EU:s digitaliserings- och datalagstiftning för kommunsektorn

EU:s förordning om artificiell intelligens i kommunerna

På den temporära webbplatsen EU:s digitaliserings- och datalagstiftning för kommunsektorn sammanställer vi information om Europeiska unionens lagstiftning ur perspektiv som intresserar kommunerna och vi strävar efter att förtydliga bland annat lagstiftningens krav och konsekvenser. På den här webbplatsen har vi sammanställt information om Europeiska unionens förordning om artificiell intelligens (AI-förordningen) som begränsar och anger ramarna för användningen av artificiell intelligens (AI) även inom den offentliga sektorn. AI-förordningen trädde i kraft 1.8.2024 och den börjar tillämpas stegvis under en övergångsperiod på två år.

Mer information på webbplatsen EU:s digitaliserings- och datalagstiftning.

Öppna alla

AI-förordningen och övergångstiden i korthet

Europeiska unionens AI-förordning trädde i kraft 1.8.2024 och den börjar tillämpas stegvis under en övergångsperiod på två år. Ett system som använder artificiell intelligens och som tas i bruk 2.8.2026 eller senare ska överensstämma med förordningen. I fråga om AI-system som redan finns på marknaden eller som redan används är övergångsperioden fram till 2.8.2030. 

Beroende på AI-systemets avsedda användning och användningssätt förpliktar förordningen till uppföljning av systemet på olika nivåer. Det är dock inte nödvändigt att införa nya system för övervakning till följd av förordningen. Befintlig praxis som utarbetats utgående från andra författningar kan uppdateras till behövliga delar. 

Syftet med förordningen är att skydda individernas grundläggande rättigheter, hälsa och säkerhet mot konsekvenserna av användningen av AI-system som anses utgöra en risk. Utgångspunkten är att förordningen är marknadskontroll, men det som är exceptionellt i AI-förordningen är att även tillhandahållarna övervakas genom att de bland annat förpliktas till konsekvensbedömning avseende de grundläggande rättigheterna och dataskyddet samt lagring av loggar. Det är bra att komma ihåg att största delen av regleringen i AI-förordningen gäller utvecklare av AI-modeller med hög risk. AI-system med begränsad risk och tillhandahållare av systemen omfattas av betydligt mer begränsade skyldigheter. 

Kommunerna är i de flesta fall rollen tillhandahållare. Många AI-system som används som stöd i arbetet klassificeras rentav som AI-system med minimal risk, vilket innebär att de inte omfattas av regleringen. AI-förordningen måste förstås och iakttas mer omfattande om kommunen själv också utvecklar eller deltar i utvecklingen av AI-modeller.  Kraven på informationshanteringen, dataskyddsförordningen och principerna för god förvaltning utgör också en stark grund för iakttagandet av kraven i AI-förordningen.

 Utöver förmågan att identifiera när det är fråga om AI-användning med hög risk är det bra om kommunen särskilt bekantar sig med rollen som tillhandahållare samt med transparensskyldigheterna i fråga om AI-modeller för allmänna ändamål och AI-system med begränsad risk.

Kommunerna ska även beakta att kommuninvånarna i enlighet med artikel 86 i AI-förordningen har rätt att lämna in klagomål om AI-system och få förklaringar om beslut som grundar sig på AI-system med hög risk och som påverkar deras rättigheter. Även till dessa delar är det viktigt med egen dokumentation och informationshantering för att vid behov kunna fullgöra denna skyldighet.

Vad ska kommunen tänka på då den börjar tillämpa förordningen?

Det viktigaste första steget för kommunerna är att utreda kommunens tjänster och uppgifter i vilka AI-användningen definieras som användning med hög risk. Efter identifieringen av tjänsterna och uppgifterna ska kommunen undersöka behovet av att använda AI-system med hög risk i anslutning till dessa, vilken roll kommunen ska ha i varje enskilt fall och på vilket sätt AI ska användas. Det är alltså inte bara fråga om huruvida AI ska användas, utan också om hur AI används. 

