EU:s förordning om artificiell intelligens i kommunerna

Det viktigaste första steget för kommunerna är att utreda kommunens tjänster och uppgifter i vilka AI-användningen definieras som användning med hög risk. Efter identifieringen av tjänsterna och uppgifterna ska kommunen undersöka behovet av att använda AI-system med hög risk i anslutning till dessa, vilken roll kommunen ska ha i varje enskilt fall och på vilket sätt AI ska användas. Det är alltså inte bara fråga om huruvida AI ska användas, utan också om hur AI används. 

Den höga risken bestäms således också enligt i vilken grad användningen av AI-systemet påverkar till exempel beslut. Om AI används som så kallad stödintelligens som stöd för människans beslutsfattande definieras AI-användningen som användning med hög risk. 

Om kommunen identifierar en uppgift eller tjänst i vilken man vill använda AI ska man alltså identifiera syftet med och sättet för AI-användningen samt vara medveten om skyldigheterna i fråga om den egna rollen. Det är bra att exempelvis utreda:

• vilka nya åtgärdsbehov kommunen har i och med förordningen
• hur tidigare system för övervakning och praxis eventuellt redan uppfyller skyldigheterna i förordningen
• hur skyldigheterna i fråga om kommunens roller ska beaktas i upphandlingar och avtal
• vem i kommunen som ska förstå förordningen eller AI och vad

Roller

Förordningen definierar olika roller för aktörer som arbetar med AI-system. Utöver tillsynsmyndigheterna är rollerna leverantörer, tillhandahållare, importörer och distributörer. Kommunerna är i många fall tillhandahållare (som under eget överinseende använder ett AI-system) om de inte själva utvecklar eller låter utveckla ett AI-system på marknaden, modifierar det väsentligt eller tar i bruk systemet i eget namn (leverantör), släpper ut AI-systemet på EU-marknaden (importör) eller på annat sätt tillhandahåller (distributör) ett AI-system från till exempel USA. När det gäller rollerna ska det beaktas att även om kommunen inte själv utvecklar eller säljer ett AI-system kan den ändå omfattas av leverantörsskyldigheterna om den AI-baserade funktionen står under kommunens namn.

Hög risk

Bilaga III till AI-förordningen fastställer avsedda ändamål då ett AI-system anses vara ett AI-system med hög risk.  Till dessa hör kritisk infrastruktur, utbildning och yrkesutbildning, sysselsättning, viktiga privata och offentliga tjänster (t.ex. hälso- och sjukvård och bankverksamhet), vissa system för brottsbekämpning, invandring och gränskontroll samt rättsliga och demokratiska processer (t.ex. valpåverkan). Som en process med hög risk betraktas således till exempel bedömningsprocessen i vilken en persons rätt till offentliga förmåner eller tjänster fastställs. Utöver det avsedda ändamålet är sättet hur AI används av betydelse, dvs. i vilken grad användningen av AI-systemen påverkar beslut.  Ett AI-system anses inte vara ett AI-system med hög risk om det inte utgör en betydande risk för skada på fysiska personers hälsa, säkerhet eller grundläggande rättigheter, inbegripet att det inte väsentligt påverkar resultatet av beslutsfattande. 

Detta är fallet om AI-systemet är avsett att

1. utföra en snäv processuell uppgift,
2. förbättra resultatet av tidigare slutförd mänsklig verksamhet,
3. upptäcka beslutsmönster eller avvikelser från tidigare beslutsmönster och är inte avsett att ersätta eller påverka tidigare slutförd mänsklig bedömning utan ordentlig mänsklig granskning, eller
4. utföra en förberedande uppgift för en bedömning som är relevant för de användningsfall som förtecknas i bilaga III.

Ett AI-system ska alltid anses vara ett AI-system med hög risk om det utför profilering av fysiska personer.

Kommissionen kommer att utfärda riktlinjer för definitionen, men först 2025–2026, så före det måste man själv tolka den höga risken utifrån förteckningarna i bilaga III och artikel 6.3 i förordningen.

Förbjudna användningsområden

Kommunerna ska också vara medvetna om förbjudna AI-användningsområden som anges i kapitel II artikel 5 i AI-förordningen. Oacceptabla risker omfattar bland annat manipulering, social poängsättning, biometrisk identifiering och kategorisering som skadar människors beteende. 

