åtgärder ska vara i linje med de riktlinjer som kommissionen utfärdat.

Enligt förordningen ska varje medlemsstat även bestämma i vilken utsträckning administrativa sanktionsavgifter kan påföras offentliga myndigheter och organ. Sveriges Kommuner och Regioner (SKR) har uttryckt en ambition att arbeta för att sanktionsavgifterna för kommuner och regioner ska hållas på rimliga nivåer för att inte hindra införandet av AI-system.

Dataskyddsförordningen (GDPR) och AI-förordningen representerar två viktiga regelverk inom EU som styr användningen av personuppgifter och artificiell intelligens. GDPR, som trädde i kraft 2018, bygger på tidigare dataskyddslagar och syftar till att skydda individens personuppgifter och garantera rätten till privatliv. AI-förordningen, å andra sidan, är en nyare utveckling som syftar till att reglera AI-system för att säkerställa deras säkra och etiska användning.

Trots att AI-förordningen är utformad för att komplettera GDPR, introducerar den egna krav som direkt påverkar producenter och användare av AI. Detta inkluderar bestämmelser om riskbedömning, transparens och ansvarsskyldighet. En viktig aspekt är att även om en AI-tillämpning inte är förbjuden enligt förordningen, måste eventuell behandling av personuppgifter i ett AI-system fortfarande följa GDPR:s regler. Detta innebär att behandlingen måste ha en laglig grund, följa principerna i artikel 5 och, vid behandling av känsliga uppgifter, uppfylla kraven i artikel 9.2.

För att navigera i dessa regelverk är det avgörande att förstå de olika rollerna som definieras. Inom AI-förordningen identifieras aktörer som leverantörer, auktoriserade representanter, importörer, distributörer och användare, medan GDPR definierar roller som personuppgiftsansvarig och personuppgiftsbiträde. Dessa roller har olika ansvar och skyldigheter när det gäller behandling av personuppgifter och användning av AI-system.

Det är också viktigt att notera att personuppgiftsansvariga har ett särskilt ansvar för att säkerställa att personuppgifter behandlas säkert och att de inte överförs otillbörligt till länder utanför EU och EES. Dessutom kan en konsekvensbedömning enligt artikel 35 i GDPR krävas om behandlingen innebär en hög risk för de registrerades rättigheter och friheter.

Sammanfattningsvis är det tydligt att GDPR och AI-förordningen har olika men överlappande syften. GDPR fokuserar på skydd av personuppgifter, medan AI-förordningen tar ett bredare grepp om AI-systemens säkerhet och etik. För att uppnå efterlevnad och främja ansvarsfull användning av AI är det viktigt att förstå och respektera båda regelverken.

I AI-förordningens kontext kan SKR:s medlemmar agera både som spridare och leverantörer av AI-system, beroende på situationen. Kommuner och regioner kommer troligen att vara huvudsakliga spridare av AI när marknaden mognar, medan de som utvecklar egna AI-system och modeller kommer att betraktas som leverantörer.

Spridare definieras som de som använder AI-system under eget överinseende, förutom i personliga icke-yrkesmässiga sammanhang. Leverantörer är de som utvecklar AI-system eller modeller för allmänna ändamål och introducerar dem på marknaden eller använder dem under eget namn eller varumärke, vare sig det är mot betalning eller gratis. Denna distinktion är viktig för att förstå ansvarsfördelningen och regleringen av AI inom olika sektorer.

Med riskbaserad approach avses att nivån på reglering av specifika AI-system beror på den risk som de anses utgöra. Det finns fyra olika nivåer av risk.
Oacceptabel risk: AI-system som hamnar i denna kategori utgör ett direkt hot mot individer och är förbjudna.

Hög risk: AI-system som negativt påverkar säkerhet eller grundläggande rättigheter faller in i denna kategori. De är vidare uppdelade i två underkategorier:

• Kategori 1: AI-system som används i produkter som omfattas av EU:s produktlagstiftning för säkerhet (t.ex. leksaker, flyg, bilar, medicintekniska produkter och hissar).
• Kategori 2: Andra högrisk-AI-system som kräver strikt reglering.
  

Begränsad risk: AI-system med begränsad risk kan behöva specifika transparensåtaganden för att informera användare om att de interagerar med ett AI-system.

Minimal risk: De flesta AI-system faller in i denna kategori och är föremål för minimala eller inga lagkrav. Dock kan tillämpningen av AI inom kommuners och regioners verksamhet ofta komma att klassas som högrisk-AI.

Regeringens roll i utvecklingen av regelverk för artificiell intelligens är avgörande och den förväntas inom kort att tillsätta en utredning för att ta fram ett kompletterande regelverk till AI-förordningen som är anpassat till nationella behov och förhållanden.

Utredningen bör föreslå nivåer på sanktionsavgifter samt på ansvariga myndigheter, för tillsyn och efterlevnad av regelverket. Denna process är viktig för att skapa en balans mellan innovation och användning av AI, samtidigt som man behöver skydda medborgarnas rättigheter och säkerställa teknikens etiska användning.