Den höga risken bestäms således också enligt i vilken grad användningen av AI-systemet påverkar till exempel beslut. Om AI används som så kallad stödintelligens som stöd för människans beslutsfattande definieras AI-användningen som användning med hög risk. 

Om kommunen identifierar en uppgift eller tjänst i vilken man vill använda AI ska man alltså identifiera syftet med och sättet för AI-användningen samt vara medveten om skyldigheterna i fråga om den egna rollen. Det är bra att exempelvis utreda:

  • vilka nya åtgärdsbehov kommunen har i och med förordningen
  • hur tidigare system för övervakning och praxis eventuellt redan uppfyller skyldigheterna i förordningen
  • hur skyldigheterna i fråga om kommunens roller ska beaktas i upphandlingar och avtal
  • vem i kommunen som ska förstå förordningen eller AI och vad

Definition av den egna rollen och riskklassificeringen

Roller

Förordningen definierar olika roller för aktörer som arbetar med AI-system. Utöver tillsynsmyndigheterna är rollerna leverantörer, tillhandahållare, importörer och distributörer. Kommunerna är i många fall tillhandahållare (som under eget överinseende använder ett AI-system) om de inte själva utvecklar eller låter utveckla ett AI-system på marknaden, modifierar det väsentligt eller tar i bruk systemet i eget namn (leverantör), släpper ut AI-systemet på EU-marknaden (importör) eller på annat sätt tillhandahåller (distributör) ett AI-system från till exempel USA. När det gäller rollerna ska det beaktas att även om kommunen inte själv utvecklar eller säljer ett AI-system kan den ändå omfattas av leverantörsskyldigheterna om den AI-baserade funktionen står under kommunens namn.

Hög risk

Bilaga III till AI-förordningen fastställer avsedda ändamål då ett AI-system anses vara ett AI-system med hög risk.  Till dessa hör kritisk infrastruktur, utbildning och yrkesutbildning, sysselsättning, viktiga privata och offentliga tjänster (t.ex. hälso- och sjukvård och bankverksamhet), vissa system för brottsbekämpning, invandring och gränskontroll samt rättsliga och demokratiska processer (t.ex. valpåverkan). Som en process med hög risk betraktas således till exempel bedömningsprocessen i vilken en persons rätt till offentliga förmåner eller tjänster fastställs. Utöver det avsedda ändamålet är sättet hur AI används av betydelse, dvs. i vilken grad användningen av AI-systemen påverkar beslut.  Ett AI-system anses inte vara ett AI-system med hög risk om det inte utgör en betydande risk för skada på fysiska personers hälsa, säkerhet eller grundläggande rättigheter, inbegripet att det inte väsentligt påverkar resultatet av beslutsfattande. 

Detta är fallet om AI-systemet är avsett att

  1. utföra en snäv processuell uppgift,
  2. förbättra resultatet av tidigare slutförd mänsklig verksamhet,
  3. upptäcka beslutsmönster eller avvikelser från tidigare beslutsmönster och är inte avsett att ersätta eller påverka tidigare slutförd mänsklig bedömning utan ordentlig mänsklig granskning, eller
  4. utföra en förberedande uppgift för en bedömning som är relevant för de användningsfall som förtecknas i bilaga III.

Ett AI-system ska alltid anses vara ett AI-system med hög risk om det utför profilering av fysiska personer.

Kommissionen kommer att utfärda riktlinjer för definitionen, men först 2025–2026, så före det måste man själv tolka den höga risken utifrån förteckningarna i bilaga III och artikel 6.3 i förordningen.

Förbjudna användningsområden

Kommunerna ska också vara medvetna om förbjudna AI-användningsområden som anges i kapitel II artikel 5 i AI-förordningen. Oacceptabla risker omfattar bland annat manipulering, social poängsättning, biometrisk identifiering och kategorisering som skadar människors beteende. 

