Et strategisk overblik over EU’s nye regulering af kunstig intelligens
2: AI ACT
Da AI Act trådte i kraft, opstod der hurtigt en fælles misforståelse i mange virksomheder: ”Vi udvikler jo ikke AI, så dette gælder næppe os.”
Men i praksis er det langt mere nuanceret.
Rollen som udbyder eller idriftsætter afhænger ikke af branche, ambition eller teknisk modenhed, men af hvordan virksomheden interagerer med det AI-system, den anvender.
Og virkeligheden er, at mange virksomheder allerede er udbydere, uden at de selv er klar over det.
Hvorfor rollefordelingen er så afgørende
AI Act bygger blandt andet på det princip, der hedder at den part, der påvirker AI programmets funktionalitet, bærer ansvaret for de risici og konsekvenser der kan opstå ved dets anvendelse. Derfor er rollefordelingen det første og vigtigste skridt i enhver compliance-proces. Den styrer:
- hvor omfattende dokumentationen skal være
- hvilke tekniske krav virksomheden skal leve op til
- hvor dybt man skal gå ned i risikovurderinger
- hvor tungt en evt. audit vil være
- hvor meget ansvar virksomheden bærer, hvis AI’en laver fejl
Udbyderen: Den der former AI’en
Mange forestiller sig, at en “Udbyder” kun er større virksomheder, nogen der skriver algoritmerne fra bunden og udbyder komplekse LLMs. Men i AI Act’s logik er definitionen langt bredere. Forestil dig en virksomhed, der har købt et AI-system, men efterfølgende justerer modelparametre, træner systemet på egne data eller bygger et API-lag ovenpå, så output bliver mere tilpasset deres processer. Selvom de aldrig har skrevet en linje kode, har de nu påvirket hvordan AI’en virker. Og dermed er de udbyder. En virksomhed er udbyder, når den:
- udvikler et AI-system helt eller delvist
- får udviklet et system, som markedsføres og operer under virksomhedens navn.
- ændrer funktionalitet, beslutningslogik eller træningsdata
- integrerer AI i et produkt, så det originale formål med AI’en ændrer sig
- whitelabeler, videresælger eller distribuerer AI
Det afgørende er graden af kontrol. Når virksomheden påvirker teknologien, pålægges virksomheden også et teknisk ansvar. Det er den tungeste rolle i AI Act og den mest regulerede. Udbyderen skal derfor kunne dokumentere:
- hvordan systemet er udviklet
- hvilke data der er brugt til at træne AI’en
- hvorfor modellen kan træffe de beslutninger, den gør
- hvordan risiko er reduceret
- hvordan systemet overvåges efter idriftsættelse
Idriftsætteren: Den virksomhed der anvender AI’en i en praksis
Hvor udbyderen udvikler, brander og former teknologien, er idriftsætteren den, der i praksis anvender den. Men ansvaret forsvinder ikke af den grund.
Forestil dig en HR-afdeling, der bruger et ekstern AI-rekrutteringsværktøj i deres ansættelsesproces. De ændrer ikke på algoritmen, men de anvender outputtet i en beslutningsproces for ansættelse, og herigennem påvirker menneskers liv. I dette tilfælde er HR-afdelingen – og hermed virksomheden - idriftsætteren, men deres ansvar er stadig betydeligt. Idriftsætteren er den virksomhed, der:
- anvender AI-udviklet af andre
- ikke foretager direkte tekniske tilpasninger
- implementerer AI ud fra udbyderens instruktioner
- bruger generative AI-tjenester uden at ændre kernefunktionalitet eller formålet med brugen.
Idriftsætteren har derfor ansvar for hvordan AI’en anvendes. Derfor skal idriftsætteren:
- vurdere risikoen AI’ens påvirkning af mennesker og processer.
- sikre gennemsigtighed over for brugere og medarbejdere
- overholde GDPR eks. ved at udarbejde en ”Data Processing Impact Assessment”
- implementere menneskelig kontrol ved afgørende beslutninger, f.eks. i en ansættelsesproces.
- overvåge output løbende for fejl, bias eller utilsigtede konsekvenser
Det er ikke nok at sige: ”Vi følger jo bare systemets anbefalinger.”
Tre situationer, hvor virksomheder kan blive udbydere:
Her er de scenarier, hvor mange – uden at vide det – bevæger sig fra idriftsættere til udbydere.
Når en lille justering får store konsekvenser
Et eksternt AI-system tages i brug uden ændringer. For at gøre systemet “lidt bedre” tilpasses modellen af en udvikler, så den passer bedre til virksomhedens data og arbejdsgange.
Selvom ændringen virker begrænset, betyder den, at virksomheden nu har indflydelse på, hvordan AI’en fungerer.
Det udløser et skift i ansvar: virksomheden betragtes herefter som udbyder efter AI Act.
Når formålet ændrer ansvaret
Et generativt AI-system bruges i første omgang som et internt vidensværktøj.
Senere bliver det en del af virksomhedens HR-proces og anvendes til at screene ansøgere.
I det øjeblik AI’en indgår i beslutninger, der kan påvirke menneskers muligheder og rettigheder, ændres risikoniveauet markant.
Det betyder, at virksomheden ikke længere blot anvender AI, men påtager sig et udbyderansvar i henhold til AI Act.
Når AI bliver “jeres eget”
En virksomhed integrerer et eksternt AI-værktøj i sit produkt og præsenterer det som en del af sin egen løsning. For kunden fremstår AI’en nu som virksomhedens eget system.
I det øjeblik virksomheden sætter AI på markedet under eget navn, overtager den også ansvaret for systemet. Det gælder uanset, hvem der oprindeligt har udviklet teknologien.
Hvordan finder man virksomhedens reelle rolle?
- Har din virksomhed indflydelse på, hvordan AI’en er udviklet, brandet eller hvilke former for teknologi der anvendes = Udbyder
- Er der tale om en ”plug n’ play”-AI-løsning eller en anvendelse af AI uden tekniske eller branding mæssige ændringer = Idriftsætter.
Én metode der kan hjælpe med at undersøge ens rolle, men som dog aldrig være enste vurdering. Denne dokumentation er afgørende ved tilsyn og efterspørgsler fra myndigheder. Virksomheden bør altid kunne dokumentere:
- hvilke AI-systemer, der bruges i virksomheden
- hvor AI indgår i processer
- hvordan AI systemerne, der anvendes, har indflydelse på mennesker og menneskerelaterede beslutninger
- om formålet med AI’ens anvendelse ændres over tid
- om tekniske integrationer ændrer output eller logik
Konklusion: Rollen påvirker AI-ansvaret
Rollefordelingen mellem udbyder og idriftsætter er i den grad betinget af den pågældende virksomheds fundament for hele virksomhedens compliance-setup.
Udbyderen bærer det tekniske ansvar og idriftsætteren bærer det operationelle ansvar .
Og fordi rollen følger handlingen, skal virksomheder løbende dokumentere og evaluere, om de stadig befinder sig det rigtige sted i AI Act’s ansvarsmodel.