– i detta nummer i samarbete med Aron Klingberg, senior expert inom Privacy.
I Advisenses artikel i detta nummer diskuterar vi de mest aktuella frågorna inom compliance för 2025. Vi ser att AI-förordningen som trädde i kraft i augusti i år är ett område som är i fokus för samhället i stort men också för compliancefunktioner inför 2025. Därför tänkte vi nu försöka besvara frågan hur compliancefunktioner kan förbereda sig för och hantera AI-förordningen?
Aron Klingberg
Inledningsvis kan vi, något förenklat, konstatera att AI-förordningen, även känd som AI Act, är en produktsäkerhetslag som tar sikte på att säkerställa att de AI-system som utvecklas och lanseras på marknaden är säkra, med tonvikt på så kallade högrisksystem. För institut är som regel ett högrisksystem ett AI-system som påverkar det som lagstiftaren benämner för konsumenters tillgång till och åtnjutande av ”väsentliga privata tjänster” som t.ex. kreditvärdighet och kreditbetyg samt liv- och hälsoförsäkringsprodukter. Även vissa rekryteringsverktyg är högrisksystem.
Det finns många möjligheter med AI generellt, men längs med vägen finns också flera utmaningar. En första utmaning är att sålla i all den information kopplat till AI som vi överöses med. En annan utmaning är att AI-förordningen spänner över flera områden och stipulerar olika typer av risker vilket kräver många olika kompetenser för att förstå. Utöver ovan, är ofta en utmaning för compliancefunktioner den tekniska kompetensen och förmågan att förstå AI-systemen samt den relaterade compliancerisken.
Oavsett dessa utmaningar innebär det en stor risk för många institut att inte följa med på ”AI-tåget” eftersom de då riskerar att deras konkurrenter använder och drar nytta av AI som resulterar i konkurrensfördelar.
Så hur ska då compliancefunktioner angripa AI-förordningen i sitt arbete, utöver att säkerställa fortbildning och kompetenshöjande åtgärder inom AI-området och AI-förordningen?
Eftersom AI-förordningen är en produktsäkerhetslag gäller all annan rörelselagstiftning parallellt med AI-förordningen, t.ex. regler avseende kundskydd. Därtill kommer följande kategorier av lagar att i många fall träffa institutens användning av AI:
- Skyddslagstiftning för fysiska personers fri- och rättigheter som t.ex. GDPR och diskrimineringslagen
- Cybersäkerhetslagstiftning som t.ex. DORA
- Upphovsrättslagen och annan lag som skyddar data och databaser som omfattas av immaterialrättsligt skydd
Vårt medskick är således att inte skapa ett ”AI-stuprör” utan att se till helheten och syftet med institutets AI-användning för att säkerställa regelefterlevnad i samtliga delar (och inte enbart i förhållande till AI-förordningen).
Innan AI-förordningen trädde i kraft har det saknats en legaldefinition av vad som är ”AI-system”. Sanningen är att det funnits ett flera olika av olika definitioner och förklaringsmodeller vilket inte alltid hjälpt. Det kan således vara så att institut valt att kategorisera ett system som ett AI-system som enligt legaldefinitionen faktiskt inte är ett AI-system och vice versa. Vi kan redan nu se att system som sålts in som ”AI-system” omklassificeras som kvalificerade modeller eller ”AI-liknande system”.
Ett viktigt arbete för instituten är således att kartlägga och dokumentera vilka system som faller inom legaldefinitionen. Det är inte alltid helt enkelt då AI-förordningen är en tekniskt komplex förordning.
När ett institut landat i vad som utgör ett AI-system blir nästa fråga om respektive AI-systems risknivå. För AI-system med den lägsta risknivån tillkommer inga krav genom AI-förordningen. Däremot är AI-system förknippade med en oacceptabel risknivå förbjudna från den 2 februari 2025. De system som förbjuds är t.ex. AI-system för social scoring och social manipulation. Denna del av förordningen är med andra ord föga kontroversiell.
Bortsett från dessa förbjudna AI-system så ska övriga delar av förordningen börja tillämpas från och med augusti 2026 (med vissa undantag för säkerhetskomponenter i vissa produkter, t.ex. flygplan). Även om det inte uttryckligen framgår av förordningen så bör instituten till dess ha en förteckning på plats över samtliga AI-system som är i drift inom bolaget och ansvarsrollen för respektive system.
För att få allt detta på plats är vår rekommendation att inrätta en AI-arbetsgrupp med kompetenser från olika delar av verksamheten för att ta fram en AI-strategi med syfte att driva arbetet framåt. I denna arbetsgrupp har compliancefunktionen en självskriven roll.
Vidare ser vi att compliancefunktionen kan ha nytta av AI i sitt compliancearbete. Vi ser att AI har stor potential när det gäller att hantera stora informationsmängder och därför kan lämpa sig väl för strukturering och sammanfattning, t.ex. för regelverksbevakning.
Sammanfattningsvis kan vi konstatera att AI-förordningen kommer med många möjligheter men också med stort ansvar.