Systemrisk 

På AI-modeller med systemrisk tillämpas skyldigheter som gäller leverantörer och som behandlas i artiklarna 52–55. Kommunerna ska bedöma vilka konsekvenser användningen av AI-modeller för allmänna ändamål har för kritiska tjänster, såsom energi- och vattenförsörjning, samt vilken möjligheten är att AI-modellerna för allmänna ändamål leder till omfattande kränkningar av integriteten eller samhälleliga problem.

AI-system med begränsad risk, AI-modeller för allmänna ändamål och transparensskyldighet

I artikel 50 i AI-förordningen föreskrivs det om transparensskyldigheter för leverantörer och tillhandahållare av vissa AI-system. Dessa transparensskyldigheter gäller bland annat kommunernas och städernas chattbottar.  Det väsentliga i transparensskyldigheten är att kommuninvånarna ska vara medvetna om att de uträttar ärenden med AI eller att AI har skapat till exempel innehållet i kommunens meddelanden. Kommunerna ska ge information om AI-systemen, deras avsedda ändamål och hur det påverkar medborgarna. I fråga om beslut som fattats med hjälp av AI-system ska medborgarna ha möjlighet att överklaga besluten och få dem kontrollerade av människor.

I Finland omfattas regleringen av chattbottarna även av 6 a § i lagen om tillhandahållande av digitala tjänster som föreskriver om användning av tjänsteautomation vid rådgivning. Denna helhet kommer att preciseras och utvecklas under året när arbetsgruppen för Finansministeriets Projekt för undanröjande av hinder för digitalisering och informationens rörlighet omfattande granskar chattbot-frågan ur regleringsperspektivet. AI-förordningen i sig löser inte allt som ska begrundas i detta sammanhang.

Andra system med låg risk

Om användningen inte är förbjuden, inte anses ha hög risk eller omfattas av transparensskyldigheten och om det inte finns någon systemrisk är det fråga om ett AI-system med låg risk som inte regleras i förordningen. Sådana är exempelvis skräppostfilter, textredigeringsprogram och översättningsverktyg samt optimering av transportrutter.

AI-kunnighet

Artikel 4 i AI-förordningen uppmanar till åtgärder för att säkerställa att personal och aktörer som för deras räkning arbetar med drift av AI-system har tillräcklig AI-kunnighet. Med detta avses att deras tekniska kunskaper, erfarenhet och utbildning samt det sammanhang i vilket AI-systemen ska användas, och med hänsyn till de personer eller grupper av personer på vilka AI-systemen ska användas, ska beaktas i främjandet av AI-kompetensen. 

Främjandet av AI-kunnigheten definieras inte desto närmare i förordningen, men punkten gäller också kommunerna. I praktiken styr artikeln kommunerna att i sin verksamhet på något sätt säkerställa AI-kompetens och AI-förståelse hos de personer som i sitt arbete har att göra med AI-system. På grund av artikelns öppna formulering är den närmast målinriktad och vägledande och sanktioner eller tillsyn har inte fastställts.

Ett aktuellt exempel i kommunerna på främjandet av AI-kunnighet är Utbildningsstyrelsens och Undervisnings- och kulturministeriets rekommendationer för användningen av artificiell intelligens inom småbarnspedagogiken, den grundläggande utbildningen och på andra stadiet samt inom den fria bildningen som publicerades 2024. 

Förfarandekoder

I samband med AI-förordningen har Europeiska kommissionen inrättat europeiska byrån för artificiell intelligens (AI-byrån) som leder skapandet av gemensamma förfarandekoder för utveckling och användning av AI inom EU. Förfarandekoderna innefattar anvisningar om bland annat hur AI ska hållas uppdaterad, hur data som använts för AI-träning ska beskrivas, hur risker ska identifieras och hanteras. Syftet med förfarandekoderna är alltså att förenhetliga arbetsformerna och fungera som en anvisning för utvecklare av AI-modeller. Förfarandekoderna ska vara klara i början av maj 2025 och träda i kraft i augusti 2025. 

