EU:s förordning om artificiell intelligens i kommunerna
På den temporära webbplatsen EU:s digitaliserings- och datalagstiftning för kommunsektorn sammanställer vi information om Europeiska unionens lagstiftning ur perspektiv som intresserar kommunerna och vi strävar efter att förtydliga bland annat lagstiftningens krav och konsekvenser. På den här webbplatsen har vi sammanställt information om Europeiska unionens förordning om artificiell intelligens (AI-förordningen) som begränsar och anger ramarna för användningen av artificiell intelligens (AI) även inom den offentliga sektorn. AI-förordningen trädde i kraft 1.8.2024 och den börjar tillämpas stegvis under en övergångsperiod på två år.
Mer information på webbplatsen EU:s digitaliserings- och datalagstiftning.
AI-förordningen och övergångstiden i korthet
Europeiska unionens AI-förordning trädde i kraft 1.8.2024 och den börjar tillämpas stegvis under en övergångsperiod på två år. Ett system som använder artificiell intelligens och som tas i bruk 2.8.2026 eller senare ska överensstämma med förordningen. I fråga om AI-system som redan finns på marknaden eller som redan används är övergångsperioden fram till 2.8.2030.
Beroende på AI-systemets avsedda användning och användningssätt förpliktar förordningen till uppföljning av systemet på olika nivåer. Det är dock inte nödvändigt att införa nya system för övervakning till följd av förordningen. Befintlig praxis som utarbetats utgående från andra författningar kan uppdateras till behövliga delar.
Syftet med förordningen är att skydda individernas grundläggande rättigheter, hälsa och säkerhet mot konsekvenserna av användningen av AI-system som anses utgöra en risk. Utgångspunkten är att förordningen är marknadskontroll, men det som är exceptionellt i AI-förordningen är att även tillhandahållarna övervakas genom att de bland annat förpliktas till konsekvensbedömning avseende de grundläggande rättigheterna och dataskyddet samt lagring av loggar. Det är bra att komma ihåg att största delen av regleringen i AI-förordningen gäller utvecklare av AI-modeller med hög risk. AI-system med begränsad risk och tillhandahållare av systemen omfattas av betydligt mer begränsade skyldigheter.
Kommunerna är i de flesta fall rollen tillhandahållare. Många AI-system som används som stöd i arbetet klassificeras rentav som AI-system med minimal risk, vilket innebär att de inte omfattas av regleringen. AI-förordningen måste förstås och iakttas mer omfattande om kommunen själv också utvecklar eller deltar i utvecklingen av AI-modeller. Kraven på informationshanteringen, dataskyddsförordningen och principerna för god förvaltning utgör också en stark grund för iakttagandet av kraven i AI-förordningen.
Utöver förmågan att identifiera när det är fråga om AI-användning med hög risk är det bra om kommunen särskilt bekantar sig med rollen som tillhandahållare samt med transparensskyldigheterna i fråga om AI-modeller för allmänna ändamål och AI-system med begränsad risk.
Kommunerna ska även beakta att kommuninvånarna i enlighet med artikel 86 i AI-förordningen har rätt att lämna in klagomål om AI-system och få förklaringar om beslut som grundar sig på AI-system med hög risk och som påverkar deras rättigheter. Även till dessa delar är det viktigt med egen dokumentation och informationshantering för att vid behov kunna fullgöra denna skyldighet.
Vad ska kommunen tänka på då den börjar tillämpa förordningen?
Det viktigaste första steget för kommunerna är att utreda kommunens tjänster och uppgifter i vilka AI-användningen definieras som användning med hög risk. Efter identifieringen av tjänsterna och uppgifterna ska kommunen undersöka behovet av att använda AI-system med hög risk i anslutning till dessa, vilken roll kommunen ska ha i varje enskilt fall och på vilket sätt AI ska användas. Det är alltså inte bara fråga om huruvida AI ska användas, utan också om hur AI används.
Den höga risken bestäms således också enligt i vilken grad användningen av AI-systemet påverkar till exempel beslut. Om AI används som så kallad stödintelligens som stöd för människans beslutsfattande definieras AI-användningen som användning med hög risk.
