Publicerad 20 april 2023

AI Act, AI-förordningen

Innebörd, konsekvenser och tidplan för AI-förordningen som godkändes 21 maj 2024.

Senast uppdaterad: .

Innebörd

Syftet med ett harmoniserat regelverk för AI är att säkerställa att AI-system på EU:s inre marknad är säkra och respekterar mänskliga rättigheter. Syftet är även att underlätta för innovation och investering inom AI. Förordningen utgör en enhetlig rättslig ram för AI och gäller hela livscykeln (utveckling, saluföring och användning).

Konsekvenser

Förordningen antar en riskbaserad approach och inkluderar bland annat bestämmelser om vilka typer av AI-system som inte ska vara tillåtna alls och vilka som anses medföra en hög risk för säkerhet, hälsa och mänskliga rättigheter (så kallad högrisk-AI). I synnerhet leverantörer (de som utvecklar eller låter utveckla i eget namn) av högrisk-AI, men även spridare (på engelska deployers) av sådan, blir i och med förordningens ikraftträdande skyldiga att uppfylla en rad krav. Kommuner och regioner kan vara både leverantörer och spridare, beroende på upplägg.

Förordningen omfattar också bestämmelser kring AI-system för allmänna ändamål (exempelvis ChatGPT) och dess underliggande modeller (exempelvis GPT4) samt hur länderna behöver rigga organisation och styrning för stöd och kontroll. Den inkluderar även bestämmelser kring sanktionsavgifter i händelse av regelöverträdelser samt erbjudandet av regulatoriska sandlådor som stöd för innovation.

Kommuner och regioner träffas i stor utsträckning av de områden som är relevanta för högrisk-AI. Exempel är medicinsk utrustning, lösningar som används för att bedöma om fysiska personer har rätt till bidrag samt lösningar avsedda att användas för att påverka resultatet av ett val eller folkomröstning.

Detta gör SKR

Regeringen har tillsatt en utredning för att se över behovet av nationella anpassningar till följd av AI-förordningen.

SKR är representerade i utredningen och kommer att bevaka det svenska genomförandearbetet och verka för att medlemmarnas intressen tas till vara i detta. SKR har också som målsättning att bidra med ytterligare vägledning till medlemmarna.

Frågor och svar om AI-förordningen

SKR svarar på vanliga frågor i takt med att konsekvenser för kommuner och regioner tydliggörs. Direkta hänvisningar till AI-förordningen kommer att uppdateras efter det att slutlig version publicerats i EU:s officiella tidning (EUT).

  • Vad går att förbereda inför den kommande AI-förordningen?

    Redan nu är det en god idé att, med utgångspunkt i definitionen av AI-system i förordningen (artikel 3.1), börja inventera vilka AI-system man använder sig av och vad man planerar att införa.

    Träffar de reglerna för spridare (deployer) eller leverantör (provider)?

    I den mån AI-system används idag kan det vara värdefullt att göra en preliminär klassificering av dessa utifrån risknivåerna i AI-förordningen. Observera att viss AI helt kommer att förbjudas (redan från 6 månader efter ikraftträdande av förordningen). Räknas något AI-system som högrisk-AI? Mycket AI inom kommunal och regional verksamhet kan komma att betraktas som högrisk-AI, till exempel inom socialtjänsten.

    Då förordningen ställer vissa krav på spårbarhet för beslut och dokumentation är det också relevant att se över rutiner för detta.

  • När börjar AI-förordningen gälla?

    AI-förordningen är direkt tillämplig i medlemsstaterna men förutsätter kompletterande nationella bestämmelser. Förordningen trädde i kraft den 1 augusti 2024 men bestämmelserna ska börja tillämpas vid olika tidpunkter.

    Merparten av AI-förordningens bestämmelser ska börja tillämpas 24 månader efter ikraftträdandet, det vill säga den 1 augusti 2026.

    De förbud som gäller för vissa användningsområden och de allmänna bestämmelserna i förordningen ska börja tillämpas 6 månader efter ikraftträdandet alltså den 1 januari 2025.

    Efterlevnaden av förbuden 3 (6) kommer att kontrolleras först efter inrättandet av den styrning och kontroll av efterlevnad som enligt förordningen ska ha skett inom 12 månader från ikraftträdandet. Vid den tidpunkten ska bland annat förordningens bestämmelser om anmälda organ och styrningsstruktur börja tillämpas.

    Även bestämmelser om sanktioner börjar tillämpas 24 månader från förordningens ikraftträdande.

    Vissa bestämmelser, bland annat om harmonisering av viss annan unionslagstiftning, ska börja tillämpas 36 månader efter ikraftträdandet.

  • Hur definieras AI i förordningen?

