Morten Lyhne Petersen
Mindre än två månader kvar till EU:s största AI-deadline, men de flesta företag har inte ens börjat.
Den 2 augusti träder de centrala delarna av EU:s AI-förordning i kraft, och svenska företag som använder AI i HR, kreditgivning, sjukvård eller kritisk infrastruktur står inför nya skyldigheter. Enligt branschanalyser som sammanställts av bland annat advokatbyrån Holland & Knight har omkring 78 procent av berörda organisationer ännu inte vidtagit några meningsfulla åtgärder för att uppfylla kraven.
Maxbötesnivåerna i förordningen är hårdare än under GDPR. För användning av förbjudna AI-system kan böterna nå 35 miljoner euro eller 7 procent av den globala årsomsättningen, enligt artikel 99 i förordningen. För brott mot reglerna om högrisk-system ligger taket på 15 miljoner euro eller 3 procent av omsättningen.
EU sköt upp delar av lagen i maj
EU-medlemsstaterna nådde i maj en preliminär politisk överenskommelse om att skjuta upp vissa av de mest betungande kraven. Stand-alone högrisk-system i Annex III, som omfattar biometri, kreditbedömning, anställningsbeslut och offentlig sektor, fick sin deadline flyttad 16 månader fram till den 2 december 2027. Högrisk-AI inbyggd i reglerade produkter sköts upp till den 2 augusti 2028.
Företag som hoppats slippa allt arbete blir dock besvikna. Augustideadlinen gäller fortfarande för transparenskrav, sandlådor och tillsynsmyndigheternas befogenheter. Advokatbyrån Gibson Dunn skriver i en analys att artikel 50 om transparens i stort sett ligger kvar på den ursprungliga tidsplanen, och att den 2 augusti 2026 förblir ett aktivt datum för efterlevnad.
Det innebär bland annat att företag måste vara tydliga med när användare interagerar med ett AI-system, och att syntetiskt innehåll måste märkas på ett maskinläsbart sätt där det är tekniskt möjligt.
Svenska företag i samma sits
I Sverige föreslås Integritetsskyddsmyndigheten (IMY) få en central tillsynsroll, men ansvaret kommer att delas med bland annat Post- och telestyrelsen och Finansinspektionen. Riksdagen har ännu inte beslutat om den nationella anpassningslagen.
IMY skriver på sin egen webbplats att utredningen innehåller förslag på hur AI-förordningen ska införas i Sverige och att det ännu inte finns några beslut om vilka myndigheter som ska få vilka tillsynsuppgifter, enligt myndighetens information om AI-arbetet. Den svenska kompletteringslagen är tänkt att börja gälla samtidigt som de centrala delarna av förordningen den 2 augusti.
Holland & Knight, en amerikansk advokatbyrå med europeisk regulatorisk praktik, pekar i en publikation från april på att skyldigheterna träffar långt fler än de uppenbara tech-aktörerna. Företag utanför EU omfattas också om de licensierar AI-produkter till europeiska kunder eller behandlar personuppgifter om EU-medborgare via AI.
Inventering är första steget
Det första konkreta steget för företag är att kartlägga vilka AI-system de faktiskt använder – både egenutvecklade verktyg och AI-komponenter som ingår i tredjepartstjänster för rekrytering, kundtjänst och dokumenthantering. Även sådan inbäddad användning kan utlösa skyldigheter enligt förordningen.
Med 54 dagar kvar till augustideadlinen är tiden för en grundlig analys redan knapp för många. Företag som inte har påbörjat arbetet bör enligt de juridiska analyserna prioritera transparenskraven i artikel 50, eftersom det är just dessa som faller ut 2 augusti.
