egoiq Oy

EU:n tekoälyasetus, osa 2

Ensimmäisessä osassa kävin läpi yleisiä asioita, joita kannattaa tarkastella luokitellessasi yrityksesi EU:n tekoälyasetuksen mukaisesti. Tämä artikkeli syventyy siihen, mitä tehdä, jos kuulut korkean riskin kategoriaan, ja tarjoaa käyttöönottajan kenttäoppaan suoraan toimintaasi varten.

Tämä artikkeli syventyy siihen, mitä tehdä, jos kuulut korkean riskin kategoriaan, ja tarjoaa käyttöönottajan kenttäoppaan suoraan toimintaasi varten.

Steve Jackson

Steve Jackson

Chief Data Officer

Stevellä on yli 20 vuoden kokemus dataplatformien hyödyntämisestä, ja hän on tuonut asiakkailleen satojen miljoonien säästöt tai myynnit, jotka ovat suoraan hänen työnsä ansiota. Viimeiset 5 vuotta hän on rakentanut tekoälypohjaista matkailu-SaaS:ia ja koodannut fiilispohjalta läpi kaikenlaisten ohjelmistokehityksen haasteiden!

Tekoälyasetuksen toinen puoli: käyttöönottajan kenttäopas

Lähes kaksi vuotta lähes kaikki EU:n tekoälyasetuksesta kirjoitettu on koskenut mallien kehittäjiä: OpenAI, Anthropic, Mistral, Google. Lailla on heille erityinen nimi: “GPAI”-palveluntarjoajat, eli yleiskäyttöisen tekoälyn tarjoajat. Se on asetuksen äänekäs osa. Useimmille organisaatioille se on kuitenkin väärä osa luettavaksi.

Jos yrityksesi ei kouluta pohjamallejasi, eikä lähes yksikään yritys niin tee, sinulle oikeasti merkitsevät asiat löytyvät kahdesta artiklasta, 26 ja 27, sekä muutamasta tukevasta artiklasta. Nämä ovat käyttöönottajan velvollisuudet. Käyttöönottaja asetuksen kielessä on yksinkertaisesti organisaatio, joka käyttää tekoälyä ihmisiin vaikuttaviin tarkoituksiin. Käyttöönottajasäännöt alkavat laajasti soveltua 2. elokuuta 2026. Ne ovat tarkempia kuin otsikoista voisi päätellä, ja ne ovat täytäntöönpanokelpoisempia kuin useimmat yritykset ovat arvioineet.

Tämä on kenttäopas, jonka olisin toivonut olevan olemassa, kun aloin viime vuonna vastata toimintayritysten “koskeeko tämä meitä?” -kysymyksiin. Tämä ei ole oikeudellista neuvontaa, hanki oikea lakimies mukaan ennen kuin teet mitään riskialtista, mutta sen pitäisi antaa sinulle riittävä käsitys rajoista, kun astut tuohon keskusteluun.

Ensiksi: oletko käyttöönottaja?

Lain määritelmä on laaja. Jos käytät tekoälyä omalla vastuullasi mihin tahansa muuhun kuin henkilökohtaiseen arkiasioiden hoitamiseen, olet käyttöönottaja. Ostat SaaS-pohjaisen HR-tuotteen, joka pisteyttää hakijat tekoälyn avulla? Olet sen tuotteen käyttöönottaja, vaikka et ole sitä rakentanut. Annat tiimisi käyttää ChatGPT:tä asiakasviestien luonnosteluun? Käyttöönottaja.

“Henkilökohtainen käyttö” -poikkeus on kapea. Se kattaa yksityishenkilön, joka käyttää ChatGPT:tä joulukortin kirjoittamiseen, ei tiimiä, joka käyttää sitä liiketoiminnassa.