Om kommunen identifierar en uppgift eller tjänst i vilken man vill använda AI ska man alltså identifiera syftet med och sättet för AI-användningen samt vara medveten om skyldigheterna i fråga om den egna rollen. Det är bra att exempelvis utreda:
- vilka nya åtgärdsbehov kommunen har i och med förordningen
- hur tidigare system för övervakning och praxis eventuellt redan uppfyller skyldigheterna i förordningen
- hur skyldigheterna i fråga om kommunens roller ska beaktas i upphandlingar och avtal
- vem i kommunen som ska förstå förordningen eller AI och vad
Definition av den egna rollen och riskklassificeringen
Roller
Förordningen definierar olika roller för aktörer som arbetar med AI-system. Utöver tillsynsmyndigheterna är rollerna leverantörer, tillhandahållare, importörer och distributörer. Kommunerna är i många fall tillhandahållare (som under eget överinseende använder ett AI-system) om de inte själva utvecklar eller låter utveckla ett AI-system på marknaden, modifierar det väsentligt eller tar i bruk systemet i eget namn (leverantör), släpper ut AI-systemet på EU-marknaden (importör) eller på annat sätt tillhandahåller (distributör) ett AI-system från till exempel USA. När det gäller rollerna ska det beaktas att även om kommunen inte själv utvecklar eller säljer ett AI-system kan den ändå omfattas av leverantörsskyldigheterna om den AI-baserade funktionen står under kommunens namn.
Hög risk
Bilaga III till AI-förordningen fastställer avsedda ändamål då ett AI-system anses vara ett AI-system med hög risk. Till dessa hör kritisk infrastruktur, utbildning och yrkesutbildning, sysselsättning, viktiga privata och offentliga tjänster (t.ex. hälso- och sjukvård och bankverksamhet), vissa system för brottsbekämpning, invandring och gränskontroll samt rättsliga och demokratiska processer (t.ex. valpåverkan). Som en process med hög risk betraktas således till exempel bedömningsprocessen i vilken en persons rätt till offentliga förmåner eller tjänster fastställs. Utöver det avsedda ändamålet är sättet hur AI används av betydelse, dvs. i vilken grad användningen av AI-systemen påverkar beslut. Ett AI-system anses inte vara ett AI-system med hög risk om det inte utgör en betydande risk för skada på fysiska personers hälsa, säkerhet eller grundläggande rättigheter, inbegripet att det inte väsentligt påverkar resultatet av beslutsfattande.
Detta är fallet om AI-systemet är avsett att
- utföra en snäv processuell uppgift,
- förbättra resultatet av tidigare slutförd mänsklig verksamhet,
- upptäcka beslutsmönster eller avvikelser från tidigare beslutsmönster och är inte avsett att ersätta eller påverka tidigare slutförd mänsklig bedömning utan ordentlig mänsklig granskning, eller
- utföra en förberedande uppgift för en bedömning som är relevant för de användningsfall som förtecknas i bilaga III.
Ett AI-system ska alltid anses vara ett AI-system med hög risk om det utför profilering av fysiska personer.
Kommissionen kommer att utfärda riktlinjer för definitionen, men först 2025–2026, så före det måste man själv tolka den höga risken utifrån förteckningarna i bilaga III och artikel 6.3 i förordningen.
Förbjudna användningsområden
Kommunerna ska också vara medvetna om förbjudna AI-användningsområden som anges i kapitel II artikel 5 i AI-förordningen. Oacceptabla risker omfattar bland annat manipulering, social poängsättning, biometrisk identifiering och kategorisering som skadar människors beteende.
Systemrisk
På AI-modeller med systemrisk tillämpas skyldigheter som gäller leverantörer och som behandlas i artiklarna 52–55. Kommunerna ska bedöma vilka konsekvenser användningen av AI-modeller för allmänna ändamål har för kritiska tjänster, såsom energi- och vattenförsörjning, samt vilken möjligheten är att AI-modellerna för allmänna ändamål leder till omfattande kränkningar av integriteten eller samhälleliga problem.
AI-system med begränsad risk, AI-modeller för allmänna ändamål och transparensskyldighet
I artikel 50 i AI-förordningen föreskrivs det om transparensskyldigheter för leverantörer och tillhandahållare av vissa AI-system. Dessa transparensskyldigheter gäller bland annat kommunernas och städernas chattbottar. Det väsentliga i transparensskyldigheten är att kommuninvånarna ska vara medvetna om att de uträttar ärenden med AI eller att AI har skapat till exempel innehållet i kommunens meddelanden. Kommunerna ska ge information om AI-systemen, deras avsedda ändamål och hur det påverkar medborgarna. I fråga om beslut som fattats med hjälp av AI-system ska medborgarna ha möjlighet att överklaga besluten och få dem kontrollerade av människor.
