Många till synes enkla algoritmer ser ut att bli klassade som högrisksystem i den nya EU-lagstiftningen för artificiell intelligens. Alla organisationer som utvecklar datadrivna tjänster behöver därför undersöka hur de nya reglerna slår – och med stor sannolikhet CE-märka sina system.
AI-förordningen (AI Act) är under förhandling och tillstöpning i EU:s lagstiftningsmaskin. När regelverket börjar tillämpas, preliminärt 2025, kommer alla senare lanserade AI-system att omfattas, liksom existerande system som uppdateras eller väsentligen ändras.
På samma vis som dataskyddsförordningen GDPR påverkade alla branscher väntas AI-förordningen föra med sig ökade krav på rutiner och processer för att kvalitetssäkra högrisk-klassade AI-system.
– Produkter som du sitter och designskissar på idag kommer ut på marknaden när AI-förordningen har trätt i kraft, säger Håkan Burden, senior forskare på RISE inom AI- och IT-system. Mycket mer än vad man tror kommer då att klassas som AI-system. Det handlar inte längre om vad du som tillverkare tycker är ett AI-system. Det är vatten värt, utan vad som gäller är vad förordningen definierar som högrisk-system och AI-teknologier.
Tekniska och juridiska konsekvenser
Håkan Burden och RISE-kollegan Susanne Stenberg, rättslig expert inom ny teknik, har gått igenom förslaget till förordning. De ser många tekniska och juridiska konsekvenser för företag och verksamhetsutövare.
– Till exempel har vi att reglerna träffar både vissa verksamheter och vissa produkter, de är både ett skydd för individuella rättigheter och för produktsäkerhet, säger Susanne Stenberg.
I korthet pekas ett stort antal verksamheter ut där AI-system utgör hög risk, bland dem samhällskritisk infrastruktur, utbildning, brottsbekämpning, förvaltningsprocesser och anställning. I praktiken kan det handla om algoritmer som till exempel beräknar vab-ersättning, rätten till studiemedel, kreditvärdighet eller smarta tjänster inom mobilitet och energilagring.
Även AI-system i vissa fysiska produkter klassas som hög risk. Det gäller system som är en del av säkerhetssystemet i bland annat maskiner, medicinsk utrustning och linbanor.
– Om du har ett system som styr maskinen så att du inte kör över någon kan det vara ett säkerhetssystem. Det kan också vara ett system för vindrutetorkare för gruvmaskiner – säkerhetsfunktionen faller in under AI-system. Eller en lasergrind. Väldigt mycket produktverksamhet blir högriskverksamhet, säger Håkan Burden.
Det handlar inte längre om vad du som tillverkare tycker är ett AI-system
”Plockepinn av regleringar”
När det gäller AI i produkter är fältet inte helt lättorienterat. Fordon, skogsmaskiner och fartyg med tillhörande utrustning är undantagna från förordningen och regleras än så länge av FN-organ. Vilka praktiska följder som uppstår för bolag som levererar mot både EU-reglerade maskiner och FN-reglerade fordon behöver utredas.
– Man kommer att ha olika trösklar internt i en organisation för vad detta betyder konkret i verksamheten, säger Susanne Stenberg.
– Du befinner dig i ett plockepinn av regleringar. Vilken är bästa pinnen att plocka upp? Det kan vi på RISE hjälpa till med, säger Håkan Burden.
Tillsammans bildar de ett team fokuserat på forskning inom mjukvara, juridik och policyutveckling, alltså sällsynt passande för att förstå den nya AI-förordningen. De båda forskarna ser också att RISE andra affärsområden kan få flera viktiga roller att spela som tredje part för att verifiera att testresultat och datakvalitet når upp till kraven för CE-märkning av AI-systemen.
– RISE kan fungera som en brygga som förstår både myndigheters och produktutvecklarens perspektiv. Vi kan också analysera hur EU:s digitaliseringsregleringar påverkar och samverkar, efter AI-förordningen står Data Governance Act (dataförvaltning) och Data Act (datatillgång) på tur att antas, säger Susanne Stenberg.