PÅ FARTEN? LYTT ELLER SE
VIDEO_PREVIEW
PODCAST_STREAM
Oppsummering
AI Act regulerer KI etter risiko. For norske virksomheter er risikoklassifisering nøkkelen: den avgjør hvilke krav som gjelder, hvilken dokumentasjon du må ha, og hvilket ansvar ledelsen påtar seg. Her får du risikonivåene forklart – og en praktisk metode for å klassifisere egne løsninger.
1. De fire risikonivåene
AI Act deler KI-systemer inn i fire kategorier: uakseptabel risiko (forbud), høyrisiko (tillatt med strenge krav), begrenset risiko (åpenhetskrav) og minimal risiko [1].2. Uakseptabel risiko: forbudte KI-praksiser
Uakseptabel risiko omfatter KI-praksiser EU vurderer som uforenlige med grunnleggende rettigheter. For norske ledere er dette først og fremst en «stoppliste»: løsninger som involverer manipulasjon, utnyttelse av sårbarheter eller inngrep i borgerrettigheter må vurderes særskilt før de tas i bruk [2].3. Høyrisiko: typiske områder som utløser strenge krav
Høyrisiko er der KI brukes i sammenhenger som kan påvirke helse, sikkerhet eller rettigheter. I virksomheter ser vi dette typisk i:- HR og rekruttering: screening, rangering, beslutningsstøtte om ansettelse
- Finans og kreditt: vurderinger som påvirker tilgang til tjenester
- Helse og omsorg: beslutningsstøtte eller prioritering som påvirker pasienter
- Offentlig saksbehandling: prioritering, kontroll eller beslutningsstøtte som påvirker rettigheter
- Kritisk infrastruktur: systemer som påvirker sikker og stabil drift
For høyrisiko utløses krav til styring, dokumentasjon, kontrollspor og menneskelig kontroll. Poenget for virksomheter er at dette må etableres før man skalerer fra pilot til drift [1].
4. Begrenset risiko: åpenhet og merking
Begrenset risiko innebærer primært åpenhetskrav. Brukere skal informeres når de samhandler med KI i situasjoner der det er relevant, og syntetisk innhold kan måtte merkes [2].5. Minimal risiko: få særkrav, men ikke «fritt fram»
Mange generelle verktøy faller ofte her. Men «minimal risiko» betyr ikke at virksomheten er fri for ansvar. GDPR, informasjonssikkerhet, bransjekrav og internkontroll gjelder fortsatt der personopplysninger behandles eller beslutninger påvirker mennesker. For praktisk oversikt over overlapp, se veilederen om AI Act og GDPR [3].6. Hurtigmetode: klassifiser KI i 10 minutter
Bruk denne sjekken i ledergruppe eller workshop:- 1) Påvirker KI beslutninger om mennesker? (ansettelse, kreditt, helse, tjenester, rettigheter)
- 2) Er KI del av en regulert prosess? (helse, finans, offentlig saksbehandling, sikkerhet)
- 3) Kan dere dokumentere data, leverandør, begrensninger og kontroll? (ellers er dere i praksis i risikosonen)
Hvis dere svarer ja på (1) og (2), behandle løsningen som potensiell høyrisiko til dere har dokumentert annet.
Referanser
- Future of Life Institute. AI Act Explorer. artificialintelligenceact.eu
- Europalov. KI-forordningen (EU) 2024/1689. europalov.no
- Datatilsynet. Høringsuttalelse – forslag til ny lov om kunstig intelligens (KI-loven) (PDF). datatilsynet.no