Olet soveltamisalan piirissä, jos organisaatiosi toimii EU:ssa TAI jos tekoälysi tuotos päätyy EU:hun, vaikka itse sijaitset sen ulkopuolella. Tämä toinen kohta koskee useampia kuin he ymmärtävät. Yhdysvaltalainen rekrytoija, joka seuloo EU:n hakijoita, on soveltamisalan piirissä. Brittiläinen konsulttiyritys, jonka tekoälyn tuottamia suosituksia pannaan täytäntöön Frankfurtissa, on soveltamisalan piirissä.

Kynnyskysymys ei siis ole “olemmeko käyttöönottaja?” lähes kaikki ovat. Todellinen kysymys on, minkälaista tekoälyä otat käyttöön.

Käytätkö korkean riskin järjestelmää?

Useimmat tekoälyn käyttötavat eivät ole korkean riskin luokassa. Asetus luokittelee tekoälyn korkean riskin kategoriaan vain kahdessa tilanteessa.

Tilanne yksi: Tekoäly on sisäänrakennettu säänneltyyn tuotteeseen, kuten lääkinnällisiin laitteisiin, koneisiin, hisseihin, leluihin tai ajoneuvoihin. Jos tämä koskee sinua, tiedät sen jo.

Tilanne kaksi: Tekoälyä käytetään kahdeksalla tietyllä alalla, jotka on lueteltu lain lopussa niin sanotussa liitteessä III. Liite on yksinkertaisesti erillinen luettelo, ja liite III on se, joka koskee useimpia toimintayrityksiä. Kahdeksan aluetta:

  1. Biometriikka (kasvojentunnistus, tunteiden tunnistus, biometrinen luokittelu)
  2. Kriittinen infrastruktuuri (vesi, kaasu, sähkö, liikenne, digitaalinen infrastruktuuri)
  3. Koulutus (opiskelijavalinnat, arviointi, tenttivalvonta, oppimispolun määrittäminen)
  4. Työsuhde (rekrytointi, suorituksen arviointi, tehtävien jakaminen, ylennys- tai irtisanomispäätökset)
  5. Välttämättömät julkiset ja yksityiset palvelut (etuuksien myöntäminen, luottoluokitus, henki- ja sairausvakuutuksen hinnoittelu, hätätriage)
  6. Lainvalvonta
  7. Maahanmuutto, turvapaikka-asiat ja rajavalvonta
  8. Oikeuslaitos ja vaalit

Käy lista läpi omien työnkulkujesi näkökulmasta. Tekoälyavusteinen ansioluetteloiden seulonta? Korkea riski (alue 4). Työntekijöiden seurantatyökalu, joka merkitsee suoritusongelmia? Korkea riski. Luottopäätösmalli? Korkea riski. Tekoäly, joka pisteyttää lainahakemuksia edes “ensimmäisenä seulana” ennen kuin ihminen näkee ne? Korkea riski. Vakuutuksen hinnoittelu? Korkea riski.

Asetus tarjoaa kapean poikkeuksen: liitteen III järjestelmä ei ole korkean riskin luokassa, jos se suorittaa ainoastaan kapean menettelyllisen tehtävän, ainoastaan jalostaa ihmisen jo tekemää työtä, ainoastaan merkitsee epätavallisia malleja ihmisen tarkasteltavaksi tai ainoastaan tekee valmistelevaa työtä. Järjestelmän toimittaja tekee tämän arvion ja dokumentoi sen. Käyttöönottajana perit yleensä heidän luokituksensa.

Poikkeuksessa on kaksi ansaa. Ensimmäinen: jos järjestelmä tekee minkäänlaista automatisoitua ihmisten profilointia, eli rakentaa henkilökohtaisen profiilin päätösten tekemiseksi heistä, poikkeus mitätöityy automaattisesti. Järjestelmä on korkean riskin luokassa, piste. Toinen: poikkeuksen vaatiminen ilman perusteita on itsessään rikkomus asetuksen nojalla. “Väitetään vain, ettei se ole korkean riskin luokassa” ei siis ole se strategia, joksi jotkut sen toivovat.

