Ny EU-forordning om kunstig intelligens på vej

EU-kommissionen fremlagde tilbage i april 2021 et forslag til, hvad der reelt kan blive den første målrettede EU-lovgivning på området for kunstig intelligens. Den såkaldte AI(Artificial Intelligence)-forordning har til formål at sikre EU-borgernes tillid til anvendelsen af AI-systemer.
Nyhed
IT og Teknologi

AI-forordningens opbygning og anvendelsesområde

Overordnet set opstiller AI-forordningen fire forskellige typer af regulering, som i hovedtræk kan karakteriseres som følger:

i) Forbud mod visse AI-systemer
ii) Særlige krav til anvendelse af visse AI-systemer
iii) Krav om transparens for visse udvalgte AI-systemer, som interagerer med mennesker
iv) Såkaldte ”code of conducts” for de systemer, som ikke karakteriseres som højrisikosystemer

Ifølge forordningens artikel 3 og bilag 1 er et AI-system defineret som ”software that is developed with one or more of the techniques and approaches listed in Annex I and can, for a given set of human-defined objectives, generate outputs such as content, predictions, recommendations, or decisions influencing the environments they interact with”. Definitionen er dermed ret bred og efterlader en vis uvished om, hvilke systemer der reelt vil være omfattet af forordningen. Specielt kan der opstå usikkerhed, hvis et system/softwareløsning kun i et meget begrænset omfang anvender AI-teknikker

Det er dog et ønske fra EU-Kommissionens side, at definitionen af AI-systemer løbende skal kunne opdateres, så definitionen følger den teknologiske udvikling. Derfor indeholder artikel 4 i forordningen en sådan mulighed.

På nærmere specifikke områder er det bestemt, at AI-forordningen ikke skal finde anvendelse. Det gælder f.eks. i forbindelse med AI-systemer, som udelukkende er designet eller bestemt til at indgå til brug for militære formål. Det samme gør sig også gældende ved selvkørende biler. Formålet er, at sådanne områder skal reguleres særskilt og mere specifikt end den generelle regulering i AI-forordningen. 

Strenge krav til højrisikosystemer

AI-forordningens hovedfokus er at regulere de såkaldte højrisikosystemer, der er oplistet i forordningens bilag 3. Disse systemer er nærmere opdelt i 8 kategorier bestående af biometrisk identifikation, styring af kritisk infrastruktur, HR, retshåndhævelse, migration og asyl, uddannelse, visse ”essentielle ydelser” (herunder velfærdsydelser, kreditvurdering og lign.) og endelig systemer inden for retsplejen.

Forordningen indeholder en række særlige krav til (løbende) kvalitetssikring og transparens for højrisikosystemer. Systemer, der falder inden for kategorien af højrisikosystemer skal desuden registreres i en særlig EU-database og CE-mærkes.

Generelt gælder desuden, at alle systemer, som på en eller anden måde er bestemt til at skulle interagere med (fysiske) personer, skal indrettes på en måde, så personerne informeres om, at de beskæftiger sig med et AI-system, f.eks. i tilfælde hvor der anvendes en ”chatbot” eller tilsvarende automatiseret chatfunktion. Der gælder desuden en særlig oplysningspligt, hvis systemet anvender manipulation af billeder, lyd eller video, herunder brug af såkaldt ”deep fake”-videoer.

Forordningen indeholder også et egentligt forbud mod visse typer af AI-systemer. De forbudte AI-systemer er bl.a. systemer, der er decideret manipulerede eller fysisk eller psykisk skadelige for mennesker, herunder især hvis systemet er tiltænkt brug af børn, systemer som anvender ”social scoring” ved brug af overvågning og visse former for ansigts- og persongenkendelse.

Forordningens geografiske anvendelsesområde  

AI-forordningen er ifølge artikel 2 bestemt til at gælde for alle leverandører, som på den ene eller anden måde beskæftiger sig med et AI-system indenfor EU. Det er således uden betydning om den pågældende leverandør har hjemsted udenfor EU. Dertil omfatter forordningen også alle brugere af et omfattet AI-system, hvis disse har hjemsted i EU.

Den omfattende personkreds er bestemt til at være både leverandører, importører distributører og brugere. Hermed er det søgt at regulere alle led i kæden, som beskæftiger sig med AI-systemer. Under en samlebetegnelse er den omfattende personkreds kendetegnet ved at være ”operatører” af AI-systemer. Igen her stilles der strengere krav til brug af højrisikosystemer, hvorefter specielt leverandører heraf underlægges særlige krav. Det fremgår af forordningens kapitel 2, at transparens og sikkerhed er eksempler på disse strengere krav.

Af ovenstående afgrænsning kan det udledes, at forordningen er bestemt til at regulere markedsføring, salg og brug af AI-systemer. Hermed er altså selve udviklingen af AI-systemer ikke omfattet af forordningen. Der vil således ikke være noget til hinder for, at et AI-system udvikles i strid med forordningen indenfor EU, så længe systemet ikke markedsføres, sælges eller bruges indenfor EU.   

