Hva er AI Act?

Introduksjon

🎯 Læringsmål

• Forstå hvorfor EUs AI Act ble opprettet og hva den skal beskytte
• Vite hvem og hva som reguleres, og hva som uttrykkelig faller utenfor
• Forstå forskjellen mellom et AI-system og en generell AI-modell (GPAI)

EUs AI Act består av 113 artikler, 13 vedlegg og 180 ikke-bindende fortaler — alt utformet for å styrke det indre markedet og støtte innovasjon, samtidig som helse, sikkerhet og grunnleggende rettigheter beskyttes. Loven er i stor grad inspirert av produktsikkerhetsregulering.

Hvorfor trenger vi den?

Europeere har noen bekymringer knyttet til kunstig intelligens.

• Tre av fire ansatte i offentlig sektor i EU er bekymret for at AI kan manipulere valg
• 80 % av nordmenn er bekymret for ikke å vite hva som er sant, eller for AI

Globalt sett er nå flere bekymret enn begeistret, og denne trenden er særlig tydelig i Sverige.

EU kan ikke regulere tillit. Men de kan regulere sikkerhet og sette strenge krav til systemer som iboende utgjør høy risiko.

Før AI Act mente mer enn halvparten av europeere at eksisterende regler ikke regulerte AI på en effektiv måte. Loven ble utformet for å fylle hullene som eksisterende produktsikkerhets- og digitalplattformlover etterlot seg — disse var ikke skrevet med AI-systemer i tankene og håndterte ikke AI-spesifikke risikoer på en tilstrekkelig måte.

Hvem og hva reguleres?

AI Act regulerer:

• Personer eller organisasjoner som bruker AI i en profesjonell sammenheng
• De som utvikler et AI-system eller en generell AI-modell (GPAI)
• Både offentlige og private organisasjoner, inkludert offentlige myndigheter
• Uavhengig av om betaling er involvert — hvis du gjør AI-systemet ditt tilgjengelig for andre i EU gratis, er du fortsatt en tilbyder
• Uavhengig av om AI-systemet ditt var på markedet før AI Act trådte i kraft

Jurisdiksjonsmessig: Hvis en organisasjon (offentlig eller privat) er i EU, eller hvis resultatet av AI-systemet deres er i EU, eller hvis de berørte personene er i EU.

Loven er ennå ikke inkludert i EFTA-avtalen, så den håndheves ikke i Norge. Norge forventes å gjøre den til nasjonal lov. GDPR ble inkludert i norsk lov innen en måned etter at den ble EU-lov.

Tidslinje

Noen deler håndheves allerede, som forbudet mot uakseptable AI-systemer, kravet om AI-kompetanse og krav til generelle AI-modeller som ble lagt ut på markedet etter august 2025.

Gjenværende krav er under forhandling, men vil sannsynligvis begynne å håndheves i 2026, spesielt transparenskrav.

Hva reguleres ikke?

Hvis du bruker et AI-system til en «rent personlig ikke-profesjonell aktivitet» — som en app som tar et bilde av innholdet i kjøleskapet ditt og gir deg enkle oppskriftsideer — reguleres du ikke, fordi du ikke er en bruker i lovens forstand. Det er sannsynligvis ingen bruker-aktør i dette tilfellet, bare deg som bruker og leverandøren av systemet.

Hvis du bruker Intric, antar vi at du bruker det i jobbsammenheng, og arbeidsgiveren din er brukeren. Du bør ikke bruke Intric til personlige formål.

Noen unntak som ikke reguleres av loven:

• AI brukt utelukkende til forskning
• AI som er under utvikling, men ennå ikke lansert på markedet eller tatt i bruk
• AI til nasjonal forsvar (tenk: våpen og militæret)

For eksempler på spesifikke AI-systemer som ikke ville blitt regulert, se avsnittet om systemer utenfor scope i Risikoklasser.

AI-system versus generell AI-modell (GPAI)

AI Act var nesten ferdig før ChatGPT ble lansert — og Kommisjonen måtte jobbe raskt for å finne ut hvordan store språkmodeller og andre typer generativ AI skulle innlemmes. Loven var aldri ment å klassifisere typer AI-teknologier, men plutselig fantes det en svært tilgjengelig og svært populær ny teknologi som oppførte seg annerledes enn nesten alle andre AI-systemer — fordi den var ment å ikke være begrenset til et bestemt sett med atferd eller resultater.

Loven valgte å skille mellom AI-systemer — som klassifiseres etter uakseptable eller høye risikonivåer — og generelle AI-modeller, eller GPAIer.

Et AI-system er det bredeste begrepet. En GPAI refererer spesifikt til en modell som er ment å være generell — å utføre et bredt spekter av oppgaver kompetent uavhengig av hvordan modellen tilbys på markedet, og som kan integreres i en rekke nedstrøms systemer eller applikasjoner. I praksis fanger GPAIer opp de fleste store språkmodeller (som de som ligger til grunn for Intric), fordi store språkmodeller er ment for at brukeren skal kunne utføre et bredt spekter av oppgaver. GPAIer er de eneste typene spesifikke systemer som nevnes i AI Act — bortsett fra disse klarte loven å være teknologinøytral.

Et generelt AI-system er et AI-system som er basert på en GPAI. Dette begrepet brukes ikke så mye i loven, men det er definert innledningsvis.

Eksempler:

• ChatGPT er en GPAI, og fordi det er en GPAI, er det også et AI-system.
• En maskinlæringsalgoritme brukt av skattemyndighetene for å avgjøre om selvangivelsen din kan godkjennes automatisk eller flagges for menneskelig gjennomgang, er et AI-system. Det er ikke en GPAI, fordi algoritmen ble spesifikt trent og testet til å gjøre en avgrenset oppgave.
• En AI-agent er et AI-system. De fleste agenter vil også være GPAIer, på grunn av det tiltenkte nivået av autonomi, eller med andre ord evnen til å utføre et bredt spekter av aktiviteter kompetent.

Viktige lærepunkter

• AI Act finnes for å beskytte helse, sikkerhet og grunnleggende rettigheter — ikke for å klassifisere alle AI-systemer
• Den gjelder for alle som bruker AI i profesjonell sammenheng, uavhengig av betaling eller om systemet eksisterte før loven
• Den håndheves allerede delvis, med flere krav forventet fra 2026
• GPAIer (som modellene som driver Intric) er den eneste spesifikke typen AI-teknologi som er pekt ut i loven; all annen regulering er teknologinøytral

Test kunnskapen din

4 spørsmål · 100 % riktige for å bestå · Gå gjennom svar når du er ferdig

Start quiz →