Tankeledere

Hvor mye vil EU-ai-loven faktisk påvirke din bedrift?

mm
Publisert
Oppdatert

Når nye bestemmelser trer i kraft, her er hva selskaper virkelig må vite om samsvar

2. februar 2025 markerte den første store milepælen i utrullingen av Den europeiske unions ai-loven, med bestemmelser som forbød forbudte ai-praksiser og krevde at organisasjoner sikret at deres ansatte hadde nok kunnskap, ferdigheter og forståelse om hvordan ai fungerer, risiko og fordeler (ai-kompetanse). Nå, 2. august 2025, markerer en annen kritisk vending, da forpliktelser for generell- formål ai-modeller er trådt i kraft.

Ai-loven gjelder for de som selger, importerer eller gjør ai-systemer eller generell-formål ai-modeller tilgjengelige i EU, enten de er basert i EU eller ikke. Den gjelder også for selskaper basert i EU som bruker ai-systemer eller modeller.

Mens selskaper er genuint bekymret for ai-samsvar forpliktelser, er virkeligheten for de fleste bedriftene mindre dramatisk enn bestemmelsene kan se ut til å være på første blikk.

Som noen som driver et globalt selskap som bruker ai omfattende i vårt dokumenthåndteringssystem, har jeg måttet navigere denne reguleringen førstehånd. Sannheten er at for de fleste bedriftene er ai-loven mye mer håndterbar enn den først kan se ut til å være – lik hvordan GDPR syntes overveldende fra et amerikansk perspektiv, men viste seg å være håndterbar når du forstod prinsippene.

Men i motsetning til GDPRs enkelt implementeringsdato, ruller ai-loven ut i faser. Med bøter på opptil 35 millioner euro eller 7% av global omsetning, og en kritisk påtvingelsesbølge like bak oss og en annen stor frist foran oss, er det viktig å få samsvar-strategien riktig.

Hvor vi er på tidslinjen

Per august 2025 er forpliktelser for generell-formål ai (GPAI) modeller nå i kraft – og dette berører langt flere selskaper enn de fleste innser. Hvis du bruker grunnmodeller som GPT-5, Claude eller Llama i dine produkter, kan du arve samsvar-plikter selv om du betrakter deg selv som bare en “bruker” av modellen.

Forpliktelserne inkluderer å demonstrere samsvar med opphavsrett i treningdata, å utføre motstandsprøving for sikkerhetssvakheter, å implementere robuste sikkerhetstiltak og å gi detaljert teknisk dokumentasjon om modellens evner og begrensninger.

Mange SaaS-selskaper antar at de er fritatt fordi de ikke utvikler modeller fra scratch. Men hvis du er med på å finjustere eller på annen måte modifisere modeller, kan du finne deg selv underlagt GPAI-forpliktelser. Skillet mellom “bruke” og “tilby” ai-systemer er bevisst bredt i reguleringen.

2. august 2026 er den store milepælen å se etter. Ved denne datoen må ai-systemer klassifisert som “høyrisiko” møte omfattende samsvar-krav. Omfanget er bredere enn mange bedrifter antar, og forpliktelserne er betydelige.

Høyrisikoklassifiseringer inkluderer systemer brukt til rekruttering og anssettelse, kredittvurdering og finansielle beslutninger, utdannelsesvurdering, medisinsk diagnose, sikkerhetskritisk infrastruktur og politiapplikasjoner. Hvis ditt ai-verktøy hjelper til å bestemme hvem som blir ansatt, godkjent for lån, innmeldt på programmer eller diagnostisert med tilstander, er du sannsynligvis innenfor omfanget.

Det er en byrde som følger med dette. Du vil trenge omfattende risikostyringssystemer med kontinuerlig overvåking, teknisk dokumentasjon som beviser systemets sikkerhet og pålitelighet, datakvalitetsstandarder med auditable bevis for treningdatas integritet, automatisk logging av alle systembeslutninger og -operasjoner, meningsfull menneskelig tilsyn med mulighet til å gripe inn i sanntid, og CE-merking med tredjeparts konformitetstesting.

Dette handler ikke bare om å legge til en disclaimer på nettstedet ditt. Høyrisikosystemer krever kvalitetsstyringssystemer som vanligvis sees i medisinsk utstyrproduksjon eller bil sikkerhetssystemer.

Forstå risikokategoriene

Ai-loven opererer på en firetrinns, risikobasert tilnærming som er mer nyansert enn mange innser.

