Nyhet
7 min lesing

EU AI Act: Alt du trenger å vite som norsk bruker og bedrift

EU AI Act er vedtatt og trer gradvis i kraft. Vi forklarer hva loven betyr for deg som privatperson og bedrift.

A
AIvett redaksjon

EU AI Act: Alt du trenger å vite som norsk bruker og bedrift

EU AI Act er den første omfattende loven som regulerer kunstig intelligens i verden. Den ble vedtatt i 2024 og trer gradvis i kraft frem mot august 2026. For norske brukere og bedrifter gjelder loven gjennom EØS-avtalen — og konsekvensene er mer praktiske enn mange tror.

Lovens grunnleggende logikk: Risikobasert regulering

EU AI Act regulerer ikke AI-teknologi som sådan, men AI-systemer basert på den risikoen de utgjør. Høyere risiko betyr strengere krav. Det er en pragmatisk tilnærming som prøver å unngå å hindre nyttig innovasjon mens den beskytter mot skadelig bruk.

Loven deler AI-systemer inn i fire risikonivåer:

Uakseptabel risiko — forbudt

Disse systemene er fullstendig forbudt fra august 2024:

  • Sosial skoring av borgere av offentlige myndigheter (det kinesiske "social credit system"-konseptet)
  • Manipulasjon av sårbare grupper — AI som utnytter sårbarhet for å påvirke atferd
  • Sanntids biometrisk overvåking på offentlige steder av politiet (med svært begrensede unntak)
  • Emosjonskartlegging på arbeidsplassen og i utdanningsinstitusjoner
  • Kategorisering av folk basert på sensitivt biometrisk data (rase, politiske meninger, religion, seksuell orientering)

Høy risiko — strenge krav

Disse systemene er tillatt, men underlagt detaljerte krav om dokumentasjon, testing og tilsyn:

Kritisk infrastruktur: AI som styrer vann-, gass-, strøm- eller trafikksystemer.

Utdanning: AI som avgjør tilgang til utdanning eller evaluerer elever/studenter.

Arbeidsmarkedet: AI som brukes i rekrutteringsprosesser, CV-screening, lønnsavgjørelser eller overvåking av ansattes ytelse.

Viktige privatrettslige tjenester: AI i kredittscoring, forsikringsprising, boligvurdering.

Rettshåndhevelse: AI til kriminalitetsanalyse, risikovurdering av mistenkte, bevisanalyse.

Grensekontroll: AI til risikovurdering av reisende.

Rettssystemet: AI til juridiske avgjørelser.

Helse: Medisinsk diagnosehjelpemidler, robotkirurgi.

Begrenset risiko — transparenskrav

  • Chatboter må merkes tydelig som AI, slik at brukere vet de ikke snakker med et menneske.
  • Deepfakes (syntetisk video/lyd) må merkes som AI-generert.
  • AI-generert innhold i reklamekontekst skal merkes.

Minimal risiko — ingen krav

De aller fleste AI-applikasjonene du bruker til daglig faller her: Netflix-anbefalinger, spam-filtre, søkemotorer, grammatikksjekk. Ingen spesifikke krav utover det som allerede gjelder av annen lovgivning.

Generell-formål AI (GPAI)

ChatGPT, Claude og Gemini faller inn under den nye GPAI-kategorien. Leverandører av slike modeller må:

  • Publisere teknisk dokumentasjon
  • Overholde EU-opphavsrettslovgivning (spesielt for treningsdata)
  • De mest kraftfulle modellene (over 10²⁵ FLOP i trening) har ekstra krav om risikovurdering

Hva norske bedrifter faktisk må gjøre

Kartlegg AI-systemene dine

Det første steget er å identifisere alle AI-systemer din bedrift bruker eller planlegger å ta i bruk. Mange bedrifter er ikke klar over omfanget — AI finnes i CRM-systemer, rekrutteringsverktøy, betalingsløsninger og kundeservice-plattformer.

Klassifiser etter risikonivå

For hvert system: Faller det i høy-risiko-kategorien? De vanligste høy-risiko-scenariene for norske bedrifter er AI i rekruttering (CV-screening, intervju-analyse) og AI i kreditt- eller forsikringsvurdering.

Krav ved høy-risiko bruk

Hvis du bruker høy-risiko AI må du:

  • Gjennomføre en risikovurdering og dokumentere den
  • Sikre at systemet er transparent og kan forklares
  • Implementere menneskelig tilsyn — AI skal ikke alene ta beslutninger
  • Ha en klagemulighet for de som påvirkes
  • Registrere systemet i EUs AI-database (for leverandører)

Transparens ved chatboter

Hvis du tilbyr en chatbot til kunder som er drevet av AI, skal det tydelig fremgå at det er AI. Dette er allerede god praksis, men nå er det et lovkrav.

Tidsplan for ikrafttredelse

| Dato | Hva trer i kraft | |------|-----------------| | August 2024 | Forbud mot uakseptabel-risiko AI | | August 2025 | Krav til GPAI-leverandører | | August 2026 | Alle øvrige krav, inkludert høy-risiko-kravene |

Konsekvenser ved brudd

Bøtenivåene er høye:

  • Brudd på forbudte AI-systemer: Opptil 35 millioner euro eller 7 % av global omsetning
  • Brudd på øvrige plikter: Opptil 15 millioner euro eller 3 % av global omsetning
  • Feil/ufullstendig informasjon til tilsynsmyndigheter: Opptil 7,5 millioner euro

Datatilsynet i Norge er utpekt som kompetent myndighet for tilsyn.

Praktiske råd for å komme i gang

  1. Lag en AI-inventarliste — hva brukes, til hva, av hvem
  2. Identifiser ansvarlig person for AI-compliance i organisasjonen
  3. Følg Datatilsynets veiledning — de publiserer løpende oppdateringer
  4. Involver HR og juridisk tidlig — de er involvert i mange høy-risiko-scenarier
  5. Dokumenter fra starten — ettertidig dokumentasjon er krevende
← Tilbake til nyheter