Verksamheter som utvecklar, upphandlar eller använder AI-system möter ett växande antal juridiska krav. AI-förordningen (AI Act) ställer krav på klassificering, dokumentation, riskhantering och marknadskontroll som behöver hanteras redan i tidiga skeden, vid val av systemarkitektur, utformning av avtal samt etablering av styrning och internkontroll.
Frågorna uppstår på flera nivåer samtidigt: i relationen till leverantörer och kunder, gentemot tillsynsmyndigheter och internt i fråga om ansvar och ansvarsfördelning. Hanteras de sent kan konsekvenserna bli kännbara, både regulatoriskt och kommersiellt.
TechLaw erbjuder juridisk rådgivning inom AI och reglerad användning av avancerade system. Vi bistår med tolkning och tillämpning av AI-regelverk, avtalsfrågor, ansvarsfördelning samt regelefterlevnad vid utveckling och drift av AI-lösningar.
TechLaw leds av Sebastian Berg, jurist med bakgrund som beräkningsfysiker. Det innebär att juridiska frågor kopplade till AI-system kan analyseras med förståelse för både regelverk och de tekniska modellerna bakom systemen.
Behöver ni hjälp med AI?
Vår rådgivning
Vi bistår i juridiska frågor som uppstår vid utveckling, användning och implementering av AI-system, bland annat i frågor som rör:
- Tolkning och tillämpning av AI-förordningen
- Bedömning av algoritmer och automatiserade beslutsprocesser
- Ansvarsfrågor, riskbedömningar och krav på transparens
- Avtal kopplade till AI, datadelning och licensiering
- Immateriella rättigheter kopplande till AI-modeller och output
- Interna riktlinjer och efterlevnad (compliance) vid användning av AI
Hur vi bistår
Vi arbetar med löpande juridisk rådgivning, projektstöd och interimslösningar anpassade till hur AI används i verksamheten. Det kan handla om rådgivning vid utveckling och införande av AI-lösningar, stöd vid implementation och utrullning, juridisk och teknisk genomlysning av AI-system samt uppdrag i rollen som AI Officer.
Många uppdrag berör flera rättsområden samtidigt. AI-frågor uppstår ofta i gränslandet mot dataskydd & integritet, IT & teknik och data & datadelning. Vi erbjuder även kurser och webbinarier inom AI-förordningen och regelefterlevnad.
Vanliga frågor om AI-förordningen
Gäller AI-förordningen för oss om vi bara använder AI-system som vi köpt från en leverantör?
Ja, i varierande utsträckning. AI-förordningen riktar sig inte enbart till utvecklare och leverantörer av AI-system utan även till dem som använder systemen – det vill säga organisationer som tar ett AI-system i bruk inom sin verksamhet (kallas för tillhandahållare i AI-förordningen). En tillhandahållare har skyldigheter som bland annat omfattar riskhantering, användning enligt bruksanvisningen, och, i vissa fall, en konsekvensbedömning avseende grundläggande rättigheter. Omfattningen av skyldigheterna beror på vilket riskklass systemet tillhör.
Hur avgörs om ett AI-system är ett högrisksystem enligt AI-förordningen?
AI-förordningen klassificerar AI-system i riskklasser baserat på användningsområde, kontext och tekniken systemet baseras på. Högrisksystem är de som används inom specificerade sektorer och tillämpningar – exempelvis inom kritisk infrastruktur, utbildning, anställningsbeslut, kreditbedömning, brottsbekämpning och medicinsk utrustning. Klassificeringen avgörs av en juridisk analys av systemets faktiska användning och egenskaper i förhållande till AI-förordningens regler. Det är inte ovanligt att samma tekniska lösning klassificeras olika beroende på i vilket sammanhang den används.
Vad innebär AI-förordningen för ett bolag som utvecklar AI-system för försäljning inom EU?
Leverantörer av AI-system som placeras på unionsmarknaden – oavsett om bolaget är etablerat inom eller utanför EU – omfattas av AI-förordningen. För högrisksystem innebär det bland annat krav på teknisk dokumentation, bedömning av överensstämmelse, registrering i EU-databas, CE-märkning och implementering av ett system för kvalitetsstyrning. Kraven behöver hanteras redan under systemets utvecklingsfas.
Hur förhåller sig AI-förordningen till GDPR vid behandling av personuppgifter i AI-system?
AI-förordningen och GDPR är parallella regelverk som båda kan vara tillämpliga när ett AI-system behandlar personuppgifter. AI-förordningen kompletterar GDPR på vissa områden. GDPR styr exempelvis om och hur personuppgifter får behandlas med hjälp av ett AI-system med hög risk, samtidigt som AI-förordningen ställer långtgående krav på systemets utformning, riskhantering och transparens. I praktiken innebär det att användningen av ett AI-system kan kräva två separata konsekvensbedömningar – en enligt GDPR och en utifrån AI-förordningen.
Vad är en AI Officer och när krävs en sådan?
AI-förordningen ställer krav på att leverantörer och tillhandahållare av AI-system med hög risk har intern kompetens och processer för att säkerställa regelefterlevnad. I praktiken har många organisationer valt att samla detta ansvar i en dedikerad funktion som i branschen ofta kallas AI Officer. Rollen är relevant såväl för offentliga som privata aktörer med väsentlig AI-användning och innefattar typiskt klassificering av system, dokumentation och kontakt med tillsynsmyndigheter. TechLaw kan bistå i rollen som extern AI Officer.
Vad gäller för generativ AI och stora AI-modeller (GPAI)?
AI-förordningen innehåller särskilda regler för så kallade AI-modeller för allmänna ändamål (general-purpose AI models) som kan användas för ett brett spektrum av uppgifter, som till exempel stora foundation models. Leverantörer av sådana modeller har specifika skyldigheter avseende transparens och teknisk dokumentation. För modeller som anses medföra systemrisk tillkommer ytterligare krav. Frågan om ett systems komponenter utgör en AI-modell för allmänna ändamål kräver en separat juridisk bedömning.
Relevanta regelverk
Rådgivningen berör ett flertal regelverk beroende på verksamhet – däribland AI-förordningen, GDPR, produktansvarsdirektivet samt regler om immateriella rättigheter och databasskydd. Vi bistår er i att identifiera tillämpliga regelverk och omsätta kraven till praktiskt genomförbara åtgärder.
Tillämpas ofta inom
Rådgivningen tillämpas ofta inom tech- och plattformsbolag, finansiella tjänster & FinTech, Life Science & MedTech och offentlig verksamhet.