I Finland omfattas regleringen av chattbottarna även av 6 a § i lagen om tillhandahållande av digitala tjänster som föreskriver om användning av tjänsteautomation vid rådgivning. Denna helhet kommer att preciseras och utvecklas under året när arbetsgruppen för Finansministeriets Projekt för undanröjande av hinder för digitalisering och informationens rörlighet omfattande granskar chattbot-frågan ur regleringsperspektivet. AI-förordningen i sig löser inte allt som ska begrundas i detta sammanhang.
Andra system med låg risk
Om användningen inte är förbjuden, inte anses ha hög risk eller omfattas av transparensskyldigheten och om det inte finns någon systemrisk är det fråga om ett AI-system med låg risk som inte regleras i förordningen. Sådana är exempelvis skräppostfilter, textredigeringsprogram och översättningsverktyg samt optimering av transportrutter.
AI-kunnighet
Artikel 4 i AI-förordningen uppmanar till åtgärder för att säkerställa att personal och aktörer som för deras räkning arbetar med drift av AI-system har tillräcklig AI-kunnighet. Med detta avses att deras tekniska kunskaper, erfarenhet och utbildning samt det sammanhang i vilket AI-systemen ska användas, och med hänsyn till de personer eller grupper av personer på vilka AI-systemen ska användas, ska beaktas i främjandet av AI-kompetensen.
Främjandet av AI-kunnigheten definieras inte desto närmare i förordningen, men punkten gäller också kommunerna. I praktiken styr artikeln kommunerna att i sin verksamhet på något sätt säkerställa AI-kompetens och AI-förståelse hos de personer som i sitt arbete har att göra med AI-system. På grund av artikelns öppna formulering är den närmast målinriktad och vägledande och sanktioner eller tillsyn har inte fastställts.
Ett aktuellt exempel i kommunerna på främjandet av AI-kunnighet är Utbildningsstyrelsens och Undervisnings- och kulturministeriets rekommendationer för användningen av artificiell intelligens inom småbarnspedagogiken, den grundläggande utbildningen och på andra stadiet samt inom den fria bildningen som publicerades 2024.
Förfarandekoder
I samband med AI-förordningen har Europeiska kommissionen inrättat europeiska byrån för artificiell intelligens (AI-byrån) som leder skapandet av gemensamma förfarandekoder för utveckling och användning av AI inom EU. Förfarandekoderna innefattar anvisningar om bland annat hur AI ska hållas uppdaterad, hur data som använts för AI-träning ska beskrivas, hur risker ska identifieras och hanteras. Syftet med förfarandekoderna är alltså att förenhetliga arbetsformerna och fungera som en anvisning för utvecklare av AI-modeller. Förfarandekoderna ska vara klara i början av maj 2025 och träda i kraft i augusti 2025.
Det är inte obligatoriskt att iaktta förfarandekoderna utan de är främst avsedda för självreglering med tanke på utvecklare av AI-system. Tanken är att också skyldigheterna i förordningen uppfylls genom att förfarandekoderna iakttas. Även om kommunen inte själv utvecklar AI-modeller eller tar förfarandekoderna i bruk, är det bra för kommunerna att hålla ett öga på beredningen av dem och ge tillhandahållarnas synpunkter på behov och iakttagelser till exempel i fråga om behandlingen av personuppgifter. Formuleringen av förfarandekoderna kan påverka tolkningen och tillämpningen av AI-förordningen.
Nationella tillsynsmyndigheter, rådgivande organ och gemensamma anvisningar
AI-förordningen är i första hand marknadskontroll och de nationella tillsynsmyndigheterna består till stor del av marknadskontrollmyndigheter. Utöver tillsyn ska de nationella myndigheterna även ge råd om tolkningen och genomförandet av lagen. Medlemsstaterna ska senast i augusti 2025 utse de nationella myndigheterna och ange hur de kan kontaktas. Centrala marknadskontrollmyndigheter kommer åtminstone att vara Dataombudsmannen, Traficom och Tukes, men även andra myndigheter kommer att ha tillsynsansvar. Regeringens proposition om de nationella tillsynsmyndigheterna sänds på remiss hösten 2024 med ett närmare förslag om vilka tillsynsmyndigheterna ska vara för Finlands del.
