Nyhed

Risikokategorisering og millionbøder: Bliv klar til EU’s AI Act

Af:
Caroline Jervin Rosenlund
AI EU act
Den kommende AI Act fra EU vil få stor betydning for virksomheder i Danmark, der udvikler eller anvender kunstig intelligens (AI). Få et overblik over, hvad virksomheder skal være opmærksomme på for at sikre compliance, og hvordan revisoren kan spille en central rolle i implementeringen af AI Act.
Indhold

EU’s AI Act blev vedtaget i EU i august 2024 og indfører en række krav til virksomheder, der udvikler eller anvender AI-systemer. Loven klassificerer AI-løsninger i fire risikokategorier: minimal risiko, begrænset risiko, højrisiko og forbudte applikationer. Af særlig interesse for danske virksomheder er de højrisiko-applikationer, som vil være underlagt strenge krav til datastyring, teknisk dokumentation og sikkerhed.

 

Krav og sanktioner: Hvordan påvirker det danske virksomheder?

Virksomheder, der anvender højrisiko AI-løsninger, som eksempelvis anvendes i sundhedsvæsenet, finanssektoren eller til rekruttering, skal sikre, at deres systemer lever op til kravene i AI Act. Det betyder bl.a., at systemer skal kunne dokumentere deres nøjagtighed, robusthed og gennemsigtighed, samt at de ikke diskriminerer eller udgør en risiko for brugerne. Manglende overholdelse af disse krav kan resultere i bøder på op til 7 % af den globale omsætning eller 35 millioner euro, alt efter hvad der er størst.

 

Risikokategorisering er en central komponent i AI Act

Den risikobaserede tilgang i AI Act betyder, at virksomheder skal identificere, hvilken risikokategori deres AI-løsninger falder under. AI-løsninger klassificeret som højrisiko vil blive underlagt de skrappeste krav, herunder krav om menneskelig overvågning, datastyring og en omfattende teknisk dokumentation.

For virksomheder, der udvikler eller anvender AI-teknologier, er det afgørende at gennemføre en grundig risikovurdering tidligt i processen. Dette kan kræve tværfaglig ekspertise fra både tekniske, juridiske og revisionsfaglige specialister for at sikre, at løsningerne lever op til de komplekse krav.

 

Revisoren får aktiv rolle i implementeringen af AI Act

Revisorer spiller en vigtig rolle i at sikre virksomhedernes compliance med AI Act. Revisoren kan hjælpe virksomheder med at foretage en omfattende risikovurdering af deres AI-løsninger, kontrollere dokumentationen og rådgive om risikostyring. For højrisiko-systemer kan revisoren bistå med at validere algoritmer, sikre overholdelse af kravene om gennemsigtighed og fairness samt hjælpe med at dokumentere, at AI-systemerne fungerer i overensstemmelse med lovgivningen.

Desuden kan revisorer udarbejde ISAE 3000-erklæringer for AI-løsninger, hvilket kan fungere som et kvalitetsstempel, der viser, at systemet overholder AI Act’s krav. En sådan erklæring kan være særlig vigtig for virksomheder i sektorer som finans, sundhed og transport, hvor der er strenge lovkrav og stor offentlig opmærksomhed.

 

Tag handling nu for at sikre compliance

Med AI Act’s fulde implementering på vej er det vigtigt, at virksomheder i Danmark allerede nu påbegynder arbejdet med at sikre compliance. Risikokategorisering, datastyring og teknisk dokumentation er nøgleelementer, som skal være på plads for at undgå alvorlige sanktioner. Revisoren kommer her til at spille en central rolle ved at rådgive om risikovurdering og dokumentationskrav samt hjælpe med at sikre, at AI-løsninger overholder de kommende regler.

 

Brug for rådgivning?

Grant Thornton står klar til at hjælpe din virksomhed med at navigere gennem AI Act’s komplekse krav, så du kan sikre dig, at dine AI-løsninger er compliant med den nye lovgivning. Vi har et erfarent IT-revision- og rådgivnings team, som kan hjælpe dig.