Med den nye EU AI Act innføres ulike regler avhengig av hvor stor risiko AI-systemene utgjør. I fjor ga vi deg en oversikt over hva Act'en innebærer, hvem den berører og hva du må gjøre for å overholde kravene.
I dette blogginnlegget går vi gjennom de fire AI-risikonivåene som er definert i AI-Act'en: The unacceptable, the high, the limited, and the minimal or no risk. Målet er at du skal forstå de ulike reglene for hvert risikonivå.
La oss nå gå gjennom hvert nivå ett etter ett.
1. Unacceptable risk
-1.png?width=800&height=294&name=image%20(2)-1.png)
Denne typen AI-systemer utgjør det høyeste risikonivået. På grunn av denne risikoen er de nå fullstendig forbudt i EU, med virkning fra begynnelsen av 2025.
Og hvorfor det, spør du?
Fordi de strider mot mange av EUs kjerneverdier, som respekt for menneskelig likeverd, frihet og grunnleggende menneskerettigheter.
Disse systemene inkluderer blant annet:
-
Sosial scoring: Å rangere mennesker basert på deres atferd, noe som i siste instans påvirker hvilke muligheter de får og hvilke tjenester de har tilgang til.
-
Emosjonell manipulering: Når tjenester bruker følelser for å holde på brukere, ofte uten at de selv er klar over det. Dette inkluderer også misbruk av opplysninger om bestemte grupper, blant annet informasjon om alder, funksjonsnedsettelser eller i enkelte tilfeller deres sosiale eller økonomiske situasjon.
Kort sagt: Det som skjer i den ene Black Mirror-episoden eller i Kinas sosiale kredittsystem, ville aldri kunne finne sted i en EU-kontekst.
Begge eksemplene ovenfor ble allerede nevnt i vår tidligere blogg om AI-forordningen. Andre systemer som ikke er nevnt tidligere, inkluderer:
-
Innhenting av ansiktsbilder (scraping): Å bygge opp eller utvide databaser ved å samle inn ansiktsbilder fra internett eller opptak fra videoovervåkning.
-
Prediktivt politiarbeid: Å forsøke å forutsi når og hvor kriminalitet vil skje, og hvem som kan være involvert, basert på eksisterende skjevheter i dataene.
For å oppsummere: Alle de dystopiske AI-systemene og robotene du kan forestille deg fra sci-fi-filmer, er nå forbudt.
Thank god.
2. High risk
-3.png?width=803&height=296&name=image%20(3)-3.png)
AI-systemer i denne kategorien er tillatt i EU, men de er også de mest regulerte. De må oppfylle strenge krav innen blant annet risikostyring, datastyring (data governance), teknisk dokumentasjon og menneskelig tilsyn.
I de fleste tilfeller er disse AI-systemene innebygd i utstyr som brukes innen kritiske områder, som helsevesenet, kjøretøy, heiser eller maskinindustrien.
Hvis de blir misbrukt, kan det gå ut over folks helse og sikkerhet, deres grunnleggende rettigheter, og i noen tilfeller også ha negative konsekvenser for miljøet.
La oss se på noen eksempler på høyrisikosystemer i ulike sektorer:
- Kritisk infrastruktur: Styring og drift av veitrafikk, energiforsyning eller digitale infrastrukturer.
- Utdanning og arbeidsliv: For eksempel ved rekruttering av nye ansatte eller gjennomføring av prestasjonsevalueringer.
- Migrasjon: Behandling av søknader om asyl, visum eller oppholdstillatelse.
Når slike AI-systemer ikke er tilstrekkelig regulert, kan de bidra til å forsterke eksisterende skjevheter og fordommer. De kan til og med profilere bestemte grupper, som for eksempel minoriteter.
Med andre ord: Når AI får løpe fritt, kan den begynne å utvikle preferanser – og ikke den gode typen.
Hvorfor er det et problem? Fordi det kan føre til urettferdig eller ulik behandling av dem som blir berørt. Det kan for eksempel påvirke karrieremuligheter eller til og med sjansene for å få statsborgerskap.
3. Limited risk
-1.png?width=803&height=297&name=image%20(4)-1.png)
AI-systemer i denne risikokategorien utgjør ikke de samme alvorlige risikoene som vi har sett i de to foregående kategoriene.
Likevel er åpenhet fortsatt viktig, fordi disse systemene kan innebære en risiko for manipulering eller villedning. Dette inkluderer blant annet verktøy som chatboter og systemer for følelsesgjenkjenning.
Når du for eksempel chatter med ChatGPT, skal det være tydelig at du snakker med en datamaskin – ikke et tilfeldig menneske på den andre siden av skjermen.
Denne typen åpenhet bidrar til å bygge tillit og sørger for at brukerne vet når de samhandler med AI.
4. Minimal or no risk
-2.png?width=799&height=295&name=image%20(5)-2.png)
Dette er det AI-forordningen har definert som det laveste risikonivået. Det omfatter alle andre AI-systemer som ikke faller inn under de tidligere nevnte risikokategoriene, for eksempel spamfiltre og AI-drevne videospill.
Disse systemene er ikke underlagt noen spesifikke regulatoriske krav, og dermed heller ikke strenge regler. Likevel anbefales det fortsatt en viss grad av menneskelig tilsyn for å unngå potensielle problemer som kan oppstå.
Hvorfor?
Det handler om den velkjente åpenheten. Målet er å sikre at systemene ikke skaper skjevheter eller diskriminering.
Så... hva nå?
Forhåpentligvis har denne guiden hjulpet deg med å forstå de fire risikokategoriene i AI-Act'en, og kanskje også gitt deg en idé om hvilken kategori din AI passer inn i. Hvis et AI-verktøy brukes i kritiske områder som for eksempel helse eller infrastruktur, er det sannsynligvis high risk. Hverdagsverktøy som chatboter er derimot ofte limited risk.
Husk å gå gjennom AI Act’ens detaljerte retningslinjer for å forstå de konkrete kravene til hver kategori, og konsekvensene ved å ikke overholde dem.
Generelt er det også lurt å gjennomføre en risikovurdering for å vurdere hvordan deres AI-system kan påvirke sikkerheten eller menneskers rettigheter.
Selv om vår ekspertise ligger innen cybersikkerhetsbevissthet og phishing-opplæring, oppfordrer vi deg til å se de nye reglene som en mulighet til å øke åpenheten og tilliten til deres AI-praksis.
Hvis du trenger støtte til å bygge en kultur for awareness og beredskap, er vi her for å hjelpe med opplæringsløsninger som styrker deres overordnede sikkerhetsrammeverk.