Största delen av skyldigheterna i förordningen träder i kraft först efter augusti 2025 så innan myndigheterna utses finns inga lagstadgade skyldigheter med stöd av hela förordningen, men kommunerna behöver naturligtvis råd om tolkningen av lagen redan före det. Europeiska kommissionen har inrättat en europeisk styrelse för artificiell intelligens (styrelsen), men den ger främst råd på EU-nivå och torde inte vara just till någon hjälp för kommunernas behov. Styrelsen har dock undergrupper som inriktar sig på olika helheter. Om det uppstår ett behov hos kommunerna att inrätta en undergrupp för kommunerna och aktörerna inom den offentliga förvaltningen ska detta tas via arbetsgruppen för nationellt genomförande till styrelsen för övervägande. I Finland kan arbetsgruppen för nationellt genomförande av AI-förordningen och Arbets- och näringsministeriet vid behov ge råd om tillämpningen av förordningen tills myndigheterna har utsetts. Europeiska kommissionen förväntas ännu under 2024 ge riktlinjer för bland annat definitionen av AI-system och tillämpningen av förbud.
För närvarande finns det ingen tydlig nationell AI-strategi för den offentliga förvaltningen eller Finland. När det gäller artificiell intelligens finns det många slags allmänna anvisningar och etiska principer, men i fråga om tolkningen av AI-förordningen är särskilt kommunperspektivet tillsvidare litet. Etiska anvisningar har till exempel sammanställts av Myndigheten för digitalisering och befolkningsdata, Europeiska kommissionen och Finansministeriet. En del kommuner, såsom Tammerfors och Helsingfors, har också själva utarbetat etiska principer för AI-användningen.
Som tidigare nämnts utgör också kraven på informationshanteringen, dataskyddsförordningen och principerna för god förvaltning en stark grund för iakttagandet av kraven i AI-förordningen. AI-byrån ska utarbeta mallar för konsekvensbedömningen avseende grundläggande rättigheter och för teknisk dokumentation. Också Myndigheten för digitalisering och befolkningsdata håller på att bereda mallar för upphandlingar och konsekvensbedömningar. I fortsättningen länkar vi kommande publicerade mallar under ”Användbara länkar”-avsnittet.
Regulatoriska sandlådor för AI
I enlighet med artikel 57 i AI-förordningen ska medlemsstaterna säkerställa att det på nationell nivå tillhandahålls verklighetsanpassade regulatoriska sandlådor för AI senast i augusti 2026. I likhet med förfarandekoderna gäller sandlådorna närmast utvecklarna av AI-modellerna, men kommunerna kan ha en väsentlig roll som leverantörer av exempelvis data i form av kommuninvånarnas personuppgifter. En slutrapport över testerna lämnas till kommissionen och europeiska styrelsen för artificiell intelligens genom vilka kommunerna via styrelsens informationsplattform kan få information om sandlådornas lärdomar och utmaningar också i fråga om sådana tester som de själva inte har deltagit i.
Arbets- och näringsministeriet inleder planeringen av sandlådorna i slutet av 2024. Remissbehandlingen för sandlådorna planeras till våren 2025.
Sanktioner
AI-förordningen fastställer sanktionsavgifter för företag för försummelse av skyldigheterna i förordningen. Sanktionsavgifternas belopp beror på företagets storlek och omsättning. Det har ännu inte föreskrivits om sanktioner för aktörer inom den offentliga förvaltningen och med hänsyn till förordningen har det lämnats nationellt handlingsutrymme för detta. Utgångspunkten i arbetsgruppen för nationellt genomförande är att detta inte ska leda till sanktioner för myndigheterna, och därmed inte heller för kommunerna.
Beslut om sanktioner inom den offentliga förvaltningen ska offentliggöras på nationell nivå senast i augusti 2025. Enligt praxis är en första sanktion en varning eller anmärkning och möjlighet att rätta till verksamheten. Tanken för närvarande är att sanktionerna ska fungera på samma sätt som i fråga om dataskyddsförordningen.
