Jannika Törnqvist, senior legal counsel på Knowit, är en av talarna på konferensen Secure AI i slutet av september. Med sin expertis inom dataskydd och digital lagstiftning kommer hon att guida deltagarna genom de stora frågorna kring EU:s AI Act – från riskklassificering och kompetenskrav till hur juridik och compliance kan bli en möjliggörare istället för ett hinder.
Vilka är de största utmaningarna för företag och organisationer när det gäller att omsätta EU:s AI Act från teori till praktik?
– Klassificeringen av AI-system enligt rätt risknivå är en av de första och viktigaste uppgifterna för organisationer som berörs av förordningen. Valet av kategori är avgörande eftersom ett system som bedöms som högrisk omfattas av betydligt fler och strängare krav än ett system på låg risknivå. Regelefterlevnaden för högrisksystem kommer vara en utmaning i sig. Denna omfattande kravmassa och avsaknaden av närmare vägledning är i dagsläget några av de utmaningar som organisationer stöter på just nu.
En ofta förbisedd utmaning är också organisationens egen kompetens och AI-förordningen betonar uttryckligen behovet av adekvat AI-kunnighet. Det innebär krav på att säkerställa att all involverad personal har tillräcklig förståelse och kunskap för att kunna navigera de sammanhang som systemen används i. Detta innebär att organisationer behöver se till sin kompetensutveckling för att säkerställa en ansvarsfull och lagenlig användning av AI.
Hur skiljer sig utmaningarna för AI-startups jämfört med offentliga organisationer när det gäller efterlevnad av regelverket?
– Det finns tydliga skillnader i hur olika aktörer påverkas av AI Act. Startups arbetar ofta med små resurser och högt tempo, vilket gör det svårare att möta de omfattande kraven på dokumentation och regelefterlevnad. Offentliga organisationer har större vana vid regelverk, men måste hantera särskilt höga krav på transparens, ansvarsskyldighet och samordning med andra regelverk. Skillnader i både resurser och riskaptit påverkar därför hur snabbt aktörer kan anpassa sig. Samtidigt visar undantagen för forsknings-, testnings- och utvecklingsverksamhet att lagstiftaren vill skapa utrymme för innovation. Det är såklart lockande att generalisera, men i slutändan behöver varje organisation göra en realistisk bedömning av den egna kapaciteten och därefter planera nödvändiga utvecklingsinsatser på ett strukturerat sätt.
Hur ser du på samspelet mellan AI Act och befintliga regelverk som GDPR – var finns de största gränsdragningsproblemen?
– Trots att AI-förordningen och GDPR har olika tillämpningsområden och därmed reglerar olika saker är det tydligt att det finns betydande överlappningar, inte minst angående riskhantering, ansvarsfördelning och krav på transparens. Samtidigt ser vi att dessa krav realiseras på olika sätt, vilket kan leda till parallella och fragmenterade ”siloprocesser” om organisationer inte förmår utveckla en gemensam strategi för efterlevnad. En isolerad hantering kan möjligen ge kortsiktiga lösningar, men blir i längden både ineffektiv och svår att förvalta. Det är därför avgörande att etablera helhetsorienterade processer som tar höjd för flera regelverk samtidigt. Särskilt utmanande är gränsdragningen mellan GDPR:s restriktioner vad gäller bl.a. känsliga personuppgifter och behovet av tillgången till just sådana uppgifter för att kunna identifiera och motverka diskriminering – en utmanande avvägning som i framtiden förutsätter ett tätt samarbete mellan juridisk och teknisk expertis.
AI Act bygger på en riskbaserad ansats. Hur kan organisationer bäst arbeta proaktivt med att identifiera och hantera risknivåerna i sina AI-lösningar.
– För organisationer är det avgörande att inledningsvis genomföra en grundlig riskklassificering av sina AI-system, eftersom denna bedömning i praktiken bestämmer vilka ytterligare krav som kommer att gälla. Ett proaktivt förhållningssätt kräver dessutom tydlig kontroll över interna processer och en klar förståelse för i vilka sammanhang ett AI-system faktiskt får användas – ett system som är godkänt i en kontext är inte per automatik lämpligt i en annan. För att undvika missförstånd och kostsamt dubbelarbete behöver verksamheter etablera interna riktlinjer och utveckla andra åtgärder som är förankrade i den dagliga verksamheten. Samtidigt är det viktigt att påminna sig om att AI visserligen är en ny teknik, men att många av de grundläggande bedömningarna för dataskydd, säkerhet och styrning redan är etablerade, bl.a. att undvika s.k. skugg-IT. Utmaningen blir därför att bygga vidare på dessa befintliga processer, snarare än att börja från noll, och samtidigt säkerställa att endast godkända och korrekt riskklassade AI-lösningar tas i bruk.
Vilken roll tror du att jurister och compliance-experter kommer att spela i AI-utvecklingen de kommande fem åren – kommer juridiken bli en bromskloss eller snarare en möjliggörare?
– Vi vinner mycket på att betrakta juridisk kompetens som en central samarbetspartner i utvecklingen och implementeringen av AI. Juristens roll är inte enbart att identifiera risker och hinder, utan också att möjliggöra en ansvarsfull utveckling som stärker samhällets förtroende för tekniken. Samtidigt bör vi vara medvetna om den utbredda tendensen att överskatta precisionen och pålitligheten hos stora språkmodeller och andra AI-system. Även när en modell ger till synes korrekta juridiska svar finns det inga garantier, vilket understryker behovet av juridisk kvalitetssäkring av experter. Med tiden kommer fler AI-lösningar sannolikt att identifieras som högrisk och därmed omfattas av mer omfattande krav. För att möta dessa ökade förväntningar blir juridisk sakkunskap avgörande. I framtiden blir det dessutom allt viktigare att jurister deltar i tvärdisciplinära team och besitter en djupare teknisk förståelse för att kunna bidra till verksamhetsnära tillämpning av regelverk.
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Anmäl dig till vårt nyhetsbrev!
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
