Frågor och svar om AI-förordningen

Vi fick många frågor i chatten under webbinariet och i detta blogginlägg besvarar vi ett antal av dessa frågor.

När ska AI-förordningen börja tillämpas?

AI-förordningen trädde i kraft den 1 augusti 2024. Olika bestämmelser ska sedan börja tillämpas vid olika tidpunkter. Kortfattat kan man säga att bestämmelserna som rör de förbjudna AI-användningsområdena (artikel 5) börjar gälla den 2 februari 2025, bestämmelserna som rör AI-modeller för allmänna ändamål börjar gälla den 2 augusti 2025 och den 2 augusti 2026 blir så gott som hela AI-förordningen tillämplig (artikel 113).

Var hittar man AI-förordningen på svenska?

AI-förordningen finns på EU:s officiella webbplats, EUR-Lex. Den finns på alla de officiella EU-språken, inklusive svenska.

AI-förordningen hos EUR-Lex

Behöver en verksamhet som har utvecklat ett AI-system med hög risk, och sedan använder systemet i den egna organisationen, följa AI-förordningens regler som gäller för leverantörer och tillhandahållare?

Ja, det är vår bedömning. En leverantör är den verksamhet som utvecklar ett AI-system. Begreppet "leverantör" definieras i artikel 3.3 i AI-förordningen. En tillhandahållare är den som sedan använder det färdiga AI-systemet i sin organisation. Begreppet "tillhandahållare" definieras i artikel 3.4 i AI-förordningen.

Krav på en leverantör av ett AI-system med hög risk

En leverantör av ett AI-system med hög risk ska se till att systemet lever upp till flertalet krav som finns i AI-förordningen innan det får släppas ut på marknaden eller tas i bruk. Det rör sig bland annat om krav relaterade till

• riskhanteringssystem (artikel 9)
• teknisk dokumentation (artikel 11)
• cybersäkerhet (artikel 15)

Av artikel 16 i AI-förordningen framgår de skyldigheter som leverantörer av AI-system med hög risk ska leva upp till.

Krav på en tillhandahållare av ett AI-system med hög risk

En tillhandahållare ska se till att AI-systemet med hög risk används på ett säkert sätt inom organisationen. Det rör sig bland annat om att se till

• att AI-systemets bruksanvisning följs,
• att berörda arbetstagare och fackförbund informeras innan systemet börjar användas.

Av artikel 26 i AI-förordningen framgår de skyldigheter som tillhandahållare av AI-system med hög risk ska leva upp till. I vissa fall behöver en tillhandahållare genomföra en konsekvensbedömning avseende grundläggande rättigheter innan ett AI-system med hög risk börjar användas i organisationen (artikel 27).

Om en verksamhet både utvecklar ett AI-system med hög risk och sedan också använder systemet i den egna organisationen, behöver alltså verksamheten, enligt vår bedömning, leva upp till de skyldigheter som gäller för leverantörer och tillhandahållare av AI-system med hög risk.

Är det någon skillnad mellan den regulatoriska sandlåda som IMY bedriver idag och den regulatoriska sandlåda för AI som ska inrättas enligt AI-förordningen?

Ja. Med IMY:s regulatorisk sandlåda om dataskydd avser IMY en fördjupad vägledning om hur gällande dataskyddsregelverk bör tolkas och tillämpas. Inget undantag ges från reglerna i dataskyddsförordningen eller dess kompletterande lagstiftning.

Kännetecknande för arbetssättet är att vi på IMY och de deltagande innovationsaktörerna tillsammans identifierar de rättsliga frågor som vägledningen ska fokusera på. Vägledning ges muntligt vid flera tillfällen under några månaders tid i form av workshops eller andra dialogbaserade former. Arbetet avslutas med att resonemang och bedömningar från vägledningen sammanfattas och publiceras i en rapport för att möjliggöra lärande för många.

Läs mer om IMY:s regulatoriska sandlåda

AI-regulatorisk sandlåda

Vad gäller de regulatoriska sandlådorna för AI (AI-sandlådorna) som ska inrättas enligt AI-förordningen (artikel 57), kommer de att vara mer formaliserade då tanken är att AI-sandlådorna ska bedrivas på liknande sätt i alla medlemsstaterna.

Det finns ännu inga preciserade regler som fastställer hur AI-sandlådorna ska bedrivas, men EU-kommission ska ta fram bestämmelser för inrättande, utveckling, genomförande, drift och tillsyn av AI-sandlådorna (artikel 58). AI-sandlådorna ska vara i drift senast den 2 augusti 2026.

Måste en leverantör av ett AI-system med hög risk ha testat systemet inom ramen för den regulatoriska sandlådan för AI innan det får släppas ut på marknaden?

Nej, att delta i en sådan regulatorisk sandlåda för AI som ska inrättas enligt AI-förordningen är frivilligt. Det finns alltså inget krav på att AI-systemet ska ha testats i sandlådan innan det får släppas ut på marknaden. Genom att testa ett AI-system inom ramen för den regulatoriska sandlådan för AI kan leverantören dock få värdefull vägledning och stöd i tolkningen av AI-förordningen.

