AI integreras i blixtens hast i varje vrå av din verksamhet, men innan du låter dig bländas av AI-lovtal är det nödvändigt att förstå hur AI-system kan utgöra en betydande risk för ditt företag – både när det gäller regelverk och oansvarig användning av AI. Det skriver Louise Irtelius, principle consultant hos Eficode.
Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
Fördelarna med AI får sägas vara massiva: AI kan transformera hur ni arbetar, konkurrerar, utvecklar och servar kunder.
Men vi befinner oss fortfarande i ett tidigt skede med AI-lösningar och artificiell intelligens, och felaktig och oetisk användning av AI kan få fatala konsekvenser. Samtidigt som nya AI-lösningar rusar framåt försöker EU med AI Act säkerställa att vi inte skapar AI-system som gör mer skada än nytta.
De flesta företag måste efterleva AI Act, och kraven delas upp mellan leverantörer: De som utvecklar och tillhandahåller ett AI-system på marknaden – och deployerare: De som använder dem. Därför är det avgörande att alla som använder – eller överväger att göra det – sätter sig in i lagstiftningen så att de uppfyller alla krav.
Era anställda använder sannolikt redan AI-verktyg. it-avdelningen använder AI för utveckling av era kärnsystem, och marknadsföring använder en gratisversion av ChatGPT för att skriva ert marknadsföringsmaterial. De är entusiastiska över möjligheterna i AI-lösningarna, och vet du vad? Så ska det vara, för innovation kräver experiment.
Men vi måste säkerställa att dessa experiment sker under kontrollerade former: Har ditt företag ingen strategi för hur det använder AI-lösningar – eller själva utvecklar dem – och utbildas era anställda inte i korrekt användning av AI-lösningar, kan det både utgöra en stor risk för verksamheten och ligga på gränsen till lagbrott.
EU:s AI Act är dess första omfattande lagstiftning om artificiell intelligens och får konsekvenser långt utanför Silicon Valley, för även om reglerna bara tillämpas i EU har de global räckvidd. Lagen trädde i kraft i augusti 2024 och bygger på ett riskbaserat angreppssätt: Ju större risk ett AI-system innebär, desto strängare krav ställs.
Det betyder allt från totalförbud mot social scoring, som man ser i Kina, till strikt reglering av högrisk-system som AI i rekrytering och kreditbedömning, där konsekvenserna för de människor som påverkas av AI-system är stora.
Den gäller alla organisationer som utvecklar eller använder AI i EU. De som utvecklar AI kan få böter på GDPR‑nivå, och de som använder AI oansvarigt eller oetiskt riskerar också kännbara sanktionsavgifter.
AI Act uppmuntrar till ett mer holistiskt samarbete mellan avdelningarna – eftersom AI sprider sig över hela organisationen. Syftet är lyckligtvis detsamma: Att säkerställa att AI som utvecklas är tryggt, etiskt och i linje med grundläggande rättigheter för att skydda människor och samhället. Om du söker ett jobb som du inte får, ska det vara för att någon var bättre än du – inte för att ett AI-system felaktigt drog slutsatser baserat på ditt CV och din ansökan.
Och för att bli compliant med AI Act krävs en holistisk företagslösning: Ni behöver Legal för tolkning av reglerna, it för att implementera kontroller och rapportera incidenter, HR för att hantera utbildning, Operations för att integrera processer, och ledningen för att orkestrera helheten – eller ett motsvarande tillvägagångssätt där hela organisationen är involverad, men styrd från central nivå där styrelsen har beslutat en strategi som anger riktlinjerna för hur ert företag ska förhålla sig till AI.
Ditt företag kan med andra ord inte bli AI Act‑compliant endast med juridisk rådgivning. Inte heller med it‑rådgivning ensamt, för juridisk och operativ compliance är inte samma sak. Man kan vara juridiskt compliant på pappret och operativt non‑compliant i verkligheten – och då kvarstår risken att vara ett företag som använder eller utvecklar AI på ett oetiskt och olagligt sätt.
För det första måste ni kartlägga all användning av AI och säkerställa: Vilka AI-system använder vi och vilka risker följer med användningen av dem? Vilka data har de tillgång till? Vad händer om de fallerar? Har leverantören av systemet eller tjänsten tillgång till de data som laddas upp?
För att säkerställa en holistisk riskbild behövs både tekniska och icke‑tekniska resurser för att utföra sina bedömningar på ett systematiskt sätt.
EU AI Act har redan trätt i kraft och de olika deadlines för implementering närmar sig snabbt. Det är med andra ord hög tid att börja dokumentera all användning av AI i ert företag. Utan full överblick kan ni inte hantera risk effektivt eller vara säkra på att undvika överträdelser av lagen.
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Anmäl dig till vårt nyhetsbrev!
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
