EU AI Act trådte gradvis i kraft fra august 2024. For norske bedrifter er spørsmålet ikke om forordningen gjelder, men hvordan den gjelder. Norge er EØS-medlem, og de fleste AI-regler anses som relevante for EØS. I praksis betyr det at enhver norsk bedrift som tilbyr AI-systemer i EU, eller som bruker AI til å behandle data om EU-borgere, må følge lovens krav.
Denne artikkelen er ikke juridisk rådgivning, men en praktisk oversikt over hva lovverket krever, organisert etter den risikoklassifiseringen AI Act bruker.
Fire risikokategorier
Forbudt risiko. Enkelte AI-systemer er ulovlige. Dette inkluderer sosial poenggivning av individer av offentlige myndigheter, sanntids biometrisk identifisering i offentlige rom (med snevre unntak for rettshåndhevelse), og AI som utnytter sårbarheter hos spesifikke grupper. De fleste norske bedrifter vil ikke krysse denne linjen ved normal drift.
Høy risiko. Denne kategorien fanger mest av det bedrifter bør være oppmerksomme på: AI brukt i kritisk infrastruktur, utdanning (f.eks. automatisert vurdering av studenter), rekruttering og personalledelse, kredittvurdering, og rettshåndhevelse. Hvis du bygger en AI som tar beslutninger som påvirker individers tilgang til arbeid, utdanning, kreditt eller offentlige tjenester, er du sannsynligvis her.
Begrenset risiko. Systemer som interagerer med mennesker (chatboter), genererer deepfakes eller klassifiserer emosjonelle tilstander. Kravet her er transparens: brukeren må informeres om at de interagerer med en AI.
Minimal risiko. Alt annet. Spamfiltre, anbefalingssystemer for produktkataloger, verktøy som hjelper ansatte å skrive raskere. Ingen formelle forpliktelser under AI Act for disse.
Hva må gjøres hvis du er i "høy risiko"?
Kravene for høyrisiko-systemer er omfattende, men de oppsummeres i seks plikter: risikoanalyse og -håndtering, datasett-kvalitet og ikke-diskriminering, teknisk dokumentasjon, logging av system-atferd, transparens overfor brukere, og menneskelig tilsyn. I praksis betyr det at du må kunne produsere dokumenter som viser at du har vurdert disse temaene, og at din implementering møter kravene.
Dette er arbeid som enten gjøres oppstrøms i utviklingen (riktig) eller nedstrøms når noen spør (dyrt og panisk). Vi anbefaler sterkt det første.
Praktiske steg for norske mellomstore bedrifter
1. Gjennomfør en AI-inventar. Hvilke AI-systemer bruker eller bygger din bedrift? Mange har mer enn de tror: chatboter, CRM-plugins, e-postsortering, produktanbefalinger.
2. Klassifiser hvert system. De fleste vil lande i minimal eller begrenset risiko. De som ender i høy risiko krever en egen compliance-plan.
3. For høyrisiko-systemer: etabler dokumentasjon og tilsyn fra dag én. Ikke retrofit dette senere.
4. For begrenset risiko: oppdater brukergrensesnitt og vilkår slik at transparens-kravet er møtt (f.eks. "Du snakker med en AI-assistent").
5. Etabler en intern prosess for når nye AI-systemer innføres. Hvem signerer av? Hvem fører logg? Hvem oppdaterer dokumentasjonen?
Hva Nordic AI gjør
Alle våre leveranser, både Eid og Leid, bygges med AI Act-kompatibilitet innebygget. Risikoanalyse, dokumentasjon, logging og menneskelig tilsyn er ikke ettertanker, de er en del av Nordic AI Implementation Model.
Vi tilbyr også workshops i EU AI Act for ledergrupper og compliance-ansvarlige. Ta kontakt hvis du vil ha et skreddersydd gjennomgang for ditt team.