Ansvar och risk vid användning av AI

AI-förordningen trädde i kraft i augusti 2024 och sätter ramarna för hur artificiell intelligens får användas inom EU. Samtidigt har EU-kommissionen presenterat Digital Omnibus, som ska göra regelverket mer proportionerligt – särskilt för små och medelstora företag. Men oavsett lättnader kvarstår ansvaret alltid hos den som använder AI.
– Förhoppningsvis ger regelverket företag i Sverige och i EU goda förutsättningar för innovation och regelefterlevnad, säger Tilde Skånvik, jurist vid AI Sweden.

Ett nätverk för ansvarsfull AI-användning

AI Sweden är ett icke-vinstdrivande nätverk med cirka 170 partners från privata och offentliga organisationer samt akademin. Målet är att accelerera användningen av AI för att stärka samhället och Sveriges konkurrenskraft.

Tilde Skånvik är flitigt anlitad för att reda ut juridiken kring AI-förordningen och vad den innebär i praktiken.

– Som alltid med nya lagar tar det några år innan rättstillämpningen sätter sig och vi får praxis och klarhet i den praktiska tillämpningen. Vi inväntar också EU-kommissionens riktlinjer och standarder som ska ge stöd för tillämpningen, säger hon och fortsätter:

– Ansvaret för hur innehåll och information som genererats av AI används ligger alltid hos den som använder AI-tjänsten, oavsett syftet med användningen och vilket företag man jobbar för. Det ändras inte genom Digital Omnibus.

Lärdomar från GDPR

När GDPR trädde i kraft 2018 påverkades i princip alla företag på samma sätt. Nya dokumentationskrav och omfattande bedömningar blev snabbt en realitet. Med lärdom av detta vill EU-kommissionen nu göra införandet av AI-förordningen smidigare och mer proportionerligt.

– De stora företagen har redan processer och resurser för att löpande införa nya rutiner, likt de som AI-förordningen kräver. Mindre företag, som saknar tillgång till jurister och IT-specialister, skulle i många fall behöva använda konsulter för att klara det arbetet.

Tilde Skånvik bedömer att de föreslagna lättnaderna inom Digital Omnibus kan ge bättre förutsättningar för även små och medelstora företag att följa regelverket – och samtidigt bidra till att skapa AI-lösningar som användarna har förtroende för.

Fyra risknivåer – olika krav

AI-förordningen ställer olika krav beroende på vilken roll ett företag har, till exempel som användare, leverantör eller distributör. Dessutom delas AI-system in i fyra risknivåer, med varierande krav på dokumentation och konsekvensanalyser:

• Lågrisk-AI – till exempel AI-aktiverade videospel eller spamfilter.
• Begränsad risk-AI – till exempel chattbotar. Här finns krav på transparens; användaren ska veta att det är en AI som svarar.
• Högrisk-AI – till exempel AI-baserat urval vid rekrytering eller antagning till utbildning. Dessa system kan innebära allvarliga risker för hälsa, säkerhet eller grundläggande rättigheter.
• Förbjuden AI – till exempel social scoring och känslomässig igenkänning. Sådan användning bedöms utgöra ett tydligt hot mot individers säkerhet, försörjningsmöjligheter och rättigheter och är därför förbjuden.

Mänskligt överinseende är avgörande

Ett grundkrav i AI-förordningen är att den som använder en AI-tjänst ska ha tillräcklig kunskap – så kallad AI literacy – och veta hur resultat ska kvalitetsgranskas och faktasäkras. Det handlar bland annat om att kunna upptäcka felaktiga slutsatser, hallucinationer och fördomsfulla resultat.

AI ska aldrig användas utan kompetent, mänskligt överinseende.
– Det är ett av AI-förordningens viktigaste budskap, och det ändras inte i Digital Omnibus, avslutar Tilde Skånvik.