Forholdet til GDPR

Forordningen er bestemt til at gælde ved siden af databeskyttelsesforordningen (GDPR). Kravene i GDPR skal dermed (også) overholdes ved brug AI-systemer.

Udover de almindelige principper i artikel 5 i GDPR er der en række bestemmelser i GDPR, der vil have særlig relevans for AI-systemer, herunder kravene om transparens og oplysningspligt (artikel 13-15), forbuddet mod brug af automatiske individuelle afgørelser (profilering) (artikel 22), kravene til privacy by design og privacy by default (artikel 25) og kravet til udarbejdelse af konsekvensanalyse (DPIA) ved implementering af systemer, der indebærer en høj risiko for de registrerede (artikel 35).

Udsigt til højt bødeniveau

Ifølge udkastet vil brud på reglerne om forbudte AI-systemer kunne straffes med bøde på op til 6 % af en virksomheds globale omsætning eller 30 mio. euro – alt efter hvilket beløb, der er størst.

Der er således lagt op til et endnu højere bødeniveau end det, der kendes fra GDPR.

Forventet ikrafttræden

Der er endnu ikke fastsat en dato for AI-forordningens ikrafttræden. Den 21. juni 2021 offentliggjorde det Europæiske Databeskyttelsesråd (EDPB) og Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) en fælles udtalelse om AI-forordningen, hvor EDPB hilser forslaget om regulering af AI-systemer velkomment, herunder forbuddet mod brug af visse højrisikosystemer, men samtidig påpeger visse uhensigtsmæssigheder i forslaget, bl.a. relateret til samspillet med GDPR. Udtalelsen kan læses i sin helhed her.

Lund Elmer Sandagers kommentar

Det må forventes, at der fortsat vil gå noget tid med at få justeret forslaget til forordningen, inden der foreligger en endelig version klar til vedtagelse. Der er dog næppe tvivl om, at forordningen vil blive vedtaget og også i en version, der ikke ligger langt fra det nuværende udkast.

Derfor er det også en god idé allerede på nuværende tidspunkt at sætte sig ind i de kommende regler, hvis din virksomhed arbejder med AI-systemer.

Hos Lund Elmer Sandager følger vi naturligvis den videre udvikling tæt.

Hvis du har spørgsmål til forslaget, er du velkommen til at kontakte vores juridiske ekspert på området advokat Anders Linde Reislev.

Relaterede medarbejdere

Daniel er advokatfuldmægtig i vores afdeling for Corporate Commercial.

Daniel Benjamin Pedersen

advokatfuldmægtig
Torsten er certificeret IT-advokat og højt specialiseret inden for persondataret, markedsføringsret og IT-ret.

Torsten Hylleberg

partner
advokat

Relaterede nyheder

Se alle nyheder
Nyhed

AI-ekspert: “AI er en trussel for dem, der sidder på deres hænder.”

Hvordan kan du som leder bruge AI til at skabe vækst og innovation i din virksomhed? Det har vi spurgt AI-ekspert Thomas Terney om. Han mener, at generativ AI er en teknologi, der kommer til at ændre den måde, vi kommunikerer og arbejder på. Han kommer også med gode råd til, hvordan du som ledelse skal sikre succesfuld implementering af AI-værktøjer, som er en vital forudsætning for at forblive konkurrencedygtig i en verden, hvor udbredelse af AI sker i et hidtil uset tempo.
IT og Teknologi
Nyhed

Kan lovgivningen følge med AI?

Udbredelsen af AI-baserede tjenester som ChatGPT buldrer af sted, og det er nemt at se fordele ved den nye teknologi. Men kunstig intelligens rejser også mange nye juridiske udfordringer, som lovgivningen nu skal forholde sig til. Få et indblik i nogle af de aktuelle problematikker, og bliv klogere på EU's digitale strategi på området.
IT og Teknologi
Nyhed

Ny vejledning fra Da­ta­til­sy­net om direkte mar­keds­fø­ring

Datatilsynet har udgivet en ny vejledning om direkte markedsføring, som trådte i kraft den 30. juni 2023. Vejledningen er særligt for private virksomheder, der optræder som dataansvarlige. Nedenfor finder du en kort opsummering af den nye vejledning.
IT og Teknologi
Nyhed

Lund Elmer Sandager bidrager til International Comprative Legal Guide – Data Protection 2023

Lund Elmer Sandager har bidraget med et oplysende kapitel om GDPR (General Data Protection Regulation), der giver opdaterede indsigter i de danske juridiske regler om GDPR i denne prestigefyldte internationale vejledning.
IT og Teknologi
Nyhed

Europæiske virk­som­he­der kan igen overføre persondata sikkert til USA

EU-Kommissionen har den 10. juli 2023 besluttet, at EU-U.S. Data Protection Framework nu kan bruges til sikkert at overføre personoplysninger fra EU til USA. Sådanne overførsler kan derfor ske uden ekstra sikkerheds- eller beskyttelsesforanstaltninger ved brug af EU-U.S. Data Protection Framework.
IT og Teknologi
Nyhed

Hvordan indgår og frigør virksomheder sig af overenskomster?

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat.
IT og Teknologi