Systemrisk 

På AI-modeller med systemrisk tillämpas skyldigheter som gäller leverantörer och som behandlas i artiklarna 52–55. Kommunerna ska bedöma vilka konsekvenser användningen av AI-modeller för allmänna ändamål har för kritiska tjänster, såsom energi- och vattenförsörjning, samt vilken möjligheten är att AI-modellerna för allmänna ändamål leder till omfattande kränkningar av integriteten eller samhälleliga problem.

AI-system med begränsad risk, AI-modeller för allmänna ändamål och transparensskyldighet

I artikel 50 i AI-förordningen föreskrivs det om transparensskyldigheter för leverantörer och tillhandahållare av vissa AI-system. Dessa transparensskyldigheter gäller bland annat kommunernas och städernas chattbottar.  Det väsentliga i transparensskyldigheten är att kommuninvånarna ska vara medvetna om att de uträttar ärenden med AI eller att AI har skapat till exempel innehållet i kommunens meddelanden. Kommunerna ska ge information om AI-systemen, deras avsedda ändamål och hur det påverkar medborgarna. I fråga om beslut som fattats med hjälp av AI-system ska medborgarna ha möjlighet att överklaga besluten och få dem kontrollerade av människor.

I Finland omfattas regleringen av chattbottarna även av 6 a § i lagen om tillhandahållande av digitala tjänster som föreskriver om användning av tjänsteautomation vid rådgivning. Denna helhet kommer att preciseras och utvecklas under året när arbetsgruppen för Finansministeriets Projekt för undanröjande av hinder för digitalisering och informationens rörlighet omfattande granskar chattbot-frågan ur regleringsperspektivet. AI-förordningen i sig löser inte allt som ska begrundas i detta sammanhang.

Andra system med låg risk

Om användningen inte är förbjuden, inte anses ha hög risk eller omfattas av transparensskyldigheten och om det inte finns någon systemrisk är det fråga om ett AI-system med låg risk som inte regleras i förordningen. Sådana är exempelvis skräppostfilter, textredigeringsprogram och översättningsverktyg samt optimering av transportrutter.

Artikel 4 i AI-förordningen uppmanar till åtgärder för att säkerställa att personal och aktörer som för deras räkning arbetar med drift av AI-system har tillräcklig AI-kunnighet. Med detta avses att deras tekniska kunskaper, erfarenhet och utbildning samt det sammanhang i vilket AI-systemen ska användas, och med hänsyn till de personer eller grupper av personer på vilka AI-systemen ska användas, ska beaktas i främjandet av AI-kompetensen. 

Främjandet av AI-kunnigheten definieras inte desto närmare i förordningen, men punkten gäller också kommunerna. I praktiken styr artikeln kommunerna att i sin verksamhet på något sätt säkerställa AI-kompetens och AI-förståelse hos de personer som i sitt arbete har att göra med AI-system. På grund av artikelns öppna formulering är den närmast målinriktad och vägledande och sanktioner eller tillsyn har inte fastställts.

Ett aktuellt exempel i kommunerna på främjandet av AI-kunnighet är Utbildningsstyrelsens och Undervisnings- och kulturministeriets rekommendationer för användningen av artificiell intelligens inom småbarnspedagogiken, den grundläggande utbildningen och på andra stadiet samt inom den fria bildningen som publicerades 2024. 

I samband med AI-förordningen har Europeiska kommissionen inrättat europeiska byrån för artificiell intelligens (AI-byrån) som leder skapandet av gemensamma förfarandekoder för utveckling och användning av AI inom EU. Förfarandekoderna innefattar anvisningar om bland annat hur AI ska hållas uppdaterad, hur data som använts för AI-träning ska beskrivas, hur risker ska identifieras och hanteras. Syftet med förfarandekoderna är alltså att förenhetliga arbetsformerna och fungera som en anvisning för utvecklare av AI-modeller. Förfarandekoderna ska vara klara i början av maj 2025 och träda i kraft i augusti 2025. 

