EU har vedtatt AI-Act, eller KI-forordningen, som et nytt felleseuropeisk regelverk for utvikling, markedsføring og bruk av AI-systemer. Formålet er å gjøre AI tryggere å ta i bruk og samtidig verne grunnleggende rettigheter.
Regelverket gjelder ikke bare offentlig sektor. Det treffer også privat sektor, i praksis de fleste virksomheter som utvikler, selger, integrerer eller bruker AI i virksomheten sin, for eksempel i kundedialog, markedsføring, HR, kredittvurdering, sikkerhet eller beslutningsstøtte. For norske selskaper blir dette særlig relevant dersom man tilbyr tjenester inn i EU, er del av et konsern med EU-tilstedeværelse, eller tar i bruk AI-løsninger fra leverandører som må oppfylle forordningens krav.
AI-Act bygger på en risikobasert modell. Hvilke plikter som gjelder, avhenger både av hva slags system det er og hvordan det brukes i praksis. Forordningen har også en bred definisjon av «AI-system», typisk maskinbaserte systemer som kan operere med en viss autonomi og generere output som prediksjoner, innhold, anbefalinger eller beslutninger som påvirker fysiske eller digitale miljøer.
I den ene enden av skalaen ligger praksiser som anses å innebære uakseptabel risiko og derfor blir forbudt, blant annet visse manipulerende teknikker og utnyttelse av sårbarheter. I den andre enden finner man høyrisiko-AI, som utløser de mest omfattende kravene, for eksempel der AI brukes til å vurdere opptak til studier, treffe avgjørelser i ansettelsesforhold, eller avgjøre enkeltpersoners tilgang til grunnleggende ytelser og tjenester.
Samtidig får forordningen praktisk betydning også utenfor «forbud» og «høyrisiko». Mye av AI-bruken i virksomheter vil ligge i en mer «vanlig» kategori, men kan likevel utløse krav, særlig knyttet til åpenhet og kontroll i bruken. I praksis betyr det at virksomheter bør ha oversikt over hvilke AI-verktøy som brukes, hva de brukes til, og hvilke typer data som inngår, også når AI brukes til å lage tekster, bilder eller oppsummere informasjon i arbeidshverdagen.
AI-Act er vedtatt i EU som forordning (EU) 2024/1689 og skal etter planen gjelde i EU fra høsten 2026, med enkelte unntak og gradvis ikrafttredelse. Per i dag er forordningen ikke innlemmet i EØS-avtalen og er dermed ikke trådt i kraft som bindende norsk regelverk. Norske myndigheter har likevel startet arbeidet med gjennomføring, blant annet ved at Digitaliserings- og forvaltningsdepartementet sendte forslag om gjennomføring på høring sommeren 2025.
For mange virksomheter må AI-Act særlig ses i sammenheng med GDPR, som allerede gjelder i Norge gjennom personopplysningsloven. Der AI-Act i stor grad stiller system- og produktorienterte krav til hvordan AI bygges og brukes, er GDPR ofte avgjørende for om og hvordan personopplysninger kan behandles, og hvilke rettigheter enkeltpersoner har.
Ta kontakt dersom du eller din virksomhet har nærmere spørsmål om rettslige sider ved bruk av AI eller personopplysninger.
