AI-förordningen (AIF) introducerar ett krav på en ny typ av konsekvensbedömning, en så kallad konsekvensbedömning avseende grundläggande rättigheter (fundamental rights impact assessment, FIA). Denna artikel förklarar vad en konsekvensbedömning avseende grundläggande rättigheter är och vad den ska innehålla.
Kravet på att göra en konsekvensbedömning avseende grundläggande rättigheter regleras i artikel 27 AIF. Enligt denna bestämmelse ska en sådan konsekvensbedömning göras innan ett AI-system med hög risk börjar användas. Undantag från detta krav finns, men de är begränsade. Konsekvensbedömningen ska göras av den som planerar att använda systemet, dvs. användaren som kallas för ”tillhandahållare” i den svenska översättningen av AIF (”deployer” på engelska). Syftet med konsekvensbedömningen är att bedöma inverkan på de grundläggande rättigheterna som användningen av AI-systemet kan ge upphov till.
I artikel 27 AIF ställs uttryckliga krav på konsekvensbedömningens innehåll. Konsekvensbedömningen ska innehålla en beskrivning av användarens processer i vilka AI-systemet kommer att användas i linje med dess avsedda ändamål. Vidare ska det innehålla en beskrivning av den tidsperiod inom vilken och den frekvens med vilken varje AI-systemet är avsett att användas. Därutöver krävs en beskrivning av de kategorier av fysiska personer och grupper som sannolikt kommer att påverkas av användningen av AI-systemet i det specifika sammanhanget.
Därutöver ska konsekvensbedömningen även innehålla en beskrivning och analys av de specifika risker för skada som sannolikt kommer att påverka de kategorier av personer eller grupper av personer som sannolikt kommer att påverkas av användningen av AI-systemet i det specifika sammanhanget. Vid genomförandet av riskanalysen ska användaren beakta information som leverantören har tillhandahållit användaren. Även de åtgärder som ska vidtas när dessa risker förverkligas, inbegripet arrangemangen för intern styrning och klagomålsmekanismer ska redovisas. Denna redovisning ska särskilt innehålla en beskrivning av genomförandet av åtgärder för mänsklig kontroll av AI-systemet, i enlighet med bruksanvisningen.
Enligt artikel 27 AIF gäller skyldigheten att göra en konsekvensbedömning avseende grundläggande rättigheter för den första användningen av AI-systemet med hög risk. Användaren får i liknande fall förlita sig på tidigare genomförda konsekvensbedömningar avseende grundläggande rättigheter eller befintliga konsekvensbedömningar som har utförts av leverantören. När information som redovisas i konsekvensbedömningen har ändrats eller inte längre är aktuellt ska användaren emellertid vidta nödvändiga åtgärder för att uppdatera informationen. När konsekvensbedömningen har utförts ska användaren underrätta marknadskontrollmyndigheten om sina resultat enligt regler som redovisas i AI-förordningen.
En konsekvensbedömning avseende grundläggande rättigheter enligt AI-förordningen är inte samma sak som en konsekvensbedömning avseende dataskydd (data protection impact assessment, DPIA) enligt dataskyddsförordningen (GDPR). I praktiken innebär detta att användare av AI-system med hög risk i förekommande fall måste genomföra två konsekvensbedömningar enligt två olika regelverk.