Det är inte obligatoriskt att iaktta förfarandekoderna utan de är främst avsedda för självreglering med tanke på utvecklare av AI-system. Tanken är att också skyldigheterna i förordningen uppfylls genom att förfarandekoderna iakttas. Även om kommunen inte själv utvecklar AI-modeller eller tar förfarandekoderna i bruk, är det bra för kommunerna att hålla ett öga på beredningen av dem och ge tillhandahållarnas synpunkter på behov och iakttagelser till exempel i fråga om behandlingen av personuppgifter. Formuleringen av förfarandekoderna kan påverka tolkningen och tillämpningen av AI-förordningen. 

Det ska ordnas remissbehandlingar om förfarandekoderna genom vilka kommunerna kan lyfta fram sina egna synpunkter. 

Nationella tillsynsmyndigheter, rådgivande organ och gemensamma anvisningar

AI-förordningen är i första hand marknadskontroll och de nationella tillsynsmyndigheterna består till stor del av marknadskontrollmyndigheter. Utöver tillsyn ska de nationella myndigheterna även ge råd om tolkningen och genomförandet av lagen. Medlemsstaterna ska senast i augusti 2025 utse de nationella myndigheterna och ange hur de kan kontaktas. Centrala marknadskontrollmyndigheter kommer åtminstone att vara Dataombudsmannen, Traficom och Tukes, men även andra myndigheter kommer att ha tillsynsansvar. Regeringens proposition om de nationella tillsynsmyndigheterna sänds på remiss hösten 2024 med ett närmare förslag om vilka tillsynsmyndigheterna ska vara för Finlands del.

Största delen av skyldigheterna i förordningen träder i kraft först efter augusti 2025 så innan myndigheterna utses finns inga lagstadgade skyldigheter med stöd av hela förordningen, men kommunerna behöver naturligtvis råd om tolkningen av lagen redan före det. Europeiska kommissionen har inrättat en europeisk styrelse för artificiell intelligens (styrelsen), men den ger främst råd på EU-nivå och torde inte vara just till någon hjälp för kommunernas behov. Styrelsen har dock undergrupper som inriktar sig på olika helheter. Om det uppstår ett behov hos kommunerna att inrätta en undergrupp för kommunerna och aktörerna inom den offentliga förvaltningen ska detta tas via arbetsgruppen för nationellt genomförande till styrelsen för övervägande. I Finland kan arbetsgruppen för nationellt genomförande av AI-förordningen och Arbets- och näringsministeriet vid behov ge råd om tillämpningen av förordningen tills myndigheterna har utsetts. Europeiska kommissionen förväntas ännu under 2024 ge riktlinjer för bland annat definitionen av AI-system och tillämpningen av förbud.

För närvarande finns det ingen tydlig nationell AI-strategi för den offentliga förvaltningen eller Finland.  När det gäller artificiell intelligens finns det många slags allmänna anvisningar och etiska principer, men i fråga om tolkningen av AI-förordningen är särskilt kommunperspektivet tillsvidare litet. Etiska anvisningar har till exempel sammanställts av Myndigheten för digitalisering och befolkningsdata, Europeiska kommissionen och Finansministeriet. En del kommuner, såsom Tammerfors och Helsingfors, har också själva utarbetat etiska principer för AI-användningen. 

Som tidigare nämnts utgör också kraven på informationshanteringen, dataskyddsförordningen och principerna för god förvaltning en stark grund för iakttagandet av kraven i AI-förordningen. AI-byrån ska utarbeta mallar för konsekvensbedömningen avseende grundläggande rättigheter och för teknisk dokumentation. Också Myndigheten för digitalisering och befolkningsdata håller på att bereda mallar för upphandlingar och konsekvensbedömningar. I fortsättningen länkar vi kommande publicerade mallar under ”Användbara länkar”-avsnittet.

