De seks overordnede definitioner af brugere og udbydere i EU’s AI Act
Helt overordnet skelnes der i AI Act mellem drift og brug. Men hvis vi går et spadestik dybere, er der i forordningen faktisk defineret seks forskellige “entities”, som dækker brugere og udbydere af AI-systemer.
| Type | Definition |
| Provider | “a natural or legal person, public authority, agency or other body that develops an AI system or a general purpose AI model (or that has an AI system or a general purpose AI model developed) and places them on the market or puts the system into service under its own name or trademark, whether for payment or free of charge” |
| Deployer | “any natural or legal person, public authority, agency or other body using an AI system under its authority except where the AI system is used in the course of a personal non-professional activity” |
| Distributor | “any natural or legal person in the supply chain, other than the provider or the importer, that makes an AI system available on the Union market” |
| Importer | “any natural or legal person located or established in the Union that places on the market an AI system that bears the name or trademark of a natural or legal person established outside the Union” |
| Authorised representative | “any natural or legal person located or established in the Union who has received and accepted a written mandate from a provider of an AI system or a general purpose AI model to, respectively, perform and carry out on its behalf the obligations and procedures established by this Regulation” |
| Product manufacturer | “places on the market or puts into service an AI system together with their product and under their own name or trademark” |
Vi har valgt at beholde de engelske definitioner, du finder i artikel 3, punkt 2-8 og betragtning 87 i EU’s AI Act for at undgå eventuelle misforståelser ved oversættelse. Se de danske her.
Som du kan se i definitionerne, skelnes der mellem personer og virksomheder, der udvikler/bruger/sælger AI-løsninger og dem, der bruger en tilgængelig løsning.
Denne skelnen er relevant, da det er meget få danske virksomheder, der driver eller udvikler deres egen AI-løsning. Derfor fokuserer vi også primært på dem, der er brugere af fx ChatGPT, Midjourney eller andre generative AI-systemer.
Brug EU AI Act Compliance Checker, hvis du vil se præcis, hvad de kommende regler og krav betyder for lige netop dig og dit system. Her skal du svare på en række spørgsmål, hvorefter du får et resultat, der fortæller, hvad der potentielt er af krav til dig.
AI litteracy er krav for alle – og der er ekstra krav ved drift
Alle virksomheder er omfattet af kravene om AI literacy, men der gælder ekstra krav for virksomheder, der udvikler eller driver systemer og løsninger. Det er også vigtigt at være opmærksom på, at nogle krav er relateret til den enkelte medarbejder, mens andre gælder for hele virksomheden.
Først gennemgår vi de forskellige risikoprofiler for systemer og løsninger. Det er relevant for dig, der driver eller udvikler et produkt baseret på AI. Senere kigger vi på AI literacy for medarbejdere og virksomheder, der både drifter og bruger AI.
Krav til alle AI-risikoprofiler ved drift
Der er stor forskel på kravene i de forskellige kategorier. Der er selvfølgelig ingen krav til systemer med uacceptabel risiko, da disse systemer slet ikke er tilladte i EU (eller over for EU-borgere).
Hvis dit AI-system eller -løsning hører under højrisiko-kategorien, skal du overholde – og kunne dokumentere – følgende krav, hvis det er skal være lovligt:
- Foranstaltninger eller systemer til at minimere risiko for skade samt risikovurdering af potentielle risici
- Datasæt, der fodrer systemet, skal være af høj kvalitet for at minimere diskriminerende udfald og reducere risici
- Logning af aktivitet for at sikre, at det er muligt at spore, hvordan systemet er kommet frem til resultatet
- Passende menneskeligt tilsyn så risiko for fejl minimeres
- Høj grad af robusthed, nøjagtighed og sikkerhed
- Tilstrækkelig og klar information til udbyderen
Derudover er der også krav om detaljeret dokumentation, som indeholder alle nødvendige oplysninger om systemet og formålet med dette. Dokumentationen bruges af myndighederne til at vurdere, om AI-systemet/-løsningen lever op til loven.
Gennemsigtighed er en af de helt store ting med EU’s AI Act. Systemer med begrænset risiko skal primært leve op til krav om gennemsigtighed for at være lovlige.
Kravene om gennemsigtighed er indført for at sikre, at alle borgere ved, at de interagerer med en AI eller præsenteres for indhold genereret af AI, når det er tilfældet.
Når du bruger et AI-system som fx chatbots, skal mennesker blandt andet gøres opmærksom på, at de interagerer med en maskine. De må altså ikke være i tvivl om, de kommunikerer med en robot eller et menneske.
Hvis du er udbyder af et AI-system/-løsning, skal du også sørge for, at AI-genereret indhold kan identificeres – det vil blandt andet sige, at tekst, lyd og video skal mærkes som kunstigt genereret, hvis det er AI-genereret.
