AI Act og norske virksomheter: Hvem får nye krav, og hvem påvirkes i liten grad? 

Da personvernforordningen (GDPR) ble innført, ble praktisk talt alle virksomheter berørt. Mange ledere spør derfor om AI Act vil få tilsvarende konsekvenser. Svaret er mer nyansert. 

AI Act er bygget opp rundt en risikobasert tilnærming, der kravene avhenger av hvordan kunstig intelligens brukes og hvilke konsekvenser den kan få for mennesker og samfunn. To virksomheter kan derfor bruke AI hver dag, men møte helt ulike regulatoriske krav. 

For de fleste virksomheter er det ikke bransjen alene som avgjør hvor mye de påvirkes av AI Act. Det avgjørende er hvilke AI-systemer som er i bruk, hvilke data de behandler, og om de inngår i beslutninger som påvirker mennesker. 

AI Act skiller mellom ulike risikonivåer. Mens enkelte typer AI blir forbudt, vil de strengeste kravene gjelde såkalte høyrisikosystemer. 

Dette innebærer at mange virksomheter vil kunne bruke generative AI-verktøy uten omfattende nye forpliktelser, mens andre må etablere dokumenterte prosesser for risikovurdering, kontroll og oppfølging. 

Derfor er det misvisende å spørre om en virksomhet er «omfattet av AI Act». Alle virksomheter som bruker AI vil i større eller mindre grad bli berørt. Det sentrale spørsmålet er hvor stor betydning regelverket får for den enkelte virksomheten. 

For mange organisasjoner brukes AI primært som et verktøy som støtter ansatte i det daglige arbeidet. 

Eksempler kan være: 

• Generering av tekstutkast og innhold  
• Oppsummering av møter og dokumenter  
• Kodeassistanse for utviklere  
• Språkstøtte og oversettelser  
• Analyse av store mengder informasjon  

I slike tilfeller er det mennesker som tar beslutningene, mens AI fungerer som et produktivitetsverktøy. 

Selv om disse virksomhetene fortsatt bør ha oversikt over hvilke AI-løsninger som brukes, vil de normalt ikke møte de mest omfattende kravene i AI Act. 

Et annet bilde oppstår når AI blir en integrert del av operative prosesser. 

Innen industri, energi, transport og offshore brukes kunstig intelligens i økende grad til analyser, optimalisering og prediktivt vedlikehold. AI kan bidra til å identifisere avvik, forutsi feil eller anbefale tiltak basert på store datamengder. 

I slike tilfeller er ikke hovedutfordringen nødvendigvis menneskerettigheter eller diskriminering. Derimot øker behovet for kontroll med datakvalitet, sporbarhet og forståelse av hvordan AI-modellene påvirker beslutningsgrunnlaget. 

Mange virksomheter i disse sektorene vil derfor oppleve at AI Act skaper behov for bedre dokumentasjon og styring, selv om løsningene ikke nødvendigvis klassifiseres som høyrisikosystemer. 

De mest omfattende kravene i AI Act er knyttet til AI-systemer som kan påvirke enkeltpersoners rettigheter, muligheter eller tilgang til viktige tjenester. Dette gjelder blant annet løsninger som brukes innen følgende fagområder.

AI som brukes til å rangere kandidater, filtrere søknader eller gi anbefalinger i ansettelsesprosesser kan omfattes av høyrisikokategoriene i regelverket. 

AI-løsninger som påvirker vurderinger av studenter eller beslutninger om utdanningsløp kan utløse strengere krav. 

AI som brukes til diagnostikk eller klinisk beslutningsstøtte er blant områdene som er underlagt betydelig regulering. 

Kommuner, direktorater og andre offentlige virksomheter må være særlig oppmerksomme dersom AI inngår i saksbehandling eller beslutninger som påvirker innbyggere. 

I disse tilfellene stiller AI Act krav til blant annet risikohåndtering, dokumentasjon, menneskelig kontroll og løpende oppfølging. 

For ledere er det derfor mer relevant å kartlegge virksomhetens AI-portefølje enn å forsøke å avgjøre om virksomheten «er omfattet av AI Act». 

To organisasjoner i samme bransje kan ha vidt forskjellige risikoprofiler. 

Et universitet som bruker AI til administrative oppgaver står overfor andre krav enn et universitet som bruker AI til vurdering av studenter. På samme måte vil en kommune som bruker generativ AI til tekstproduksjon ha et annet risikobilde enn en kommune som benytter AI i saksbehandling eller beslutningsprosesser. 

Det første steget mot AI Act readiness er derfor å etablere oversikt over hvilke AI-systemer som brukes i virksomheten, hvilke prosesser de inngår i, og hvilke konsekvenser de kan få dersom de gir feil resultater. 

For mange virksomheter vil AI Act ikke innebære omfattende nye krav på kort sikt. Likevel bidrar regelverket til å synliggjøre et behov som allerede eksisterer: behovet for kontroll over hvordan kunstig intelligens brukes i organisasjonen. 

Virksomheter som tidlig etablerer oversikt over AI-porteføljen sin vil være bedre rustet til å håndtere både regulatoriske krav og den raske utviklingen innen kunstig intelligens. 

AI Act trådte i kraft i EU i august 2024, men innføringen skjer gradvis over flere år. Regelverket er ennå ikke fullt implementert i norsk lov, men forventes å bli innlemmet gjennom EØS-avtalen. 

Samtidig har flere av de mest omfattende kravene fått utsatte frister på EU-nivå. For mange virksomheter betyr dette at tiden fremover bør brukes til å skaffe oversikt over hvordan kunstig intelligens brukes i organisasjonen og hvilke deler av virksomheten som kan bli berørt av regelverket. 

Selv om de strengeste kravene ikke gjelder for alle virksomheter i dag, er AI Act et tydelig signal om at myndighetene forventer mer kontroll, dokumentasjon og ansvarlighet rundt bruk av kunstig intelligens. 

Vi hjelper virksomheter med rådgivning, etablering og videreutvikling av styringssystemer for AI. Ta kontakt for å høre hvordan vi kan hjelpe deg!