AI-förordningen innehåller omfattande regler för AI-system och AI-modeller samtidigt som olika regler riktas mot olika aktörer. En god förståelse av AI-förordningens roller är således avgörande för att bedöma vilka regler som gäller för ens verksamhet och i förlängningen säkerställa regelefterlevnad. Denna artikel förklarar vi begreppen leverantör och användare av AI-system enligt AI-förordningen.
Begreppet leverantör (provider) definieras i artikel 3.3 AI-förordningen. Enligt denna bestämmelse är en leverantör en fysisk eller juridisk person, en offentlig myndighet, en byrå eller ett annat organ som utvecklar ett AI-system eller en AI-modell för allmänna ändamål. Vidare klassas en sådan aktör som leverantör när den har ett AI-system eller en AI-modell för allmänna ändamål och släpper ut AI-systemet eller AI-modellen på marknaden, eller tar AI-systemet i bruk i eget namn eller under eget varumärke. Det påverkar inte huruvida utvecklingen, utsläppandet på marknaden eller ibruktagandet sker mot betalning eller kostnadsfritt.
Begreppet utsläppande på marknaden (placing on the market) definieras i artikel 3.9 AI-förordningen. Av bestämmelsen framgår att begreppet avser den första gången ett AI-system eller en AI-modell för allmänna ändamål tillhandahålls på unionsmarknaden. Begreppet ibruktagande (putting into service) definieras i artikel 3.11 AI-förordningen som leverans av ett AI-system för första användning direkt till tillhandahållaren eller för eget bruk i unionen för dess avsedda ändamål.
AI-förordningens definition av begreppet leverantör omfattar således en bred grupp aktörer. Ett första exempel på en leverantör av ett AI-system är en statlig myndighet, kommun eller region som utvecklar en chattbott (som utgör ett AI-system i AI-förordningens mening) för eget bruk utan att ta betalt för utvecklingsarbetet. Ett annat exempel på en leverantör av ett AI-system är en bank som utvecklar ett AI-system för automatiserade kreditprövningar som är avsett att användas internt. Ett tredje exempel på en leverantör av ett AI-system är ett teknikföretag som utvecklar ett AI-system för automatiserat analys av videobilder och tillhandahåller det till sina kunder som molntjänst.
AI-förordningen avgränsar leverantörens från användarens roll. Sistnämnda kallas för tillhandahållare (deployer) i den svenska översättningen av AI-förordningen. Begreppet tillhandahållare definieras i artikel 3.4 AI-förordningen som en fysisk eller juridisk person, offentlig myndighet, en byrå eller annat organ som under eget överinseende använder ett AI-system, utom när AI-systemet används inom ramen för en personlig icke-yrkesmässig verksamhet. Noteras att ”användare” hade varit en tydligare översättning av det engelska begreppet ”deployer”, särskilt då tillhandahållaren kännetecknas av att den ”använder” AI-systemet.
Av AI-förordningens definition av begreppet tillhandahållare framgår att begreppet omfattar en bred krets aktörer. Om vi går tillbaka till ovanstående exempel så klassas den statlig myndigheten, kommunen eller regionen som tillhandahållare av chattbotten. Dessa aktörer klassas således såväl som leverantörer som tillhandahållare av chattbotten som de har utvecklat för eget bruk. Ett liknande resonemang gäller för bankens AI-system för automatiserat kreditprövning. Banken klassas såväl som leverantör som tillhandahållare av AI-systemet. Teknikföretaget i det tredje exemplet är emellertid inte tillhandahållare, utan endast leverantör. I detta exempel klassas teknikföretagets kunder som tillhandahållare då de använder AI-systemet i form av en molntjänst. Ett liknande resonemang gäller om kunderna använder AI-systemet på sin egen it-infrastruktur, dvs. inte som molntjänst.
Att förstå skillnaden mellan begreppen leverantörer och tillhandahållare är av avgörande betydelse för att säkerställa efterlevnad av reglerna i AI-förordningen. Leverantörer och tillhandahållare träffas av olika skyldigheter enligt AI-förordningen. Leverantörer av AI-system med hög risk ska exempelvis implementera ett kvalitetsstyrningssystem och utarbeta en EU-försäkran om överensstämmelse (artikel 16 AI-förordningen). Däremot ska tillhandahållare till exempel genomföra en konsekvensbedömning avseende grundläggande rättigheter (artikel 27 AI-förordningen). Samtidigt kan en och samma aktör klassas som leverantör och tillhandahållare för samma AI-system, en omständighet som kan leda till förvirring.