Site Search

Menu

Event

Loading Results

Dette må du vite om regelverket

AI Act er vedtatt

Dataloen AI Act vedtatt
  • 20/03/25

EU har vedtatt AI Act, verdens første regelverk for kunstig intelligens, som setter klare rammer for å sikre trygge og pålitelige KI-systemer. Med fokus på risikobaserte krav, fra uakseptabel til høy risiko, gir AI Act en strukturert tilnærming for å beskytte individers rettigheter og viktige samfunnsinteresser. Noen av kravene gjelder allerede for norske virksomheter. 

Hva er AI Act og når vil det gjelde for din virksomhet? 

Kunstig intelligens (KI) har blitt en større del av hverdagen for både privatpersoner og bedrifter, spesielt drevet av fremveksten av generativ AI (GenAI). Denne utviklingen har gjort KI mer tilgjengelig og relevant for alle. For å sikre at KI-systemer er trygge og pålitelige, har EU vedtatt AI Act, eller KI-forordningen, som er verdens første regelverk for KI. 

AI Act har som formål å beskytte individers rettigheter og viktige samfunnsinteresser, samt fremme menneskesentrert og pålitelig KI.

AI Act er allerede trådt i kraft i EU og regelverket vil bli innført i norsk rett. Norske virksomheter bør derfor starte forberedelsene nå.

Reglene får trinnvis virkning. Krav om opplæring av ansatte gjelder allerede, mens kravene til KI-systemer med høy risiko vil få virkning først i august 2027. 

Implementeringen av AI Act kan by på både utfordringer og muligheter, men med riktig tilnærming kan organisasjoner forbedre kvaliteten på KI-systemer, vise samfunnsansvar og ta en ledende rolle i digital transformasjon.

Les også: Seks KI-prediksjoner som øker forretningsverdien

— Å navigere AI Act krever en grundig kartlegging av alle KI-systemer og deres risikokategorier, samt en forståelse av virksomhetens roller og forpliktelser. Ved å integrere et tilpasset styringssystem i eksisterende rutiner, sikrer vi at alle nye prosesser oppfyller regelverkets krav.

Christine Ask Ottesen
Christine Ask Ottesen, personvernekspert

Christine Ask Ottesen er partner i PwC, og ekspert på personvern og teknologijuss.

KI-systemets risikopotensiale er styrende for hvor strenge krav som gjelder

AI Act deler KI-systemer inn i fire kategorier basert på systemets antatte risiko for menneskers grunnleggende rettigheter samt samfunnsinteresser som helse, sikkerhet, demokrati og rettssikkerhet.

AI Act forbyr KI-systemer som innebærer uakseptabel risiko for sikkerhet og rettigheter. Eksempler er sosial skåring, dataskraping for å utvikle ansiktsgjenkjenning, emosjonell gjenkjenning på arbeidsplasser og i utdanning. Det finnes unntak fra noen av forbudene. Unntakene gjelder hovedsakelig for politi og påtalemyndighetene. 

Noen KI-systemer kan villede enkeltpersoner, eksempelvis deepfakes og chatbots brukt i kundeservice. Slike KI-systemer skal designes og utvikles slik at det er tydelig for personer at de interagerer med en maskin. 

De fleste KI-systemene havner i denne kategorien, og det stilles få eller ingen krav til disse. Samtidig oppfordres utviklere og utrullere til å følge krav for pålitelig KI og beste praksis.  Spamfiltre brukt for å filtrere e-post, stavekontroll og spill som bruker KI for å forbedre spillopplevelsen er eksempler på slike systemer.

Systemer som påvirker kritiske områder i samfunnet, slik som helse, utdanning, arbeid og samfunnssikkerhet, havner i denne kategorien. Disse KI-systemene underlegges de strengeste kravene i AI Act. Kravene omfatter blant annet: 

  • Styringssystem for risiko

  • Teknisk dokumentasjon

  • Loggføring

  • Transparens

  • Menneskelig kontroll

  • Samsvarsvurdering

  • Post-market monitorering 

Ikke kun AI Act du må huske på

Det er viktig å være klar over at det er ikke kun AI Act som regulerer bruken av KI. Ethvert KI-system vil være underlagt de reguleringer som gjelder for sektoren, enten det er i helsesektoren eller i bank og finans, samt andre generelle lovkrav. I tillegg gjelder personvernforordningen dersom KI-systemet utvikles ved hjelp av personopplysninger eller skal analysere personopplysninger. 

Seks KI-prediksjoner

Her er seks fremtidsutsikter som øker forretningsverdien din

Seks KI-prediksjoner
Se våre KI-tjenester

De ulike rollene i verdikjeden har ulike forpliktelser 

AI Act definerer flere roller for organisasjoner som hver har sine forpliktelser, avhengig av hvor i verdikjeden de befinner seg. Rollene inkluderer utvikler, importør, distributør, operatør og bruker (med bruker mener vi ikke enkeltpersoner som bruker KI-system for private formål). De aller fleste selskaper innehar rollene som utvikler og/eller bruker. 