    Detta definieras i artikel 3 (1) enligt följande:

    AI-system är

    "ett maskinbaserat system som är utformat för att fungera med varierande grad av autonomi, som kan uppvisa anpassningsförmåga efter införande och som, för uttryckliga eller underförstådda mål, på grundval av de indata det tar emot, drar slutsatser om hur utdata såsom förutsägelser, innehåll, rekommendationer eller beslut som kan påverka fysiska eller virtuella miljöer ska genereras."

    Skäl 6 ger ytterligare vägledning.

    Kommentar: Definitionen av AI-system är bred. Det är inte uteslutet att även system som etiketterats som maskininlärningssystem kan komma att träffas av AI-akten.

  • Kommer det någon svensk lagstiftning som kompletterar AI-förordningen?

    AI-förordningen kommer att kompletteras med bestämmelser i svensk rätt, bland annat om vilka myndigheter som ska vara behöriga myndigheter i förordningens mening och hur kravet enligt förordningen om nationella sandlådor ska uppfyllas.

    En utredning är tillsatt av regeringen för att ge förslag om bland annat dessa frågor och SKR är representerade i den genom en expert från juridiska avdelningen.

    SKR kommer även i övrigt att följa det nationella genomförandearbetet och bevaka medlemmarnas intressen.

    Utredning: Trygg och tillförlitlig användning av AI, Regeringen (PDF)

  • Hur fungerar det med sanktionsavgifter om kraven i förordningen inte uppfylls?

    Medlemsstaterna har ansvaret att fastställa sanktioner och efterlevnadsåtgärder för överträdelser av förordningens bestämmelser, vilket inkluderar både monetära och icke-monetära åtgärder. Dessa sanktioner och åtgärder ska vara i linje med de riktlinjer som kommissionen utfärdat.

    Enligt förordningen ska varje medlemsstat även bestämma i vilken utsträckning administrativa sanktionsavgifter kan påföras offentliga myndigheter och organ.

    SKR har uttryckt en ambition att arbeta för att sanktionsavgifterna för kommuner och regioner ska hållas på rimliga nivåer för att inte hindra införandet av AI-system.

  • Hur hänger GDPR och AI-förordningen ihop?

    Dataskyddsförordningen (GDPR) och AI-förordningen representerar två viktiga regelverk inom EU som styr användningen av personuppgifter och artificiell intelligens. GDPR, som trädde i kraft 2018, bygger på tidigare dataskyddslagar och syftar till att skydda individens personuppgifter och garantera rätten till privatliv. AI-förordningen, å andra sidan, är en nyare utveckling som syftar till att reglera AI-system för att säkerställa deras säkra och etiska användning.

    Trots att AI-förordningen är utformad för att komplettera GDPR, introducerar den egna krav som direkt påverkar producenter och användare av AI. Detta inkluderar bestämmelser om riskbedömning, transparens och ansvarsskyldighet. En viktig aspekt är att även om en AI-tillämpning inte är förbjuden enligt förordningen, måste eventuell behandling av personuppgifter i ett AI-system fortfarande följa GDPR:s regler. Detta innebär att behandlingen måste ha en laglig grund, följa principerna i artikel 5 och, vid behandling av känsliga uppgifter, uppfylla kraven i artikel 9.2.

    För att navigera i dessa regelverk är det avgörande att förstå de olika rollerna som definieras. Inom AI-förordningen identifieras aktörer som leverantörer, auktoriserade representanter, importörer, distributörer och användare, medan GDPR definierar roller som personuppgiftsansvarig och personuppgiftsbiträde. Dessa roller har olika ansvar och skyldigheter när det gäller behandling av personuppgifter och användning av AI-system.

    Det är också viktigt att notera att personuppgiftsansvariga har ett särskilt ansvar för att säkerställa att personuppgifter behandlas säkert och att de inte överförs otillbörligt till länder utanför EU och EES. Dessutom kan en konsekvensbedömning enligt artikel 35 i GDPR krävas om behandlingen innebär en hög risk för de registrerades rättigheter och friheter.

    Sammanfattningsvis är det tydligt att GDPR och AI-förordningen har olika men överlappande syften. GDPR fokuserar på skydd av personuppgifter, medan AI-förordningen tar ett bredare grepp om AI-systemens säkerhet och etik.

    För att uppnå efterlevnad och främja ansvarsfull användning av AI är det viktigt att förstå och respektera båda regelverken.

  • Hur vet kommuner eller regioner om de är spridare (deployer) eller leverantör (provider)?

    I AI-förordningens kontext kan SKR:s medlemmar agera både som spridare och leverantörer av AI-system, beroende på situationen.

    Kommuner och regioner kommer troligen att vara huvudsakliga spridare av AI när marknaden mognar, medan de som utvecklar egna AI-system och modeller kommer att betraktas som leverantörer.