Det är inte obligatoriskt att iaktta förfarandekoderna utan de är främst avsedda för självreglering med tanke på utvecklare av AI-system. Tanken är att också skyldigheterna i förordningen uppfylls genom att förfarandekoderna iakttas. Även om kommunen inte själv utvecklar AI-modeller eller tar förfarandekoderna i bruk, är det bra för kommunerna att hålla ett öga på beredningen av dem och ge tillhandahållarnas synpunkter på behov och iakttagelser till exempel i fråga om behandlingen av personuppgifter. Formuleringen av förfarandekoderna kan påverka tolkningen och tillämpningen av AI-förordningen. 

Det ska ordnas remissbehandlingar om förfarandekoderna genom vilka kommunerna kan lyfta fram sina egna synpunkter. 

AI-förordningen är i första hand marknadskontroll och de nationella tillsynsmyndigheterna består till stor del av marknadskontrollmyndigheter. Utöver tillsyn ska de nationella myndigheterna även ge råd om tolkningen och genomförandet av lagen. Medlemsstaterna ska senast i augusti 2025 utse de nationella myndigheterna och ange hur de kan kontaktas. Centrala marknadskontrollmyndigheter kommer åtminstone att vara Dataombudsmannen, Traficom och Tukes, men även andra myndigheter kommer att ha tillsynsansvar. Regeringens proposition om de nationella tillsynsmyndigheterna sänds på remiss hösten 2024 med ett närmare förslag om vilka tillsynsmyndigheterna ska vara för Finlands del.

Största delen av skyldigheterna i förordningen träder i kraft först efter augusti 2025 så innan myndigheterna utses finns inga lagstadgade skyldigheter med stöd av hela förordningen, men kommunerna behöver naturligtvis råd om tolkningen av lagen redan före det. Europeiska kommissionen har inrättat en europeisk styrelse för artificiell intelligens (styrelsen), men den ger främst råd på EU-nivå och torde inte vara just till någon hjälp för kommunernas behov. Styrelsen har dock undergrupper som inriktar sig på olika helheter. Om det uppstår ett behov hos kommunerna att inrätta en undergrupp för kommunerna och aktörerna inom den offentliga förvaltningen ska detta tas via arbetsgruppen för nationellt genomförande till styrelsen för övervägande. I Finland kan arbetsgruppen för nationellt genomförande av AI-förordningen och Arbets- och näringsministeriet vid behov ge råd om tillämpningen av förordningen tills myndigheterna har utsetts. Europeiska kommissionen förväntas ännu under 2024 ge riktlinjer för bland annat definitionen av AI-system och tillämpningen av förbud.

För närvarande finns det ingen tydlig nationell AI-strategi för den offentliga förvaltningen eller Finland.  När det gäller artificiell intelligens finns det många slags allmänna anvisningar och etiska principer, men i fråga om tolkningen av AI-förordningen är särskilt kommunperspektivet tillsvidare litet. Etiska anvisningar har till exempel sammanställts av Myndigheten för digitalisering och befolkningsdata, Europeiska kommissionen och Finansministeriet. En del kommuner, såsom Tammerfors och Helsingfors, har också själva utarbetat etiska principer för AI-användningen. 

Som tidigare nämnts utgör också kraven på informationshanteringen, dataskyddsförordningen och principerna för god förvaltning en stark grund för iakttagandet av kraven i AI-förordningen. AI-byrån ska utarbeta mallar för konsekvensbedömningen avseende grundläggande rättigheter och för teknisk dokumentation. Också Myndigheten för digitalisering och befolkningsdata håller på att bereda mallar för upphandlingar och konsekvensbedömningar. I fortsättningen länkar vi kommande publicerade mallar under ”Användbara länkar”-avsnittet.

I enlighet med artikel 57 i AI-förordningen ska medlemsstaterna säkerställa att det på nationell nivå tillhandahålls verklighetsanpassade regulatoriska sandlådor för AI senast i augusti 2026. I likhet med förfarandekoderna gäller sandlådorna närmast utvecklarna av AI-modellerna, men kommunerna kan ha en väsentlig roll som leverantörer av exempelvis data i form av kommuninvånarnas personuppgifter. En slutrapport över testerna lämnas till kommissionen och europeiska styrelsen för artificiell intelligens genom vilka kommunerna via styrelsens informationsplattform kan få information om sandlådornas lärdomar och utmaningar också i fråga om sådana tester som de själva inte har deltagit i.