Regulatoriska sandlådor för AI

I enlighet med artikel 57 i AI-förordningen ska medlemsstaterna säkerställa att det på nationell nivå tillhandahålls verklighetsanpassade regulatoriska sandlådor för AI senast i augusti 2026. I likhet med förfarandekoderna gäller sandlådorna närmast utvecklarna av AI-modellerna, men kommunerna kan ha en väsentlig roll som leverantörer av exempelvis data i form av kommuninvånarnas personuppgifter. En slutrapport över testerna lämnas till kommissionen och europeiska styrelsen för artificiell intelligens genom vilka kommunerna via styrelsens informationsplattform kan få information om sandlådornas lärdomar och utmaningar också i fråga om sådana tester som de själva inte har deltagit i.

Arbets- och näringsministeriet inleder planeringen av sandlådorna i slutet av 2024. Remissbehandlingen för sandlådorna planeras till våren 2025.

Sanktioner

AI-förordningen fastställer sanktionsavgifter för företag för försummelse av skyldigheterna i förordningen. Sanktionsavgifternas belopp beror på företagets storlek och omsättning. Det har ännu inte föreskrivits om sanktioner för aktörer inom den offentliga förvaltningen och med hänsyn till förordningen har det lämnats nationellt handlingsutrymme för detta. Utgångspunkten i arbetsgruppen för nationellt genomförande är att detta inte ska leda till sanktioner för myndigheterna, och därmed inte heller för kommunerna. 

Beslut om sanktioner inom den offentliga förvaltningen ska offentliggöras på nationell nivå senast i augusti 2025. Enligt praxis är en första sanktion en varning eller anmärkning och möjlighet att rätta till verksamheten. Tanken för närvarande är att sanktionerna ska fungera på samma sätt som i fråga om dataskyddsförordningen. 

För närvarande kan sanktionsavgifter med stöd av dataskyddsförordningen inte påföras aktörer inom den offentliga sektorn i Finland. En utvidgning av sanktionsavgifterna till att även omfatta den offentliga sektorn har dock skrivits in i det nuvarande regeringsprogrammet. I de övriga nordiska länderna har det föreskrivits om möjligheten att med stöd av dataskyddsförordningen påföra sanktionsavgifter även för aktörer inom den offentliga sektorn.

EU:s digitaliserings- och datalagstiftning för kommunsektorn

Kommunförbundet har inlett ett projekt som utreder EU:s digitaliserings- och datalagstiftning inom kommunsektorn som pågår fram till 2025. AI-förordningen var den första som behandlades tillsammans med ministeriets representant.

Projektet kommer även i fortsättningen att förtydliga annan lagstiftning på webbplatsen, såsom vad varje EU-lagstiftning om digitalisering och data innebär för kommunerna. Dessutom ordnas hösten 2024 intervjuer och workshoppar för kommunsektorn. Om kommunen eller staden har funderingar kring samma frågor är ni välkomna med i nätverket under projektets gång. 

Anvisningar och ytterligare information finns på webbsidan EU:s digitaliserings- och datalagstiftning för kommunsektorn.

Användbara länkar om artificiell intelligens

Informationssäkerhet

VAHTI-nätverket som upprätthålls av Myndigheten för digitalisering och befolkningsdata sammanför ledningen för de organisationer som ansvarar för utvecklingen och styrningen av den digitala säkerheten samt de sakkunniga som ansvarar för den digitala säkerheten.

AI-kunnighet och AI-kompetens

Förordningen om artificiell intelligens

Andra länkar

Definitioner

Aktörernas roller

Artikel 3

3) Leverantör:

en fysisk eller juridisk person, en offentlig myndighet, en byrå eller ett annat organ som utvecklar ett AI-system eller en AI-modell för allmänna ändamål eller som har ett AI-system eller en AI-modell för allmänna ändamål och släpper ut det eller den på marknaden eller tar ett AI-system i bruk i eget namn eller under eget varumärke, antingen mot betalning eller kostnadsfritt.

4) Tillhandahållare:

en fysisk eller juridisk person, offentlig myndighet, en byrå eller annat organ som under eget överinseende använder ett AI-system, utom när AI-systemet används inom ramen för en personlig icke-yrkesmässig verksamhet.