Som det er lige nu, er der ikke nogen særlige krav for systemer eller løsninger, der hører under denne kategori.
Det forventes dog, at EU på et senere tidspunkt vil publicere en frivillig Code of Conduct, som virksomheder med minimal risiko-systemer kan underskrive og benytte sig af.
Ovenstående er krav til virksomheder, der selv drifter/udvikler AI-systemer eller -løsninger. Det er vigtigt, at du kan dokumentere, at du overholder alle krav.
Krav om tilstrækkelig AI literacy i alle virksomheder
AI literacy er noget, alle virksomheder skal forholde sig til med EU’s AI Act. Det hedder officielt, at det er virksomheder, der enten udvikler eller anvender AI-løsninger, skal sikre, at deres medarbejdere besidder tilstrækkelige AI-færdigheder.
De fleste virksomheder bruger en eller anden form for AI i dagligdagen. Der er fx AI i de fleste af Microsofts og Googles løsninger, og hvis du bruger et system til at generere tekst, lyd eller billede for dig, er du også omfattet.
Kravet om AI literacy trådte i kraft d. 2. februar 2025. Du kan blive meget klogere på AI literacy – og hvordan du sikrer tilstrækkelige færdigheder i din organisation – via linket. Her går vi mere i dybden med emnet, samt hvad du skal være særlig opmærksom på.
Download tjekliste – brug af data i offentlige AI-værktøjer
Det er vigtigt at skelne mellem offentlige og ikke-offentlige informationer (data) – især når det kommer til AI og AI-forordningen. Derfor har vi lavet en praktisk tjekliste, du nemt kan bruge i en travl hverdag.
Du tilmelder dig samtidig Dineros nyhedsbrev, som du altid kan afmelde med et enkelt klik. Tjeklisten er vejledende og skal ikke ses som juridisk rådgivning.
Tjeklisten består af konkrete eksempler, hvor du kan få svar på, om det er okay at bruge data i et AI-værktøj samt årsagen til dette. De er opdelt i rød, gul og grøn – ligesom et trafiklys.
Skærpede krav til generelle sprogmodeller (GPAI) – fx ChatGPT
Det er ikke kun krav og regler for systemer og løsninger, som bruger AI, der er kommet med EU’s AI Act. Forordningen indeholder nemlig også skærpede krav til generelle sprogmodeller (GPAI) – som du nok bedre kender som fx ChatGPT.
Udbydere af generelle sprogmodeller er forpligtet til at:
- sikre robust beskyttelse af fundamentale rettigheder, sundhed, miljøet, demokratiet, sikkerhed og retssikkerheden
- identificere og håndtere eventuelle risici, modellen skaber
- overholde relevante krav til design, information og miljø
- registrere modellen i en fæles EU-database
Hvis du udelukkende er bruger af sprogmodeller, er du ikke forpligtet til ovenstående. Det er udelukkende udbydere af sprogmodellerne, der har disse forpligtelser.
Oftest stillede spørgsmål
Kravene i EU’s AI Act er blandt andet baseret på AI-systemets risikoprofil, og hvordan en virksomhed bruger det enkelte system. Der skelnes fx mellem en virksomheds egne produkter, om det er en white label-løsning, eller om virksomheden kun bruger en ekstern løsning (og altså ikke driver/udvikler selv).
Der stilles større krav til systemer med høj risiko. De skal overholde såkaldt skærpede krav, der blandt andet omfatter kvalitetskrav til datasæt, passende menneskeligt tilsyn og logning af aktivitet.
Systemer med begrænset risiko skal primært overholde krav om gennemsigtighed, mens der ikke stilles særlige krav til systemer med minimal risiko.
EU regner dog med at komme med en frivillig Code of Conduct på et senere tidspunkt, som alle virksomheder med minimal risiko-systemer kan underskrive og benytte sig af.
Der er fire risikoprofiler i AI-forordningen; uacceptabel risiko, højrisiko, begrænset risiko og minimal risiko. Placeringen er defineret ud fra, hvor stor skade systemet eller løsningen potentielt kan påføre den enkelte borger eller samfundet.
Der stilles forskellige krav til AI-systemer og -løsninger i de forskellige risikoprofiler – dog blev alle med “uacceptabel risiko” ulovlige d. 2. februar 2025, da forbuddet mod disse trådte i kraft.
Systemer i risikoprofilen “uacceptabel risiko” er forbudte i EU, og det er systemer, der er vurderet til at have så høj en risiko, at det ikke er acceptabelt at bruge dem i EU, da de er vurderet til at udgøre en trussel mod vores grundlæggende menneskerettigheder.
Systemer med uacceptabel risiko er blandt andet løsninger til social scoring, ansigtsgenkendelse samt biometrisk identifikation.