Jos käytät liitteen III järjestelmää eikä toimittaja ole vaatinut poikkeusta, kohtele sitä korkean riskin järjestelmänä. Se on lähtökohtasi kaikkeen alla olevaan.

Käyttöönottajan toimintaopas

Tässä on se, mitä laki todella vaatii korkean riskin tekoälyjärjestelmän käyttöönottajalta, selkeinä toiminnallisina termeinä.

Käytä järjestelmää niin kuin toimittaja ohjeistaa. Tämä kuulostaa itsestäänselvältä, mutta toimittajan antamalla käyttöohjeella on todellinen oikeudellinen painoarvo. Et voi muuttaa kapeisiin tehtäviin myytyä työkalua korkean panoksen päätöksentekovälineeksi ja teeskennellä, ettei mikään muuttunut. Lue ohjeet. Jos ne ovat puutteelliset, se on sopimusoikeudellinen vipu, jolla voit painostaa toimittajaa, ei vapaudu vankilasta kortti.

Aseta oikeat ihmiset valvomaan. Laki edellyttää, että valvontavastuu annetaan henkilöille, jotka todella ymmärtävät järjestelmän toiminnan, joilla on valtuudet ohittaa se ja joilla on asianmukainen koulutus ja aika tehtävän hoitamiseen. Rooli ei voi olla pelkkä rasti jonkun tehtävänkuvassa. Näiden henkilöiden on pystyttävä pysäyttämään järjestelmä tarvittaessa. Heidän on myös oltava valppaita automaatiovääristymän suhteen, eli ihmisen taipumukselle luottaa liiaksi siihen, mitä malli sanoo, jonka asetus nimeää nimenomaisesti riskiksi. Merkityksellisiä päätöksiä varten valvontaroolin pitäisi olla nimetyllä, dokumentoidun koulutuksen saaneella ylemmällä henkilöllä, ei sillä vuorossa olevalla nuoremmalla työntekijällä.

Kiinnitä huomiota datasi laatuun. Siellä missä hallitset järjestelmään menevää dataa, olet vastuussa siitä, että se on asianmukaista ja edustavaa. Jos syötät toimittajan ansioluetteloiden seulontamalliin viiden vuoden historiallisia rekrytointitietoja homogeeniselta tiimiltä, vinoumaongelma on nyt osittain sinun.

**Seuraa ja raportoi. **Sinun on seurattava järjestelmän käyttöä ohjeiden mukaan ja ilmoitettava toimittajalle ja asianomaiselle kansalliselle viranomaiselle nopeasti, jos epäilet sen aiheuttavan haittaa. Keskeytä käyttö näissä tapauksissa. Jos vakava tapaturma todella tapahtuu, kuten kuolema, vakava vahinko, infrastruktuurin häiriö, perusoikeuksien loukkaus tai merkittävä omaisuus- tai ympäristövahinko, olet tiukan raportointiaikataulun piirissä (lisää tästä alla).

Säilytä järjestelmän lokit vähintään kuusi kuukautta siltä osin kuin lokit ovat hallinnassasi. Monet SaaS-käyttöönotot edellyttävät toimittajan kanssa käytävää keskustelua ennen kuin tämä on edes sopimusoikeudellisesti mahdollista.

Kerro työntekijöillesi. Tämä on velvollisuus, joka useimmin jää täyttämättä. Ennen kuin otat korkean riskin tekoälyjärjestelmän käyttöön työpaikalla, sinun on tiedotettava henkilöstön edustajia ja asianomaisia työntekijöitä itse. Kansalliset työntekijöiden tiedottamista koskevat lait soveltuvat tämän päälle. Jos henkilöstöneuvostosi saa tietää uudesta tuottavuuden seurantaan tarkoitetusta tekoälystä sisäisen Slack-kuvakaappauksen kautta eikä sinulta, olet jo rikkonut lakia.