6) Importör:

en fysisk eller juridisk person som befinner sig eller är etablerad i unionen och som släpper ut ett AI-system på marknaden som bär namnet på eller varumärket för en fysisk eller juridisk person som är etablerad i ett tredjeland.

7) Distributör:

en annan fysisk eller juridisk person i leveranskedjan än leverantören eller importören, som tillhandahåller ett AI-system på unionsmarknaden.

Andra definitioner:

Artikel 3

1) AI-system:

ett maskinbaserat system som är utformat för att fungera med varierande grad av autonomi och som kan uppvisa anpassningsförmåga efter införande och som, för uttryckliga eller underförstådda mål, drar slutsatser härledda från den indata det tar emot, om hur utdata såsom förutsägelser, innehåll, rekommendationer eller beslut som kan påverka fysiska eller virtuella miljöer ska genereras.

12) Avsett ändamål:

den användning för vilken ett AI-system är avsett av leverantören, inbegripet det specifika användningssammanhanget och de specifika användningsvillkoren, enligt specifikationerna i de uppgifter som tillhandahålls av leverantören i bruksanvisningen, reklam- eller försäljningsmaterial och uttalanden samt i den tekniska dokumentationen.

20) Bedömning av överensstämmelse:

processen att visa om kraven i kapitel III avsnitt 2 avseende ett AI-system med hög risk har uppfyllts.

55) Regulatorisk sandlåda för AI:

en kontrollerad ram som inrättats av en behörig myndighet och som erbjuder leverantörer eller potentiella leverantörer av AI-system möjlighet att utveckla, träna, validera och testa, när så är lämpligt under verkliga förhållanden, ett innovativt AI-system, enligt en specifik sandlådeplan för en begränsad tid under regulatorisk tillsyn.

56) AI-kunnighet:

kompetens, kunskap och förståelse som gör det möjligt för leverantörer, tillhandahållare och berörda personer att, med hänsyn till deras respektive rättigheter och skyldigheter i samband med denna förordning, införa AI-system på ett välgrundat sätt samt bli medvetna om möjligheterna och riskerna med AI, och den potentiella skada den kan vålla.

63) AI-modell för allmänna ändamål:

en AI-modell, även när en sådan AI-modell tränas med en stor mängd data med hjälp av självövervakning i stor skala, som uppvisar betydande generalitet och på ett kompetent sätt kan utföra ett brett spektrum av distinkta uppgifter oavsett hur modellen släppts ut på marknaden och som kan integreras i en rad system eller tillämpningar i efterföljande led, utom AI-modeller som används för forsknings-, utvecklings- eller prototypverksamhet innan de släpps ut på marknaden.

65) Systemrisk:

en risk som är specifikt kopplad till den kapacitet för hög påverkansgrad som finns hos AI-modeller för allmänna ändamål och som påverkar unionsmarknaden i betydande grad på grund av sin räckvidd eller på grund av faktiska eller rimligen förutsebara negativa effekter på folkhälsa, säkerhet, allmän säkerhet, grundläggande rättigheter eller samhället som helhet, och som kan spridas i stor skala i hela värdekedjan.

66) AI-system för allmänna ändamål:

ett AI-system som bygger på en AI-modell för allmänna ändamål och som har kapacitet att tjäna en rad olika ändamål, både för direkt användning och för integrering i andra AI-system.

Frågor och svar om AI

Nedan går vi igenom vanliga frågor och svar om AI-förordningen.

Vilka kommunala uppgifter och tjänster klassificeras som uppgifter och tjänster med hög risk i samband med artificiell intelligens?

I fråga om AI klassificeras kritisk infrastruktur, utbildning och yrkesutbildning, sysselsättning, viktiga privata och offentliga tjänster (t.ex. hälso- och sjukvård och bankverksamhet), vissa system för brottsbekämpning, invandring och gränskontroll samt rättsliga och demokratiska processer (t.ex. valpåverkan) som tjänster med hög risk.