För närvarande kan sanktionsavgifter med stöd av dataskyddsförordningen inte påföras aktörer inom den offentliga sektorn i Finland. En utvidgning av sanktionsavgifterna till att även omfatta den offentliga sektorn har dock skrivits in i det nuvarande regeringsprogrammet. I de övriga nordiska länderna har det föreskrivits om möjligheten att med stöd av dataskyddsförordningen påföra sanktionsavgifter även för aktörer inom den offentliga sektorn.
EU:s digitaliserings- och datalagstiftning för kommunsektorn
Kommunförbundet har inlett ett projekt som utreder EU:s digitaliserings- och datalagstiftning inom kommunsektorn som pågår fram till 2025. AI-förordningen var den första som behandlades tillsammans med ministeriets representant.
Projektet kommer även i fortsättningen att förtydliga annan lagstiftning på webbplatsen, såsom vad varje EU-lagstiftning om digitalisering och data innebär för kommunerna. Dessutom ordnas hösten 2024 intervjuer och workshoppar för kommunsektorn. Om kommunen eller staden har funderingar kring samma frågor är ni välkomna med i nätverket under projektets gång.
Anvisningar och ytterligare information finns på webbsidan EU:s digitaliserings- och datalagstiftning för kommunsektorn.
Användbara länkar om artificiell intelligens
Informationssäkerhet
VAHTI-nätverket som upprätthålls av Myndigheten för digitalisering och befolkningsdata sammanför ledningen för de organisationer som ansvarar för utvecklingen och styrningen av den digitala säkerheten samt de sakkunniga som ansvarar för den digitala säkerheten.
AI-kunnighet och AI-kompetens
- KT:s sammanställning ”Generatiivisen tekoälyn hyödyntäminen kunta- ja hyvinvointialalla - yli 50 vinkkiä hyvään tekoälytartuntaan” (på finska)
- Tammerfors etiska principer (på finska): Tampereen kaupunki linjasi eettiset periaatteet tekoälyn käytölle (Tammerfors stad)
- Helsingfors utarbetade principer för etisk användning av data och artificiell intelligens (Helsingfors stad)
- Ansvarsfullt användande av artificiell intelligens (Myndigheten för digitalisering och befolkningsdata)
- Ethics-guidelines-AI_SV.pdf (europa.eu). Europeiska unionens etiska riktlinjer.
- Etiska rekommendationer för artificiell intelligens - Finansministeriet (vm.fi). Finansministeriets etiska rekommendationer.
Förordningen om artificiell intelligens
- https://artificialintelligenceact.eu Omfattande sammanställningar och sammanfattningar av förordningen på engelska.
- Förordning - EU - 2024/1689 - EN - EUR-Lex (europa.eu). Direkt länk till lagtexten.
- Arbetsgruppen för nationellt genomförande av EU:s förordning om artificiell intelligens (på finska)
- Europeiska AI-byrån | Shaping Europe’s digital future (europa.eu). AI-byråns webbplats
Andra länkar
- Vägen till verkningsfulla IKT-upphandlingar (vm.fi). Finansministeriets anvisningar om IKT-upphandlingar som publicerades 2023.
Definitioner
Aktörernas roller
Artikel 3
3) Leverantör:
en fysisk eller juridisk person, en offentlig myndighet, en byrå eller ett annat organ som utvecklar ett AI-system eller en AI-modell för allmänna ändamål eller som har ett AI-system eller en AI-modell för allmänna ändamål och släpper ut det eller den på marknaden eller tar ett AI-system i bruk i eget namn eller under eget varumärke, antingen mot betalning eller kostnadsfritt.
4) Tillhandahållare:
en fysisk eller juridisk person, offentlig myndighet, en byrå eller annat organ som under eget överinseende använder ett AI-system, utom när AI-systemet används inom ramen för en personlig icke-yrkesmässig verksamhet.
6) Importör:
en fysisk eller juridisk person som befinner sig eller är etablerad i unionen och som släpper ut ett AI-system på marknaden som bär namnet på eller varumärket för en fysisk eller juridisk person som är etablerad i ett tredjeland.
7) Distributör:
en annan fysisk eller juridisk person i leveranskedjan än leverantören eller importören, som tillhandahåller ett AI-system på unionsmarknaden.