  • Uakseptabelt risiko (Forbudt): Disse ai-applikasjonene er forbudt utrett – sosial scoring systemer, manipulerende ai som retter seg mot sårbare grupper, sanntids biometrisk identifisering i offentlige rom (med begrensede unntak for politiet), og følelsesgjenkjenning på arbeidsplassen eller i skoler.
  • Høyrisiko (Sterkt regulert, men tillatt): Dette er der mange bedrifter blir tatt på sengen. Som nevnt ovenfor, inkluderer høyrisiko-applikasjoner ansattskjerming og rekrutteringsverktøy, kredittvurdering og låneutsteder systemer, medisinske diagnostiske enheter, sikkerhetssystemer i transport (autonome kjøretøy, trafikkstyring), utdannelsesvurderingsverktøy, politiapplikasjoner og kritisk infrastrukturhåndtering.
  • Begrenset risiko (Transparens påkrevd): disse systemene omfatter primært ai som samhandler direkte med mennesker eller genererer innhold som kan forveksles med menneskeskapt materiale. Dette inkluderer chatboter, virtuelle assistenter og ai-systemer som skaper syntetisk media som deepfakes eller manipulerte bilder og videoer. For disse applikasjonene er hovedreguleringskravet transparens – brukerne må være tydelig informert når de samhandler med et ai-system i stedet for et menneske, eller når innhold er blitt kunstig generert.
  • Minimal risiko: De fleste ai-applikasjonene faller innenfor denne minimale risikokategorien, som dekker systemer som utgjør liten trussel mot grunnleggende rettigheter eller sikkerhet. Disse inkluderer vanlige forretningsverktøy som spamfiltre, lagerstyringssystemer, grunnleggende analyseplattformer, anbefalingsmotorer for innhold eller produkter og automatisert kundeservice-ruting. For minimale risikosystemer er det ingen spesielle regulatoriske forpliktelser under ai-loven utover generelle krav som ai-kompetanse for ansatte.

Hvis du faller innenfor “Uakseptabel eller høyrisiko” kategoriene, er transparens alene ikke nok. Hvis du faller innenfor noen annen kategori, er samsvar-kravene håndterbare.

Grunnmodellens bølgeeffekt

Den august 2025 GPAI-fristen som nettopp er gått, fortjener spesiell oppmerksomhet fordi den skaper en bølgeeffekt gjennom hele ai-økosystemet. Grunnmodell-leverandører som OpenAI, Anthropic og Meta har måttet implementere nye samsvar-tiltak, og disse kravene flyter nedover til deres bedriftskunder.

Hvis du bygger på toppen av disse modellene, må du forstå leverandørens samsvar-holdning og hvordan det påvirker dine egne forpliktelser. Noen modell-leverandører kan begrense visse bruksområder, andre kan overføre samsvar-kostnader gjennom høyere priser eller nye tjenestenivåer.

Selskaper bør gjennomføre en revisjon av sin ai-leverandørkjede nå hvis de ikke allerede har gjort det. Dokumenter hvilke modeller du bruker, hvordan du tilpasser dem og hva data som flyter gjennom dem. Denne inventaren vil være avgjørende for å forstå dine nåværende GPAI-forpliktelser og å forberede deg på 2026 høyrisiko-systemkravene.

Få overtak

Ai-loven representerer verdens første omfattende ai-regulering, og vi er nå midt i dens faserte utrulling. Med GPAI-forpliktelser nå i kraft og den store høyrisiko-systemfristen som nærmer seg i august 2026, vil selskaper som så på GDPR som en byrde gå glipp av muligheten til å gjøre personvern til en differensierer. Ikke gjør det samme feil med ai-styring.

De bedriftene som kommer til å streve mest er de som blir tatt på sengen når påtvingelsen intensiveres. De som bygger ansvarlig i dag vil finne at samsvar forbedrer snarere enn hindrer deres ai-strategi. Det er fortsatt tid til å få overtak – men vinduet lukker raskt.

mm

Stéphan Donzé er grunnlegger og CEO av AODocs, et programvareselskap han etablerte basert på ideen om at bedriftens behov for overholdelse og effektive prosesser ikke er motsatt med en god brukeropplevelse. Før han etablerte AODocs, var han VP of Engineering i Exalead, et ledende selskap for bedriftssøk. Etter at Exalead ble kjøpt av Dassault Systèmes i 2010, flyttet han til California fra Paris som VP of Product Strategy. Stéphane har en mastergrad i programvareutvikling fra Ecole Polytechnique i Frankrike (X96). Med 18 års erfaring innen bedriftsprogramvare, er han lidenskapelig opptatt av brukeropplevelse på tvers av en organisasjon.