Yhdistä toimittajan tiedot olemassa olevaan GDPR-työhösi. GDPR:n nojalla laadit jo tietosuojan vaikutustenarvioinnin eli DPIA:n, kun käsittelet henkilötietoja riskialttiilla tavoilla. Tekoälytoimittajan antaman tietolomakkeen pitäisi syöttää suoraan tuohon DPIA:han. DPIA ei ole valinnainen vain siksi, että tekoälyasetus on olemassa, se tulee tämän päälle.

Julkisten elinten on rekisteröitävä järjestelmä. Jos olet julkisen sektorin käyttöönottaja eikä järjestelmä ole EU:n keskustietokannassa, et voi käyttää sitä.

Kerro tekoälyn päätöksistä heitä koskeville henkilöille. Jos järjestelmä tekee tai avustaa yksilöitä koskevia päätöksiä, sinun on ilmoitettava näille henkilöille, että heihin sovelletaan tekoälyä. Tämän voi useimmiten sisällyttää olemassa oleviin suostumus- ja tietosuojailmoituksiin, mutta sen on todella oltava siellä.

Uusi vaatimus: perusoikeuksien vaikutustenarviointi (FRIA)

FRIA on jäsennelty, kirjallinen arviointi siitä, miten tietty korkean riskin tekoälyjärjestelmä voi vaikuttaa ihmisten perusoikeuksiin: syrjimättömyyteen, ihmisarvoon, ilmaisunvapauteen ja oikeusturvaan. Se on täysin uusi vaatimus, jota ei ollut ennen tekoälyasetusta, ja se koskee tiettyä käyttöönottajien osajoukkoa.

FRIA on tehtävä ennen liitteen III korkean riskin järjestelmän käyttöönottoa, jos olet:

  • julkinen elin, tai
  • yksityinen organisaatio, joka tuottaa julkisia palveluja (esim. kansalaisille suunnattuja palveluja tarjoava alihankkija), tai
  • pankki tai muu luotonantaja, joka ottaa käyttöön luottoluokitustekoälyn, tai
  • vakuutusyhtiö, joka käyttää tekoälyä henki- tai sairausvakuutuksen hinnoitteluun.

Kriittinen infrastruktuuri on vapautettu FRIA-vaatimuksesta. Kaikki muut korkean riskin käyttöönottajien joukossa kuuluvat sen piiriin.

FRIA ei ole kiiltävä ympäristö-, yhteiskunta- ja hallintovastuu (ESG) -asiakirja, jota käytät markkinointiesitteissä tai verkkosivuilla. Se on lähempänä GDPR:n mukaista DPIA:ta.

Asetus kertoo, mitä se sisältää:

  • Kuvaus siitä, missä osassa toimintaasi järjestelmää käytetään
  • Kuinka kauan ja kuinka usein aiot käyttää sitä
  • Mitkä henkilö- ja ihmisryhmät ovat vaikutusten kohteena
  • Näille ryhmille aiheutuvat erityiset haittariskit, pohjautuen toimittajan tietolomakkeeseen
  • Ihmisen valvontajärjestelyt
  • Mitä teet, jos riskit toteutuvat, mukaan lukien hallinto- ja valitusmenettelyt

Kun arviointi on valmis, ilmoitat tuloksista kansalliselle markkinavalvontaviranomaiselle EU:n uuden tekoälytoimiston tuottamalla lomakkeella. FRIA on uusittava tai päivitettävä, jos tilanne muuttuu käyttöönoton aikana.

Jos olet jo laatinut GDPR:n mukaisen DPIA:n, joka kattaa osan tästä, FRIA täydentää sitä. Se ei korvaa sitä. DPIA jää sinulle ja tietosuojaviranomaisellesi. FRIA menee markkinavalvontaviranomaiselle. Eri yleisöt, eri asiakirjat.