Kan ni ge exempel på AI-system med hög risk när det gäller utbildning?

I bilaga III till AI-förordningen listas flertalet av de AI-system som anses utgöra AI-system med hög risk. Under punkten 3 i bilagan listas de högrisk-AI-system som rör området utbildning och yrkesutbildning. För närvarande finns det fyra typer av system som omfattas av punkten 3. Det är AI-system som är avsedda att användas för följande:

• Fastställa tillgång eller antagning eller för att anvisa fysiska personer till institutioner för yrkesutbildning eller annan utbildning på alla nivåer.
• Utvärdera läranderesultat, även när dessa resultat används för att styra fysiska personers lärandeprocess vid institutioner för yrkesutbildning eller annan utbildning på alla nivåer.
• Bedöma den lämpliga utbildningsnivå som en person kommer att erhålla eller kommer att kunna få tillgång till, inom ramen för eller vid institutioner för yrkesutbildning eller annan utbildning på alla nivåer.
• Övervaka och upptäcka förbjudet beteende bland studerande under provtillfällen inom ramen för eller vid institutioner för yrkesutbildning eller annan utbildning på alla nivåer.

EU-kommissionen kan under vissa förutsättningar ändra bilaga III genom att lägga till eller ändra användningsfall för AI-system med hög risk (artikel 7 i AI-förordningen).

Är det någon skillnad mellan den konsekvensbedömning som ska genomföras enligt GDPR och den som ska genomföras enligt AI-förordningen?

Innan en verksamhet påbörjar en personuppgiftsbehandling som sannolikt leder till en hög risk för individers fri- och rättigheter, ska verksamheten genomföra en konsekvensbedömning avseende dataskydd enligt artikel 35 i GDPR. Detta innebär att riskerna kopplade till den planerade personuppgiftsbehandlingen måste identifieras, bedömas och hanteras. Behandlingen ska även kartläggas och dokumenteras.

En liknande form av riskbedömning krävs också i vissa fall enligt AI-förordningen. Enligt artikel 27 i AI-förordningen ska en konsekvensbedömning avseende grundläggande rättigheter genomföras innan vissa typer av AI-system med hög risk börjar användas.

Till skillnad från konsekvensbedömningen enligt GDPR, gäller skyldigheten att genomföra en konsekvensbedömning enligt AI-förordningen endast för följande typer av tillhandahållare:

• offentligrättsliga organ
• privata enheter som tillhandahåller offentliga tjänster
• tillhandahållare av högrisk-AI-system som används för bland annat utvärdering av kreditvärdighet
• tillhandahållare av högrisk-AI-system som används för bland annat prissättning av liv- och sjukförsäkringar.

En konsekvensbedömning avseende grundläggande rättigheter enligt AI-förordningen kan uppfyllas inom ramen för en konsekvensbedömning avseende dataskydd enligt GDPR, om den senare konsekvensbedömningen täcker de skyldigheter som ställs på den konsekvensbedömning som ska genomföras enligt AI-förordningen. De två konsekvensbedömningarna kan alltså i vissa fall kombineras.

Förbjuder AI-förordningen användning av kameror med ansiktsigenkänningsteknik?

Enligt AI-förordningen blir det, från och med den 2 februari 2025, förbjudet att använda system för biometrisk fjärridentifiering, såsom kameror med ansiktsigenkänningsteknik, i realtid på allmänt tillgängliga platser för brottsbekämpande ändamål, med undantag för vissa särskilda situationer som specificeras i förordningen (artikel 5.1 h).

Förbudet gäller dock inte om systemet används för andra ändamål än brottsbekämpning eller om det inte används i realtid. Även om användningen inte omfattas av AI-förordningens förbud, klassificeras system för biometrisk fjärridentifiering som AI-system med hög risk (artikel 6.2 i AI-förordningen och punkt 1 a i bilaga III).

Det är också viktigt att notera att även om en viss användning är tillåten enligt AI-förordningen, kan den vara förbjuden enligt andra regelverk. Det räcker därför inte att enbart bedöma ett AI-systems användning utifrån AI-förordningen. Om AI-systemet exempelvis inbegriper behandling av personuppgifter, måste verksamheten också säkerställa att personuppgiftsbehandlingen lever upp till GDPR.

Kommer myndigheter kunna bli skyldiga att betala sanktionsavgifter vid brott mot AI-förordningen?

Enligt artikel 99.8 i AI-förordningen är det upp till varje enskild medlemsstat att bestämma i vilken utsträckning offentliga myndigheter ska kunna påföras sanktionsavgifter. Hur det kommer att bli i Sverige vet vi ännu inte, men denna fråga kommer att behandlas inom ramen för regeringens utredning om att se över behovet av nationella anpassningar till följd av AI-förordningen.

Utredningen ska vara klar senast den 30 september 2025. Läs mer om utredningen Trygg och tillförlitlig användning av AI i Sverige på regeringen.se.

Vad finns det för exempel på AI-system med minimal risk?