AI-system ska alltid betraktas som system med hög risk om AI-systemet utför profilering av kommuninvånarna eller medför betydande risk för skada på kommuninvånarnas hälsa, säkerhet eller grundläggande rättigheter. AI-system betraktas också som system med hög risk om det väsentligt påverkar resultatet av beslutsfattandet.
 

När är AI-användning ”stödintelligens”?

Användningen kan klassificeras som stödintelligens om AI-systemets syfte är att

  1. utföra en snäv processuell uppgift,
  2. förbättra resultatet av tidigare slutförd mänsklig verksamhet,
  3. upptäcka beslutsmönster eller avvikelser från tidigare beslutsmönster och är inte avsett att ersätta eller påverka tidigare slutförd mänsklig bedömning utan ordentlig mänsklig granskning, eller
  4. utföra en förberedande uppgift för en bedömning som är relevant för de användningsfall som förtecknas i bilaga III.

Förpliktar AI-förordningen kommunerna att använda AI?

AI-förordningen förpliktar inte kommunerna att använda AI. 

Vid ibruktagande av AI är det bra att ta hänsyn till kommunens behov och funktioner – kan AI användas i någon uppgift, vad är möjligt att utföra med AI som inte tidigare har varit möjligt på grund av arbetsmängd eller andra svårigheter.

Vem i kommunen har ansvaret för att bereda tillämpningen av AI-förordningen?

I många kommuner genomförs informationshanteringsmodellen, konsekvensbedömningarna och datasäkerhets-/dataskyddsbedömningarna som ett samarbete. I arbetet medverkar informationsförvaltningen, dataskyddet, datasäkerheten och förvaltningen, och vid behov fås hjälp av in-house-experter eller Kommunförbundet. AI-förordningen bör beaktas vid riskhantering, upphandlingar eller utveckling av funktioner som använder sig av artificiell intelligens.


Ansvaret för att uppmärksamma AI-förordningen bör dock inte ligga hos en enda person eller sektor, eftersom det behövs förståelse för skyldigheterna i förordningen i många olika sammanhang och sektorer. Små upphandlingar är ett exempel där personer från många olika bakgrunder och sektorer kan delta i beredningen. Det är en god idé att inte bara använda sig av externa nätverk, utan också säkerställa att de personer som arbetar med AI-system har kompetens och förståelse för artificiell intelligens, och diskutera utmaningar och frågor som ska beaktas både internt och mellan olika nätverk.
 

Vad bör kommunen beakta vid upphandling och avtal vid ibruktagande av artificiell intelligens?

När en kommun upphandlar ett AI-system kan det verka svårt att definiera föremålet för upphandlingen och genomföra upphandlingsförfarandet. Ett AI-system är dock ett föremål för upphandling som alla andra, och det finns redan ett brett utbud av olika alternativ och leverantörer på marknaden. När ett AI-system upphandlas för första gången framhävs vikten av marknadskännedom och marknadsdialog.

Vid upphandlingen är det viktigt att identifiera vilken roll kommunen har och vad AI-systemets riskklassificering är. Rollfördelningen i AI-förordningen slår fast olika skyldigheter för olika roller. I egenskap av köpare anses kommunen ofta vara tillhandahållaren. Kommunen kan dock också ta rollen som leverantör, om den deltar i utvecklingen av systemet. Även systemets riskklassificering innebär varierande skyldigheter för aktörerna. Om det gäller ett så kallat system med hög risk hör det enligt AI-förordningen till leverantörens roll att till exempel registrera systemet i EU:s databas och ge tillhandahållaren tillräckliga uppgifter och instruktioner om hur systemet används. När en kommun ska upphandla ett system med hög risk ska dem se till att den får uppgifter om systemets CE-märkning samt instruktioner för hur systemet används. Kommunen ska även kontrollera att systemet fungerar enligt de givna instruktionerna. Kommuner som agerar tillhandahållare för system med hög risk måste också registrera sig i EU:s databas. 

När en kommun planerar att upphandla ett AI-system måste den se till att de olika bedömningar som lagen kräver genomförs i ett tillräckligt tidigt skede. På så sätt identifieras eventuella risker som är förknippade med användningen av systemet, och nödvändiga åtgärder kan vidtas. 