Käytännön seuraus: jos olet pankki, joka ottaa käyttöön luottoluokitustekoälyn, vakuutusyhtiö, joka hinnoittelee terveysvakuutuksia, kunta, joka käyttää tekoälyä etuuksien myöntämiseen, tai alihankkija, joka tuottaa julkisia palveluja liitteen III järjestelmällä, vaatimustenmukaisuusdokumentaatiosi on juuri kasvanut, sen yleisö on muuttunut ja työ on tehtävä ennen käyttöönottoa.

Ansa, jota useimmat organisaatiot eivät huomaa: kun käyttöönottajista tulee toimittajia

Artikla 25 on se, jonka jokaisen operatiivisen tiimin ja tuotetiimin pitäisi tulostaa seinälle. Se sanoo, että lakkaat olemasta käyttöönottaja ja sinusta tulee toimittaja, kaikkine raskaampine toimittajavelvollisuuksineen, jos teet jotain seuraavista:

  • Laitat oman brändisi tai tavaramerkkisi markkinoilla jo olevaan korkean riskin tekoälyjärjestelmään
  • Muutat korkean riskin järjestelmää olennaisesti tavalla, joka pitää sen korkean riskin luokassa
  • Muutat ei-korkean riskin järjestelmää riittävästi muuttaaksesi sen korkean riskin järjestelmäksi

Ensimmäinen koskee white label -käyttöönottoja, eli jonkun muun tekoälyn myymistä omalla brändilläsi. Toinen koskee kaikkea olennaista, mitä teet toimittajan mallille: hienosäädät sitä, vaihdat oman hakukerroksen, laajennat käyttötarkoituksen dokumentoitua laajemmaksi. Kolmas koskee “yhdistimme vain tämän yleiskäyttöisen chatbotin rekrytointiputkeemme” -mallia, jota näkyy kaikkialla juuri nyt.

Jos törmäät tähän sääntöön, perit koko toimittajapinon: laadunhallintajärjestelmän, kymmenen vuoden teknisen dokumentaation, omat lokisi, riippumattoman EU:n hyväksymän kolmannen osapuolen tekemän virallisen vaatimustenmukaisuustarkastuksen, tuotteen CE-merkinnän, viralliset vaatimustenmukaisuusasiakirjat ja tietokantarekisteröinnin. Alkuperäinen toimittaja, jolta ostit, ei enää ole sinun versiosi toimittaja. Heidän on tehtävä yhteistyötä kanssasi, mutta oikeudellinen vastuu on nyt sinun.

Tämä on yksittäinen suurin syy, miksi organisaatioiden pitäisi olla varovaisia “rakenna oma tekoälyagenttisi” ja “hienosäädä toimialamalliasi” -projektien kiireessä. On todellinen riski herätä 2. elokuuta 2026 ollessasi paperilla tekoälytoimittaja, ilman mitään niistä teknisistä, hallinnollisista tai oikeudellisista rakenteista, joita toimittajilla normaalisti on.

##Toinen asia, joka kannattaa suunnitella ajoissa: oikeus selitykseen

Jos tekoälyjärjestelmäsi tekee tai myötävaikuttaa merkittävästi henkilöä koskevaan päätökseen, ja kyseisellä päätöksellä on oikeudellinen vaikutus tai merkittävä seuraus, ja henkilö katsoo sen vahingoittaneen häntä, hänellä on oikeus pyytää sinulta selkeäkielinen selvitys siitä, miten tekoälyä käytettiin ja mitkä olivat päätöksen pääasialliset tekijät.

Tämä koskee useimpia liitteen III järjestelmiä (kriittinen infrastruktuuri on poissuljettu). Se on kapeampi kuin olemassa oleva GDPR:n mukainen oikeus riitauttaa automatisoidut päätökset, mutta se täydentää tuota oikeutta sen sijaan että korvaisi sen. Ydinasia: jos käytät tekoälyä rekrytoinnissa, luotonannossa, julkisissa etuuksissa, vakuutusmerkinnässä tai missä tahansa vastaavassa, sinulla on oltava selitysprosessi valmiina. Ei “algoritmi päätti”. Selkeää kieltä siitä, mitä järjestelmä teki ja mikä merkitsi.

