Veldig mange, meg inkludert, har snakket om EUs KI-forordning, som ble vedtatt 21. mai 2024. Forordning er et produktregelverk. Dette innebærer at forordningen stiller opp ulike krav til KI-systemene basert på risikoen som er tilknyttet bruken av disse systemene. Disse kravene må være oppfylt for at KI-systemet skal kunne selges og brukes på det europeiske markedet. KI-systemer innenfor HR, utdanning og immigrasjon er eksempler på systemer som regnes som høyrisiko. Høyrisiko-systemer må oppfylle flest krav for at systemet skal kunne brukes.
Siden forordningen ble foreslått, har det vært uenighet om hvem forordningen skal gjelde for – også i Norge. Altså om forordningen skal gjelde for selskap, det offentlige (brukere), integratorer, «resellers», distributører og så videre – eller om denne skal kun gjelder for dem vi kjenner som «big tech-aktører», som Google, Microsoft med videre.
Gjelder flere enn «big tech»
Etter KI-forordningens artikkel 2 gjelder forordningen blant annet for leverandører, distributører og brukere av KI-system. Etter forordningen er en leverandør en fysisk eller juridisk person eller et offentlig organ som har utviklet et KI-system eller får utviklet et KI-system for seg, og som tar i bruk systemet under eget navn, jamfør artikkel 3 (3).
Det er leverandører av høyrisiko-systemer, som for eksempel KI-systemer innenfor HR, utdanning og immigrasjon, som vil bli underlagt flest krav etter forordningen.
En rekke norske aktører utvikler egne eller «fintilpasser» eksisterende KI-systemer i større eller mindre grad, og disse vil som regel regnes som leverandører etter forordningen i henhold til definisjonen og formålsartikkelen i forordningen. Mer tvilsomt og uklart er det for kunder/brukere som får utviklet KI-system for seg av en leverandør, om også disse kundene kan regnes for å være leverandører etter forordningen.
«White labels» og verdikjeder
Selv om det er leverandører av høyrisiko-system som er underlagt flest krav etter forordningen, kan kunden også anses som en leverandør og følgelig bli underlagt den samme mengden med krav. Typisk eksempel er hvis kunden får noen til å utvikle et KI-system for seg.
Forordningens artikkel 25 oppstiller vilkår for når kunden kan regnes som leverandør.
Blant annet kan kunden regnes som leverandør hvis kunden setter sitt eget navn eller merkevare på et høyrisiko KI-system som allerede er på markedet. Dette vil gjelde selv om det finnes avtaler som sier noe annet om ansvarsfordelingen. Dette vil være et reelt tilfelle når kunden kjøper et såkalt «white label»-system, der leverandøren har utviklet systemet, men det distribueres/brukes under kundens navn.
Videre kan kunder som tar i bruk et KI-system, men endrer det tiltenkte formålet med KI-systemet til høyrisikobruk, også regnes som leverandører av et høyrisikosystem.
Avslutningsvis vil opprinnelig leverandør få plikter overfor kunden som nå skal regnes som leverandør. Typisk bistands- og dokumentasjonsplikt som vi allerede kjenner fra dagens IT-kontrakter.
Slik når du KI-målet ditt, Karianne
Fokuser heller på hva som må gjøres
I stedet for å gruble over om KI-forordningen gjelder for deg, kan det være tryggere å anta at den kommer til å gjøre det. Med dette utgangspunktet kan du heller fokusere på hvordan du kan opptre i tråd med forordningen og ikke utilsiktet ende opp som leverandør av et høyrisiko KI-system.
For det første bør du være klar over hvilke KI-systemer du bruker og om de anses som høyrisiko. For det andre: Vurder nøye alle endringer du gjør til KI-systemer, og vurder om de kan føre til at systemet blir klassifisert som høyrisiko. For det tredje bør du samarbeide med leverandøren av KI-systemet for å sikre at du overholder alle gjeldende krav.
En ny teknologisk vår
For å sparke opp en åpen dør til slutt: I lys av forordningen og den teknologiske utviklingen står norske leverandører, kunder, private og offentlige innkjøpere av IT-systemer overfor en ny virkelighet hvor forståelse og overholdelse av regelverk blir avgjørende. Det er ikke lenger nok å være passiv mottaker av teknologiske løsninger; det kreves en aktiv rolle i å forme og tilpasse disse systemene til våre unike behov og juridiske rammer.
La oss derfor omfavne denne utfordringen, utruste oss med nødvendig kunnskap og samarbeide tett for å navigere i dette nye landskapet med tillit og klarhet.
Nettverk av superdatamaskiner skal gi oss menneskelignende KI