    • Spridare definieras som de som använder AI-system under eget överinseende, förutom i personliga icke-yrkesmässiga sammanhang.
    • Leverantörer är de som utvecklar AI-system eller modeller för allmänna ändamål och introducerar dem på marknaden eller använder dem under eget namn eller varumärke, vare sig det är mot betalning eller gratis.

    Denna distinktion är viktig för att förstå ansvarsfördelningen och regleringen av AI inom olika sektorer.

  • Vad innebär en riskbaserad approach, vilka är kraven per risknivå och lågrisk-AI?

    Med riskbaserad approach avses att nivån på reglering av specifika AI-system beror på den risk som de anses utgöra.

    Det finns fyra olika nivåer av risk. För de tillåtna AI-användningarna är det mycket stor skillnad mellan regulatoriska krav. För högrisk-AI är kraven mycket höga medan de är mer begränsade för AI med begränsad och minimal risk.

    Det är därför viktigt att försöka identifiera sådan AI-användning som kan komma att klassas som högrisk-AI enligt artikel 6 i AI-förordningen och de bilagor som hänvisas till där.

    Oacceptabel risk

    AI-system som hamnar i denna kategori utgör ett direkt hot mot individer och är förbjudna.

    Hög risk

    AI-system som negativt påverkar säkerhet eller grundläggande rättigheter faller in i denna kategori. De är vidare uppdelade i två underkategorier:

    • Kategori 1:
      • AI-system som används i produkter som omfattas av EU:s produktlagstiftning för säkerhet (t.ex. leksaker, flyg, bilar, medicintekniska produkter och hissar).
    • Kategori 2:
      • Andra högrisk-AI-system som kräver strikt reglering.

    Begränsad risk

    AI-system med begränsad risk kan behöva specifika transparensåtaganden för att informera användare om att de interagerar med ett AI-system.

    Minimal risk

    De flesta AI-system faller in i denna kategori och är föremål för minimala eller inga lagkrav. Dock kan tillämpningen av AI inom kommuners och regioners verksamhet ofta komma att klassas som högrisk-AI.

  • Vilken är regeringens roll i arbetet framåt?

    Regeringens roll i utvecklingen av regelverk för artificiell intelligens (AI) är avgörande och den har tillsatt en utredning för att ta fram ett kompletterande regelverk till AI-förordningen som är anpassat till nationella behov och förhållanden.

    Utredningen ska bland annat analysera och lämna förslag på vad som behövs för att uppfylla kravet på sanktioner vid överträdelser av förordningen.

    Denna process är viktig för att skapa en balans mellan innovation och användning av AI, samtidigt som man behöver skydda medborgarnas rättigheter och säkerställa teknikens etiska användning.

Läs vidare

AI Act, förslag till förordning, EU (PDF)

Informationsansvarig

  • Christopher Petersson
    Handläggare

Kontakta oss

Kontaktformulär SKR








Verifiering * (obligatorisk)
Vi kontrollerar att du är en människa och inte en robot.

SKR använder ett ärendehanteringssystem för effektiva processer för dig som behöver rådgivning och service.

Vill du inte lämna dina personuppgifter går det bra att ringa oss i stället på telefon

08 452 70 00.

Det går också bra att kontakta oss om du vill att dina personuppgifter gallras i systemet.

https://skr.se/dataskydd

Så hanteras ditt ärende

Mer om oss

Sveriges Kommuner och Regioner

SKR är en medlems- och arbetsgivarorganisation för landets alla kommuner och regioner. Vi är en politiskt styrd organisation och vår styrelse består av förtroendevalda från kommuner och regioner.

Kontakta SKR

Adress och övrig kontaktinformation

08-452 70 00

info@skr.se

  • Evenemang

    Hitta och anmäl dig till SKR:s kurser, konferenser och andra evenemang.

  • Rapporter och skrifter

    Ladda ner, läs eller beställ SKR:s olika publikationer.

  • Cirkulär

    Här hittar du SKR:s cirkulär – exempelvis rekommendationer, tolkningar av nya lagar och information om avtal.

  • Handlingar och beslut

    Hitta handlingar och beslut från SKR.

  • Press

    Hitta nyheter, pressmeddelanden och debattartiklar i SKR:s pressrum.

  • Statistik

    Länkar till SKR:s statistik, analysrapporter, öppna jämförelser och ren data indelad efter ämnen.

  • Lärande exempel

    Ta del av hur kommuner och regioner har förbättrat sina verksamheter.

  • Bloggar

    Läs personliga betraktelser om aktuella ämnen.

Om SKR

Kommuner och regioner

Hjälp

Till toppen av sidan