Rakenna tämä sisään alusta alkaen. Selitysten jälkikäteen lisääminen järjestelmään, joka on ollut käytössä vuoden, on tuskallista, ja määräaika on kiinteä.

##Vakavat tapaukset, seuraamukset ja aikataulu

Jos jokin menee vakavasti pieleen, olet tiukan aikataulun piirissä.

“Vakava tapaus”, kuten kuolema, vakava vahinko, infrastruktuurin häiriö, perusoikeuksien loukkaus tai merkittävä omaisuus- tai ympäristövahinko, on raportoitava kansalliselle markkinavalvontaviranomaiselle 15 päivän kuluessa siitä, kun sinä tai toimittaja olette todenneet syy-yhteyden. 10 päivää, jos henkilö on kuollut. 2 päivää laajasta perusoikeuksien loukkauksesta tai vakavasta peruuttamattomasta kriittisen infrastruktuurin häiriöstä. Voit jättää alustavan puutteellisen raportin ja täydentää sitä myöhemmin, mutta et voi jättää sitä myöhässä.

Useimmilla organisaatioilla, joiden kanssa olen työskennellyt, ei ole mitään tekoälyn vakavien tapausten raportointiprosessia. Jos olet korkean riskin järjestelmien käyttöönottaja, sellaisen rakentaminen tänä vuonna ei ole valinnaista.

Seuraamukset käyttöönottajavelvollisuuksien rikkomisesta voivat olla enintään **15 miljoonaa euroa tai 3 % maailmanlaajuisesta vuotuisesta liikevaihdosta, sen mukaan kumpi on suurempi. **Seuraamukset skaalautuvat rikkojan koon mukaan. Suuret yritykset, kuten mainittu, voivat kohdata jopa 15 miljoonan euron tai 3 %:n maailmanlaajuisesta liikevaihdosta olevan seuraamuksen käyttöönottajavelvollisuuksien rikkomisesta. Pk-yritykset ja startup-yritykset (alle 250 työntekijää ja alle 50 miljoonan euron liikevaihto) saavat näistä kahdesta pienemmän, eli pienen yrityksen enimmäisvastuun katto on käytännössä 3 % sen omasta liikevaihdosta. Viiden miljoonan euron liikevaihdolla toimivan startupin enimmäismäärä on 150 000 euroa, ei 15 miljoonaa euroa.

Huomiota herättävä ylin taso (35 miljoonaa euroa / 7 %) on varattu tiettyjen tekoälyn käyttöä koskevien ehdottomien kieltojen rikkomiselle, kuten reaaliaikaiselle joukkojen biometriselle valvonnalle. Alempi taso (7,5 miljoonaa euroa / 1 %) on tarkoitettu viranomaisille valehtelemiselle. Pk-yritykset ja startup-yritykset saavat katon ja prosentin pienemmän arvon, mikä on todellinen myönnytys, mutta ei pienten sakkojen järjestelmä.

**Aikataulu korkean riskin järjestelmien käyttöönottajille:

    1. helmikuuta 2025: kielletyt tekoälykäytännöt jo voimassa
  • 2.elokuuta 2025: GPAI-säännöt, hallinto ja seuraamusjärjestelmä jo voimassa
  • **2. elokuuta 2026: korkean riskin käyttöönottajavelvollisuudet soveltuvat laajasti **— tämä on sinun päivämääräsi
    1. elokuuta 2027: korkean riskin tekoäly olemassa olevien EU:n tuoteturvallisuussääntöjen piiriin kuuluvissa säännellyissä tuotteissa

Korkean riskin järjestelmät, jotka ovat jo käytössä ennen 2. elokuuta 2026, eivät tarvitse jälkiasennusta, ellei niitä muuteta merkittävästi kyseisen päivämäärän jälkeen. Heti kun niin tehdään, olet jälleen soveltamisalan piirissä. Julkisen sektorin olemassa olevilla järjestelmillä on aikaa 2. elokuuta 2030 asti. Uusille käyttöönotoille soveltamispäivän jälkeen ei ole yleistä siirtymäaikaa.