Arbets- och näringsministeriet inleder planeringen av sandlådorna i slutet av 2024. Remissbehandlingen för sandlådorna planeras till våren 2025.

AI-förordningen fastställer sanktionsavgifter för företag för försummelse av skyldigheterna i förordningen. Sanktionsavgifternas belopp beror på företagets storlek och omsättning. Det har ännu inte föreskrivits om sanktioner för aktörer inom den offentliga förvaltningen och med hänsyn till förordningen har det lämnats nationellt handlingsutrymme för detta. Utgångspunkten i arbetsgruppen för nationellt genomförande är att detta inte ska leda till sanktioner för myndigheterna, och därmed inte heller för kommunerna. 

Beslut om sanktioner inom den offentliga förvaltningen ska offentliggöras på nationell nivå senast i augusti 2025. Enligt praxis är en första sanktion en varning eller anmärkning och möjlighet att rätta till verksamheten. Tanken för närvarande är att sanktionerna ska fungera på samma sätt som i fråga om dataskyddsförordningen. 

För närvarande kan sanktionsavgifter med stöd av dataskyddsförordningen inte påföras aktörer inom den offentliga sektorn i Finland. En utvidgning av sanktionsavgifterna till att även omfatta den offentliga sektorn har dock skrivits in i det nuvarande regeringsprogrammet. I de övriga nordiska länderna har det föreskrivits om möjligheten att med stöd av dataskyddsförordningen påföra sanktionsavgifter även för aktörer inom den offentliga sektorn.

Kommunförbundet har inlett ett projekt som utreder EU:s digitaliserings- och datalagstiftning inom kommunsektorn som pågår fram till 2025. AI-förordningen var den första som behandlades tillsammans med ministeriets representant.

Projektet kommer även i fortsättningen att förtydliga annan lagstiftning på webbplatsen, såsom vad varje EU-lagstiftning om digitalisering och data innebär för kommunerna. Dessutom ordnas hösten 2024 intervjuer och workshoppar för kommunsektorn. Om kommunen eller staden har funderingar kring samma frågor är ni välkomna med i nätverket under projektets gång. 

Anvisningar och ytterligare information finns på webbsidan EU:s digitaliserings- och datalagstiftning för kommunsektorn.

Informationssäkerhet

VAHTI-nätverket som upprätthålls av Myndigheten för digitalisering och befolkningsdata sammanför ledningen för de organisationer som ansvarar för utvecklingen och styrningen av den digitala säkerheten samt de sakkunniga som ansvarar för den digitala säkerheten.

AI-kunnighet och AI-kompetens

• KT:s sammanställning ”Generatiivisen tekoälyn hyödyntäminen kunta- ja hyvinvointialalla - yli 50 vinkkiä hyvään tekoälytartuntaan” (på finska)
• Tammerfors etiska principer (på finska): Tampereen kaupunki linjasi eettiset periaatteet tekoälyn käytölle (Tammerfors stad)
• Helsingfors utarbetade principer för etisk användning av data och artificiell intelligens (Helsingfors stad)
• Ansvarsfullt användande av artificiell intelligens (Myndigheten för digitalisering och befolkningsdata)
• Ethics-guidelines-AI_SV.pdf (europa.eu). Europeiska unionens etiska riktlinjer.
• Etiska rekommendationer för artificiell intelligens - Finansministeriet (vm.fi). Finansministeriets etiska rekommendationer.

Förordningen om artificiell intelligens

• https://artificialintelligenceact.eu Omfattande sammanställningar och sammanfattningar av förordningen på engelska.
• Förordning - EU - 2024/1689 - EN - EUR-Lex (europa.eu). Direkt länk till lagtexten.
• Arbetsgruppen för nationellt genomförande av EU:s förordning om artificiell intelligens (på finska)
• Europeiska AI-byrån | Shaping Europe’s digital future (europa.eu). AI-byråns webbplats

Andra länkar

• Vägen till verkningsfulla IKT-upphandlingar (vm.fi). Finansministeriets anvisningar om IKT-upphandlingar som publicerades 2023.