Ett AI-system med minimal risk är ett AI-system som inte utgör någon påtaglig fara för användarna eller samhället. Dessa system utför oftast enklare och mer avgränsade uppgifter som inte har någon direkt påverkan på viktigare beslut eller säkerhetskritiska funktioner. AI-förordningen ställer inte några obligatoriska krav på AI-system med minimal risk, men en leverantör kan själv välja att frivilligt följa vissa krav. Exempel på AI-system med minimal risk som brukar nämnas är spamfilter i e-posttjänster, rättstavningsprogram och automatiska kalenderbokningar.

Vad man bör komma ihåg är att även om AI-förordningen inte ställer några obligatoriska krav på AI-system med minimal risk, kan det finnas annan lagstiftning som reglerar dessa system. Om AI-systemet exempelvis behandlar personuppgifter, är GDPR tillämplig på den behandlingen, oavsett om systemet är ett AI-system med hög eller minimal risk.

Vilken myndighet kommer att övervaka AI-förordningen i Sverige?

Det är flera nationella myndigheter som kommer att ha tillsynsuppgifter, eller utöva marknadskontroll som det egentligen kallas, enligt AI-förordningen. Förmodligen kommer bland annat Arbetsmiljöverket och Läkemedelsverket att utöva marknadskontroll för vissa högrisk-AI-system (artikel 74.3 i AI-förordningen och avsnitt A i bilaga I). Även IMY kommer troligtvis att utöva marknadskontroll avseende AI-system med hög risk som används för brottsbekämpande ändamål, gränsförvaltning och rättvisa och demokrati (artikel 74.8 i AI-förordningen).

Trots att flera nationella myndigheter kommer att utöva marknadskontroll enligt AI-förordningen, ska det i varje medlemsstat finnas en myndighet som ska fungera som en gemensam kontaktpunkt för AI-förordningen (artikel 70.2 i AI-förordningen).

Vilken myndighet detta blir för ett svenskt vidkommande, vet vi ännu inte men IMY har annonserat att myndigheten är lämplig att utses för detta uppdrag. Det finns flera argument för det, men bland annat tror vi på IMY att det skulle underlätta för offentliga och privata aktörer om frågor om AI med hög risk och dataskydd samlas under samma tak. Vidare har IMY redan stor vana att ge vägledning i frågor om komplex teknik och juridik, vilket också AI-förordningen kommer att ställa krav på.

Anses all AI som rör anställningsförfarandet vara AI-system med hög risk enligt punkten 4 i bilaga III? Vilka exempel finns?

I bilaga III till AI-förordningen listas flertalet av de AI-system som anses utgöra AI-system med hög risk. Under punkten 4 i bilagan listas de högrisk-AI-system som rör området anställning, arbetsledning och tillgång till egenföretagande. För närvarande finns det två typer av system som omfattas av punkten 4. Det är AI-system som är avsedda att användas för följande:

• Rekrytera eller göra urval av fysiska personer, särskilt för att publicera riktade platsannonser, analysera och filtrera platsansökningar och utvärdera kandidater.
• Fatta beslut som påverkar villkoren för arbetsrelaterade förhållanden, befordringar och uppsägningar av arbetsrelaterade avtalsförhållanden, för uppgiftsfördelning på grundval av individuellt beteende eller personlighetsdrag eller egenskaper eller för att övervaka och utvärdera personers prestationer och beteende inom ramen för sådana förhållanden.

EU-kommissionen kan under vissa förutsättningar ändra bilaga III genom att lägga till eller ändra användningsfall för AI-system med hög risk (artikel 7 i AI-förordningen).

Är AI-förordningen tillämplig på AI-system som ett företag utvecklar enbart för intern användning? Måste ett sådant AI-system i så fall CE-märkas innan det får börja användas?

Ja, förutsatt att det rör sig om ett AI-system med hög risk måste det CE-märkas innan systemet får börja användas. Det gäller oaktat om det aktuella AI-systemet ska säljas på EU:s inre marknad eller endast användas för internt bruk. Av artikel 2.1 a i AI-förordningen framgår att förordningen är tillämplig på leverantörer som släpper ut AI-system på marknaden eller tar sådana system i bruk.

Med leverantörer avses fysiska eller juridiska personer, offentliga myndigheter, byråer eller andra organ som bland annat utvecklar ett AI-system och släpper ut det på marknaden eller tar AI-systemet i bruk (artikel 3.3 i AI-förordningen).

Av artikel 16 i AI-förordningen framgår de skyldigheter som en leverantör av ett AI-system med hög risk ska leva upp till, däribland att det aktuella AI-systemet ska vara CE-märkt (artikel 16 h).

Av artikel 2 i AI-förordningen framgår de undantagsfall då AI-förordningen inte ska vara tillämplig. Det rör sig bland annat om fall då ett AI-system släpps ut på marknaden eller tas i bruk uteslutande för militära ändamål (artikel 2.3) eller ett AI-system som specifikt utvecklas och tas i bruk enbart i vetenskapligt forsknings- och utvecklingssyfte (artikel 2.6).

Public link

Please use the above public link if you want to share this noodl on another website.