Det er utvikleren som er underlagt de mest omfattende kravene i AI Act, særlig dersom selskapet utvikler KI-systemer med høy risiko. Da er det utvikleren som i all hovedsak må oppfylle kravene som er beskrevet ovenfor. 

Samtidig underlegges også den som bruker et KI-system med høy risiko noen krav. Brukeren må blant annet iverksette tiltak som sikrer at systemet brukes i samsvar med det tiltenkte formålet, sørge for at input er relevant for formålet, gi ansatte tilpasset opplæring og monitorere systemets ytelse. 

Det er viktig å være oppmerksom på at alle rollene som er nevnt ovenfor kan få utviklerens forpliktelser for KI-systemer med høy risiko, eksempelvis dersom de setter sitt eget navn på et KI-system som allerede er tilgjengeliggjort eller dersom det gjøres vesentlige endringer i KI-systemet.

Alle selskaper som utvikler eller bruker KI-systemer bør etablere nødvendig styringssystem som bidrar til selskapets etterlevelse av kravene i AI Act. Ved å forstå og oppfylle kravene i AI Act, kan bedrifter ikke bare unngå potensielle sanksjoner, men også bygge tillit hos kunder og partnere.

Les også: Hvordan bør du organisere deg smidig for å lykkes med kunstig intelligens?

 

KI-systemer har høy risiko når de brukes til følgende formål eller på følgende områder:

  • Biometriske identifikasjonssystemer som er tilgjengelige via fjernaksess, 

  • KI som brukes som sikkerhetskomponent i kritisk infrastruktur eller trafikksystemer, eller for å levere vann, gass, oppvarming eller elektrisitet.

  • KI-systemer som brukes i opplæring og utdanning, blant annet opptak, evaluering og tilpasning av undervisning. 

  • Bruk av KI-systemer i arbeidslivet, blant annet målrettede annonser, evaluering av kandidater og ansatte, og allokering arbeidsoppgaver basert på atferd eller personlige egenskaper. 

  • Bruk av KI-systemer for å innvilge, redusere, tilbakekalle eller kreve tilbake velferdsytelser, inkludert helsehjelp. 

  • KI-systemer brukt for klassifikasjon av nødsamtaler, prioritering av øyeblikkelig hjelp og triagering av pasienter. 

  • Bruk av KI-systemer for å risikovurdere og prissette livs- og helseforsikring.

  • KI-systemer som brukes for å gjennomføre kredittvurdering eller kredittscoring.

  • Politi- og påtalemyndighetens bruk av KI-systemer, blant annet for å vurdere risiko for at en person kan bli offer for en kriminell handling, løgndeteksjon, bevisvurdering, og vurdere risiko for at en person vil begå nye kriminelle handlinger basert på profilering.  

  • Bruk av KI-systemer innenfor områdene migrasjon, asyl og grensekontroll, blant annet løgndeteksjon, vurdere en persons helse- eller sikkerhetsrisiko og vurdering av søknader. 

  • Domstolenes bruk av KI-systemer for å undersøke faktum, lovtolkning og lovanvendelse. 

  • Bruk av KI-systemer for å påvirke utfallet av et valg eller folkeavstemming, eller for å påvirke velgeratferd.

Dette må du gjøre for å komme i mål med AI Act:

  • Kartlegg alle KI-systemer som virksomheten bruker og hvilken risikokategori de tilhører. 

  • Kartlegg om virksomheten har utviklet eller anskaffet KI-systemene, slik at dere kan identifisere hvilke roller og forpliktelser virksomheten har. 

  • Etabler et styringssystem som er tilpasset rollen(e) som virksomheten har. Integrer gjerne de nye rutinene i virksomhetens eksisterende styringssystem, slik at vurderinger kan gjøres samlet. 

  • Sørg for at kravene i AI Act vurderes i nye prosesser hvor det skal utvikles eller anskaffes KI-systemer.

Kontakt oss

Christine Ask Ottesen

Advokat | Partner, Oslo, PwC Norway

928 09 229

Kontakt meg

Christine Dalebø Gjerdevik

Advokat | Direktør, Oslo, PwC Norway

988 73 607

Kontakt meg

Hold deg faglig oppdatert

Meld deg på vårt nyhetsbrev for å få nyheter om forretningsjus rett i din mailboks.

Fyll ut skjema

Våre eksperter bistår deg

Vi tilbyr et bredt spekter av tjenester både innen forretningsjus og skatte- og avgiftsrådgiving.

Forretningsjus
Skatt og avgift

{{filterContent.facetedTitle}}

Om oss Kontakt Presse Event Innsikt Tjenester Kontorer Karriere Alumni

© 2020 - 2025 PwC. Alle rettigheter forbeholdt. PwC refererer til PwC-nettverket og/eller en eller flere av dets medlemsfirmaer, som hver enkelt er en egen juridisk enhet. Vennligst se www.pwc.com/structure for mer informasjon.