Mitä tehdä tällä kvartaalilla

Ota tästä ainakin nämä mukaasi:

1.** Kartoita tekoälyn käyttösi.** Jokainen järjestelmä, jokainen toimittaja, jokainen työnkulku. Kutakin varten: koskeeko se rekrytointia, suorituksen arviointia, luottoa, vakuutusta, koulutusta, biometriikkaa, julkisia palveluja, lainvalvontaa, maahanmuuttoa tai oikeusasioita? Jos kyllä, merkitse korkean riskin tarkastusta varten.

  1. Pyydä toimittajan luokitus kirjallisena. Jokaisen liitteen III piiriin kuuluvan järjestelmän osalta kysy toimittajalta: luokitteletko tämän korkean riskin järjestelmäksi vai vaaditteko poikkeusta? Hanki dokumentaatio. Jos he eivät osaa vastata, se on hankintasignaali.

  2. Kartoita “käyttöönottajasta tulee toimittaja” -altistumisesi. Missä hienosäädät, white label -käytät tai muutat tekoälyn käyttötarkoitusta? Jokainen niistä on ehdokas vahingolliseen toimittaja-asemaan. Priorisoi niiden tarkastelu.

  3. **Rakenna vakavien tapausten raportointiprosessi. **Kuka päättää, että vakava tapaus on tapahtunut? Kuka raportoi siitä toimittajalle ja viranomaiselle? Kuka seuraa 2/10/15 päivän aikatauluja? Rakenna se ennen kuin tarvitset sitä.

  4. Luotto-, vakuutus-, julkisten palvelujen ja julkisten elinten käyttöönottajille: aloita FRIA. Virallinen lomakepohja tulee myöhemmin, mutta sen sisällön rakenne on jo määritelty. Voit aloittaa nyt.

  5. Keskustele henkilöstösi kanssa. Jos korkean riskin tekoälyjärjestelmä otetaan käyttöön työpaikalla, työntekijöiden tiedottamisvaatimus on sitova ensimmäisestä päivästä alkaen. Rakenna keskustelu osaksi käyttöönottosuunnitelmaasi.

  6. Suunnittele selitysprosessi. Jokaisen liitteen III järjestelmän osalta, joka tekee ihmisiä koskevia päätöksiä, suunnittele miten selkeäkieliset selitykset tuotetaan ja toimitetaan. Tämä on enimmäkseen tuote- ja prosessikysymys, ei oikeudellinen.

Tekoälyasetus ei itsessään tapa vastuullista tekoälyn käyttöönottoa organisaatioissa. Vahinkoa kärsivät yritykset, jotka käsittelivät sitä Brysselin ongelmana mallien kehittäjiä varten, ja jotka heräsivät vuoden 2026 puolivälissä ja huomasivat, että laki oli koko ajan koskenut heitä.

Vakavasti otettava signaali ei ole otsikoiden seuraamukset. Se on, että laki on viimein kuromassa umpeen kuilua “otimme tekoälyn käyttöön” ja “tiedämme mitä se tekee” välillä. Tuo kuilu on todellinen ongelma useimmissa yritystason tekoälyn käyttöönotoissa, joita näen. Sen sulkeminen viranomaisia varten sulkee sen sattumalta myös asiakkaidesi, hallituksesi ja omien insinööriesi kannalta.

Toisin sanoen: tämä on pakottava tekijä sille kurinalaisuudelle, jonka halusit joka tapauksessa.
Palvelumallissamme egoHive/dataHive on jotain, joka helpottaa näitä ongelmia (demo saatavilla tarvittaessa), mutta suosittelen aina konsultoimaan ammattilaislakimiestä, sillä tietämykseni tässä aiheessa on maallikkomainen, joten tätä ei tule käsitellä oikeudellisena neuvontana.