Forordningen skal imødegå de risici, der opstår i forbindelse med brug af kunstig intelligens. Blandt disse risici er navnlig, hvordan kunstig intelligens øger muligheden for at spore og analysere folks vaner og interesser (profilering). Noget, der i forvejen er underlagt begrænsninger efter databeskyttelsesreglerne.
Forordningen supplerer databeskyttelsesreglerne ved at sikre, at personoplysninger er tilstrækkeligt beskyttet ved brug af produkter og tjenester, som gør brug af AI.
Læs de fire vigtigste punkter fra forordningsteksten her.
Bred definition på AI systemer
En betingelse for, at de særlige krav i forordningen kommer i anvendelse, er, at der gøres brug af et AI-system. EU-Kommissionen anlægger en forholdsvis bred definition på AI-systemer, der ellers blev fremhævet som en specifik risiko under høringsfasen. Det omfatter bl.a. ”ekspertsystemer”, der betegner nogle af de første typer ”kunstig intelligens”-software tilbage fra slut 50’erne (!). Begrebet er mere eller mindre en betegnelse for et stykke software, der kan efterligne menneskelig beslutningstagning via ”if-then”-regler (hvis x sker, gør y). Den slags regler er grundstenene i så godt som alle moderne programmeringssprog.
Omfattet er også ”statistiske tilgange” og ”søgnings- og optimeringsmetoder”. Igen begreber, der synes at favne forholdsvist bredt.
Det er altså vanskeligt for virksomheder at afgøre, hvornår software ”bare” er software, og hvornår det betragtes som AI-software, som er omfattet af reglerne. Ind til videre kunne man håbe på, at der i de kommende forhandlinger i EU-Parlamentet og -Rådet lægges noget energi i at definere begrebet yderligere, så der skabes gennemsigtighed for de virksomheder, det vil og ikke vil påvirke.
Højrisiko AI-systemer underlægges strenge forpligtelser
Størstedelen af forpligtelserne i forordningsudkastet drejer sig om de såkaldte “high risk AI systems”. I denne kategori findes AI-systemer til f.eks. rekruttering, kreditvurdering, overvågning af medarbejdere og tildeling/fratagelse af offentlige ydelser.
Systemer, der falder inden for kategorien, skal registreres samt CE-mærkes. Udbydere heraf kan således forvente at skulle opfylde en række forpligtelser, før de overhovedet kan træde ind på markedet. Forpligtelserne omfatter også implementering af risikostyringssystemer, udarbejdelse af detaljeret dokumentation om systemet og dets formål samt afgivelse af tydelig og tilstrækkelig information om systemet til brugeren.
Se også EU-Kommissionens overblik over forslagets betydning for udbydere af højrisiko AI-systemer:
Billedkilde: https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/excellence-trust-artificial-intelligence_en
Nye højder for bødeniveauer
Der lægges op til, at manglende overholdelse af data governance-kravene til højrisiko AI-systemer skal pålægges bødestraf. Kravene skal sikre kvaliteten af de data, der benyttes i højrisiko AI-systemer. Der er tale om krav til passende datastyring og forvaltningspraksis, hvorefter der blandt andet stilles høje krav til træning, validering og test af de anvendte datasæt. Hvis kravene ikke efterleves, risikerer man bøde på op til 6 % af virksomhedens årlige globale omsætning. Til sammenligning er det højeste bødeniveau efter GDPR 4 % af en virksomheds årlige globale omsætning.
Særlige fordele til mindre udbydere og start-ups
Hos Europa-Kommission har man haft særligt fokus på mindre udbydere og start-ups, som tildeles særlige fordele i forordningsteksten. De kan blandt andet se frem til adgang til såkaldte ”AI regulatory sandboxes”, hvis formål er at lette vejen til ansvarlig innovation inden for AI.
Ovennævnte er blot et udpluk af temaerne i den kommende forordning. Læs mere på EU-kommissionens hjemmeside
Der er endnu ikke fastsat dato for forordningens ikrafttræden, og den skal da også gå sin slagne gang i Parlamentet og Rådet, før en endelig forordningstekst ligger klar. Der er dog næppe megen tvivl om, at den vedtages i den ene eller anden form. I Patrade holder vi skarpt øje med forordningens videre færd i Bruxelles.