EU går forrest med AI-forordningen, og det er en god ting

Af Nicholas H. Karlsen og Sofie Bøttiger Conlan, NNIT Cybersecurity and Compliance

AI-teknologi kommer med stort potentiale, men også betydelig risiko. Nogle siger, at mulighederne er uendelige; AI er revolutionerende i vores tid på samme måde som elektricitet og dampmaskinen i det 19. århundrede. Derfor bør vi omfavne regulering og ikke vente og se, hvad der sker, når risici bliver til virkelighed.

Forestil dig ikke helt at kende potentialet eller virkningerne af en ny, kraftfuld teknologi og ikke sætte grænser for dens implementering og brug! Ville du sætte dig bag rattet i en bil uden bremser og køre den i en provins uden trafikregler?

EU's AI-forordning er det første, ansvarlige forsøg på at sætte nogle grundregler for at guide den nuværende og fremtidige implementering af AI-systemer. Og den er præventiv snarere end reaktiv, hvilket er ret imponerende, når man tænker på, at 27 nationer skulle nå til enighed på kort tid. Kort sagt ser vi det som fornuftig versus hensynsløs implementering.

Harmonisering af implementeringen på tværs af EU samt at tage det ansvarlige førerskab for acceptabel brug af AI-teknologi giver meget mening, og her er hvorfor:

Klare retningslinjer for acceptabel brug

AI-forordningenen, selvom den langt fra er perfekt, sætter grænser for uacceptabel og højrisikobrug af AI. Med sine fire risikokategorier skitserer AI-forordningenen, hvad der udgør uacceptabel og højrisikoadfærd.

På den måde giver AI-forordningenen et kort til at navigere mellem rigtigt og forkert, når man træder ind i AI-territoriet, og tager stilling til de mere ondsindede potentielle anvendelser af AI til at krænke menneskerettigheder, herunder fysisk og følelsesmæssig overvågning og manipulation. Enhver sådan brug er stærkt reguleret og kommer med et helt sæt krav til detaljeret og dokumenteret risikoreduktion, datavalidering, aktivitetslogning, informationsprocedurer, menneskelige kontroller osv.

Og dette giver virksomheder og organisationer mulighed for at identificere acceptable kategorier og designe deres systemer til at holde sig inden for grænserne for acceptabel brug.

Beskyttelse af veletablerede menneskelige og juridiske rettigheder

På mange måder tager AI-forordningenen sit udgangspunkt i anden EU-lovgivning som menneskerettighedskonventionerne og GDPR. På den måde er AI-forordningenen hverken radikal eller overraskende – den pålægger et sæt regler, der i høj grad allerede var på plads i den fysiske verden.

Den europæiske enighed om og beskyttelse af menneskerettigheder, databeskyttelse, ikke-diskriminerende miljøer og ytringsfrihed strækker sig logisk til brugen af AI-systemer med AI-forordningenen.

Compliance sikrer ansvarlig brug 

Mens nogle måske ser AI-forordningenen som mere bureaukrati og som hæmmende for AI-innovation, ser vi det som en forsigtig tilgang til implementering af ny teknologi – et eksempel at følge for andre territorier, der endnu ikke har indført regulering.

Sammenlignet med etablerede konventioner og normer på tværs af EU ser vi ikke risikokategorierne som kontroversielle eller restriktive. Ja, AI-forordningenen kræver, at virksomheder og organisationer er opmærksomme og tager de nødvendige skridt for at sikre overholdelse, men overholdelse sikrer også ansvarlige valg. Ubegrænset brug af AI bør ikke være normen.

AI Management Systems baseret på ISO/IEC 42001 er en god start

Vi anerkender, at især små og mellemstore virksomheder kan finde det svært at komme i gang med at implementere troværdig AI, selv med AI-forordningenen i hånden. Ligesom enhver lovtekst kræver det meget øvelse at læse og implementere reglerne på den rigtige måde. Samtidig føler vi os sikre på, at dette aspekt kun vil blive bedre med erfaring, og efterhånden som opdateringer foretages i de kommende år.  

Et godt sted at starte er at overveje den nye ISO/IEC 42001-standard, som specificerer krav til etablering, implementering, vedligeholdelse og løbende forbedring af et Artificial Intelligence Management System (AIMS). En AIMS baseret på ISO/IEC 42001 sikrer ansvarlighed, forbedrer beslutningstagning om AI, sikrer kontinuerlig læring i et hurtigt udviklende felt og cementerer engagementet i design, udvikling og implementering af troværdig AI.

At forsætte uden risikostyring er ikke en mulighed

Endelig, og ud over AI-forordningenen, anbefaler vi, at du ikke opgiver al sund fornuft og menneskelig kontrol. AI-systemer kan simulere menneskelig intelligens og evnen til at drage logiske konklusioner (ekstrapolation), men i virkeligheden ved AI-systemer kun, hvad de ved eller er blevet trænet til at vide (interpolation) – og hvad de ved, kan meget vel være falsk og/eller forudindtaget.

Vi vil efterlade dig med et link til Tech Policy Press' artikel om AI-risikostyring centreret om sagen om Enron – og hvad der sker, når potentiale og risiko ikke er ordentligt afbalanceret, og virksomhedens værdier og intentioner ikke praktiseres og opretholdes (med hjælp fra officiel regulering): What today’s AI companies can learn from the fall of Enron. 

Vores pointe er, omfavn AI-forordningenen og ISO ISO/IEC 42001-standarden som værktøjer til at sikre ansvarlige valg og for at spare dig for at skulle udvikle et omfattende AI-risikostyringssystem selv. At fortsætte uden er ikke en ansvarlig mulighed.

Om EU’s AI-forordning:

EU's AI-forordning blev vedtaget den 13. juni 2024. Håndhævelse vil begynde fuldt ud i august 2026, på hvilket tidspunkt alle aktører skal sikre og demonstrere overholdelse. Link til AI-forordningen.