Andra definitioner:
Artikel 3
1) AI-system:
ett maskinbaserat system som är utformat för att fungera med varierande grad av autonomi och som kan uppvisa anpassningsförmåga efter införande och som, för uttryckliga eller underförstådda mål, drar slutsatser härledda från den indata det tar emot, om hur utdata såsom förutsägelser, innehåll, rekommendationer eller beslut som kan påverka fysiska eller virtuella miljöer ska genereras.
12) Avsett ändamål:
den användning för vilken ett AI-system är avsett av leverantören, inbegripet det specifika användningssammanhanget och de specifika användningsvillkoren, enligt specifikationerna i de uppgifter som tillhandahålls av leverantören i bruksanvisningen, reklam- eller försäljningsmaterial och uttalanden samt i den tekniska dokumentationen.
20) Bedömning av överensstämmelse:
processen att visa om kraven i kapitel III avsnitt 2 avseende ett AI-system med hög risk har uppfyllts.
55) Regulatorisk sandlåda för AI:
en kontrollerad ram som inrättats av en behörig myndighet och som erbjuder leverantörer eller potentiella leverantörer av AI-system möjlighet att utveckla, träna, validera och testa, när så är lämpligt under verkliga förhållanden, ett innovativt AI-system, enligt en specifik sandlådeplan för en begränsad tid under regulatorisk tillsyn.
56) AI-kunnighet:
kompetens, kunskap och förståelse som gör det möjligt för leverantörer, tillhandahållare och berörda personer att, med hänsyn till deras respektive rättigheter och skyldigheter i samband med denna förordning, införa AI-system på ett välgrundat sätt samt bli medvetna om möjligheterna och riskerna med AI, och den potentiella skada den kan vålla.
63) AI-modell för allmänna ändamål:
en AI-modell, även när en sådan AI-modell tränas med en stor mängd data med hjälp av självövervakning i stor skala, som uppvisar betydande generalitet och på ett kompetent sätt kan utföra ett brett spektrum av distinkta uppgifter oavsett hur modellen släppts ut på marknaden och som kan integreras i en rad system eller tillämpningar i efterföljande led, utom AI-modeller som används för forsknings-, utvecklings- eller prototypverksamhet innan de släpps ut på marknaden.
65) Systemrisk:
en risk som är specifikt kopplad till den kapacitet för hög påverkansgrad som finns hos AI-modeller för allmänna ändamål och som påverkar unionsmarknaden i betydande grad på grund av sin räckvidd eller på grund av faktiska eller rimligen förutsebara negativa effekter på folkhälsa, säkerhet, allmän säkerhet, grundläggande rättigheter eller samhället som helhet, och som kan spridas i stor skala i hela värdekedjan.
66) AI-system för allmänna ändamål:
ett AI-system som bygger på en AI-modell för allmänna ändamål och som har kapacitet att tjäna en rad olika ändamål, både för direkt användning och för integrering i andra AI-system.
Frågor och svar om AI
Nedan går vi igenom vanliga frågor och svar om AI-förordningen.
Läs mer om AI
Kommunförbundets sakkunniga som kan ge mer information
Jaana Jormanainen
- Sakkunnig-, intressebevaknings- och utvecklingsuppgifter i synnerhet för att möjliggöra interoperabilitet och utnyttjande av information i kommunerna.
- Den offentliga förvaltningens informationsflöden, informationslager och utnyttjande av information.
- EU-intressebevakning och samarbete inom digitaliserings- och datafrågor.
- Projektet EU:s digitaliserings- och datalagstiftning ur kommunsektorns perspektiv och temanätverket.
Nätverk på svenska
Kommunförbundet erbjuder en mängd olika nätverk för samarbete och utvecklingsarbete inom många olika områden. Bekanta dig med de nätverk som är tvåspråkiga eller där arbetsspråket är svenska.
Kaffe med Uffe
En gång per månad bjuder Ulf Stenman, direktör för Kommunförbundet svenska verksamhet på ett virtuellt, aktuellt och spirituellt morgonkaffe på Teams.
Läs mera: Kaffe med Uffe
Digifika - nätverk för digitalisering
Kommunförbundet arrangerar korta sessioner med presentationer och diskussioner om digitalisering på svenska i nätverket för Digifika.