Kontakta oss

EU AI Act (även känd som AI förordningen) har trätt i kraft.

EU AI Act eller AI förordning har trätt i kraft. För företag i Sverige som använder, utvecklar eller tillhandahåller AI system är det avgörande att agera nu. De första förbuden träder i kraft redan i början av 2025, och höga sanktioner väntar den som inte följer reglerna. Här är allt du behöver veta, enkelt förklarat.

 

En illustration som visar EU-flaggan övergående till en digital mänsklig huvudprofil, omgiven av kretskortsmönster och ikoner som symboliserar teknologi och data. Bilden representerar mötet mellan EU-lagstiftning och artificiell intelligens, med texten "EU AI ACT" nedtill.
EU:s AI-akt: Balansgången mellan innovation och etisk AI inom Europeiska unionen. Bilden är Genererad med Gemini

Viktiga Datum: En Tidslinje du Inte Får Missa

Även om AIA trädde i kraft den 1 augusti 2024, sker tillämpningen successivt.

Här är datumen du måste ha koll på:

  • 2 februari 2025: Förbud införs mot AI system som utgör en oacceptabel risk.
  • 2 augusti 2025: Särskilda regler för generativ AI (GPAI-modeller) börjar gälla.
  • 2 augusti 2026: AI-förordningen börjar gälla generellt, inklusive de flesta regler för AI system med hög risk.

Kärnan i AI Act: En Riskbaserad Modell

Förordningen bygger på ett riskbaserat tillvägagångssätt. Kraven är direkt proportionerliga mot den risk ett AI system utgör. Tänk på det som en trappa med fyra steg:

Nivå 1: Oacceptabel Risk (Förbjuden AI)

Dessa system är förbjudna i hela EU från och med den 2 februari 2025.

Exempel på förbjuden AI:

  • Social poängsättning av individer.
  • AI som utnyttjar sårbarheter hos personer för att orsaka skada.
  • AI som manipulerar människors beteende.
  • AI som skapar ansiktsigenkänningsdatabaser genom att hämta bilder från internet.
  • Biometrisk fjärridentifiering i realtid på allmänna platser för brottsbekämpning (med mycket snäva undantag).

Nivå 2: Hög Risk

Dessa system är tillåtna men måste uppfylla stränga krav. Reglerna börjar gälla den 2 augusti 2026.

Detta inkluderar AI inom kritiska områden som:

  • Rekrytering och arbetsledning (t.ex. sortering av CV:n).
  • Kritisk infrastruktur (t.ex. transporter).
  • Kreditvärdering eller riskbedömning inom liv- och sjukförsäkringar.
  • Rättskipning och brottsbekämpning.
  • Säkerhetskomponenter i produkter (t.ex. medicinteknik, hissar, leksaker).

Krav för högrisksystem inkluderar:

  • Inrätta ett riskhanteringssystem.
  • Säkerställa datakvalitet och dataförvaltning.
  • Upprätthålla teknisk dokumentation.
  • Säkerställa mänsklig tillsyn.
  • Erhålla CE-märkning och registrera systemet i EU:s databas.

Nivå 3: Begränsad Risk

Dessa system måste uppfylla transparenskrav så att användare vet att de interagerar med en AI.

Exempel:

  • Chattbottar som interagerar med människor.
  • Generativ AI och deepfakes. Användaren måste informeras om att innehållet är AI genererat.

Nivå 4: Minimal Risk

Den stora majoriteten av AI system (t.ex. spamfilter, rekommendationssystem, AI i dataspel) faller här. AIA ställer inga rättsliga krav på dessa, men frivilliga uppförandekoder uppmuntras.

Särskilda Regler för Generativ AI (GPAI)

Modeller som stora språkmodeller (LLM) har egna regler som börjar gälla den 2 augusti 2025.

Leverantörer av GPAI måste:

  • Tillhandahålla teknisk dokumentation.
  • Ha en policy för att följa unionens upphovsrättslagstiftning.
  • Publicera en sammanfattning av det upphovsrättsskyddade material som använts för träning.

Modeller med systemrisk (som Chat GPT och Gemini) har ytterligare krav på riskbedömning och cybersäkerhet.

AI Act & GDPR: Två Lagar som Gäller Parallellt

Det är avgörande att förstå att GDPR och AI Act gäller samtidigt.

  • GDPR reglerar behandlingen av personuppgifter.
  • AI Act reglerar själva AI systemet som en produkt eller tjänst.

En utmaning är att AIA kräver robusta AI-modeller (vilket ofta kräver mycket data), medan GDPR kräver uppgiftsminimering (att inte samla in mer data än nödvändigt). Alla AI projekt som behandlar personuppgifter måste ha en rättslig grund enligt GDPR och kräver ofta en konsekvensbedömning (DPIA).

Sanktioner: Vad kostar det att bryta mot lagen?

Böterna för överträdelser är mycket höga och liknar GDPR:s struktur. Beroende på typ av överträdelse kan sanktionsavgifterna bli (det högsta av beloppen gäller):

  • Förbjudna AI system: Upp till 35 miljoner EUR eller 7% av den globala årsomsättningen.
  • Övriga krav (t.ex. för högrisksystem): Upp till 15 miljoner EUR eller 3% av den globala årsomsättningen.
  • Tillhandahållande av felaktig information: Upp till 7,5 miljoner EUR eller 1% av den globala årsomsättningen.

(För små och medelstora företag gäller särskilda regler.)

Dina Nästa Steg: En Handlingsplan för Företag

Eftersom de första reglerna snart träder i kraft måste svenska organisationer agera nu.

  1. Inventera era system: Gå igenom alla AI lösningar ni använder eller planerar att använda. Klassificera dem enligt riskmodellen (oacceptabel, hög, begränsad, minimal).
  2. Sammanför expertis: Era juridiska och tekniska team måste samarbeta för att säkerställa att både AIA och GDPR följs.
  3. Se över avtal och styrning: Kontrollera avtal med AI-leverantörer. Se över era interna rutiner för dokumentation och spårbarhet.
  4. Sök vägledning: Integritetsskyddsmyndigheten (IMY) erbjuder vägledning via sin Innovationsportal och driver en regulatorisk sandlåda för att ge stöd.

 

 

läs mer om PESWEDN andra artiklar

Leith

, , , ,