  • När det gäller ett system med hög risk ska kommunen före ibruktagandet göra en konsekvensbedömning avseende grundläggande rättigheter i enlighet med kraven i AI-förordningen. Resultaten av bedömningen ska rapporteras till den behöriga myndigheten. 
  • Om personuppgifter behandlas i ett system med hög risk kräver användningen av systemet sannolikt att det görs en konsekvensbedömning av dataskyddet i enlighet med dataskyddsförordningen. Konsekvensbedömningen avseende grundläggande rättigheter som nämndes ovan kan göras i samband med konsekvensbedömningen av dataskyddet. 
  • Om det är fråga om en omfattande administrativ reform som påverkar innehållet i informationshanteringsmodellen, eller ibruktagande av ett informationssystem, kräver informationshanteringslagen att det görs en konsekvensbedömning. 
  • Kommunen ska också bland annat se till att system med hög risk övervakas av personer med tillräcklig kompetens och att uppgifterna som matas in i systemet är ändamålsenliga och representativa. 

I avtalen slås fast vilka ansvar och skyldigheter olika parter har med anledning av lagstiftningen. I samband med artificiell intelligens är även frågor som relaterar till data och användarrättigheter centrala avtalsfrågor. Dessutom ska man vid behov även beakta de skyldigheter som behandling av personuppgifter föranleder, i enlighet med dataskyddsförordningen. 

På plattformen Public Buyers Community har gemenskapen Procurement of AI publicerat ett förslag till standardavtalsklausuler som kan pilottestas vid upphandlingen av AI-lösningar.  Klausulerna bygger på standardklausuler för upphandling av algoritmiska system som utvecklades av Amsterdams stad år 2018. När det kommer till klausulerna bör det dock noteras att det är fråga om ett utkast från tiden innan AI-förordningen antogs, och att det endast innehåller bestämmelser om frågor som omfattades av tillämpningen för utkastet till AI-förordningen. Det är inte ett officiellt EU-dokument och återspeglar inte EU-kommissionens officiella ståndpunkt. Mer information om Public Buyers Community finns på kommissionens webbplats.

Vilka system för övervakning och praxis uppfyller eventuellt redan skyldigheterna i förordningen?

Tidigare dokumentation, konsekvensbedömningar, datahantering samt efterlevnad av dataskyddsförordningen och etiska principer kan åtminstone delvis uppfylla kraven i AI-förordningen.

Uppgifter som berör kraven i AI-förordningen, såsom konsekvensbedömning avseende grundläggande rättigheter (skyldigheter för tillhandahållare av AI-system med hög risk) eller kvalitetskontrollsystemet (skyldigheter för leverantörer av AI-system med hög risk), kan också ha samlats in tidigare.

Det är alltså värt att använda en informationshanteringsmodell och dataskyddsbedömningar som grund för bedömningarna.

Kommunförbundets sakkunniga som kan ge mer information

Jaana Nevalainen
Ansvarsområden
  • Sakkunnig-, intressebevaknings- och utvecklingsuppgifter i synnerhet för att möjliggöra interoperabilitet och utnyttjande av information i kommunerna.
  • Den offentliga förvaltningens informationsflöden, informationslager och utnyttjande av information.
  • EU-intressebevakning och samarbete inom digitaliserings- och datafrågor.
  • Projektet EU:s digitaliserings- och datalagstiftning ur kommunsektorns perspektiv och temanätverket.
Läs mer om dessa teman

Kaffe med Uffe

En gång per månad bjuder Ulf Stenman, direktör för Kommunförbundet svenska verksamhet på ett virtuellt, aktuellt och spirituellt morgonkaffe på Teams.  
Läs mera: Kaffe med Uffe

Digifika - nätverk för digitalisering

Kommunförbundet arrangerar korta sessioner med presentationer och diskussioner om digitalisering på svenska i nätverket för Digifika.

Mer info om nätverket för digifika.