NYHETSBREV

AI Act: Den siste reguleringen i "The Big Five" har trådt i kraft!

Den 1. august 2024 trådte EUs siste store regulering, Artificial Intelligence Act (AIA), i kraft. Dette markerer fullføringen av "The Big Five" – en samling EU-reguleringer som utgjør kjernen i EUs Data Strategy. De fem reguleringene har som mål å fremme rettferdig konkurranse, øke datadeling og styrke personvern. Samtidig vil de sikre at utviklingen av digitale tjenester, særlig kunstig intelligens, skjer på en trygg og ansvarlig måte. Selv om reguleringene ennå ikke gjelder i Norge, er de forventet å bli implementert gjennom EØS-avtalen. For norske virksomheter som opererer i EU, anbefales det å starte forberedelser allerede nå.

"The Big Five"

The Big Five er en betegnelse brukt på de fem store EU-reguleringene som sammen utgjør en betydelig del av EUs Data Strategy. De fem store reguleringene er:

  1. Data Act
  2. Data Governance Act
  3. Digital Markets Act
  4. Digital Services Act
  5. Artificial Intelligence Act

Målet med EU Data Strategy er å jevne ut konkurranse i det digitale markedet, sørge for økt datadeling og legge til rette for en stadig voksende «dataøkonomi» innad i EU.

Samtidig som det digitale landskapet fortsetter å vokse skal de nye reguleringene også sørge for at personvernet, sikkerheten og de grunnleggende rettighetene til borgerne ivaretas.

Her gir vi deg en kort introduksjon til reguleringene i The Big Five og kort status for eventuell implementering og ikrafttredelse i Norge.

1. Data Act (DA)

Data Act, eller Dataforordningen, trådte i kraft i EU 11. januar 2024 og vil være gjeldende i EU fra september 2025.

Dataforordningen fastsetter nye regler som i større grad enn i dag muliggjør virksomheters tilgang til data og gjenbruk av data, og er ment å tilrettelegge for at data i større grad kan gjenbrukes og deles mellom virksomheter, eller i særskilte tilfeller mellom virksomheter og myndighetene.

Dataforordningen regulerer tilgang og deling av ikke-personlig data som i all hovedsak er data fra enheter koblet til internett, som IoT-produkter med tilhørende tjenester og programvare. Forordningen legger også til rette for at brukerne enklere skal få tilgang til data som genereres av slike produkter, og skal gi brukerne økte muligheter til dataportabilitet.

Det er ikke alle virksomheter som er underlagt plikten til å dele data. Forordningen oppstiller unntak som innebærer at mikrovirksomheter (virksomheter med under 10 ansatte og en årlig omsetning på under 2 millioner) og små virksomheter (virksomheter med under 50 ansatte og en årlig omsetning på under 10 millioner) ikke plikter å dele

data eller tilpasse produktene sine for datadeling. Tilsvarende gjelder for mellomstore virksomheter (virksomheter med under 250 ansatte og en årlig omsetning under 50 millioner) som har vært ansett som en mellomstor virksomhet i mindre enn ett år, eller for produkter som en mellomstor virksomhet har hatt på markedet i under 1 år. Mellomstore virksomheter kan dermed sies å ha fått en ettårig karensperiode fra forpliktelsen til å dele data.

Omfattede virksomheter må også bl.a. sikre egne rettigheter til bruk av data, utarbeide rutiner for hvordan data kan utleveres og deles effektivt, samt sørge for at de nye rutinene etter dataforordningen ikke er i strid med andre regelverk virksomheten er underlagt, for eksempel personvernforordningen (GDPR).

Forordningen er vurdert som relevant for EØS og det er derfor forventet at den vil bli innlemmet i EØS-avtalen og dermed implementert i norsk rett på sikt.

2. Data Governance Act (DGA)

Data Governance Act, eller Dataforvaltningsforordningen, ble formelt vedtatt i EU 4. mai 2022, og ble gjeldende i EU den 24. september 2023. Forskjellene mellom DGA og DA er at DGA gir et bredere rammeverk for bruk og deling av offentlig data, mens DA også angir konkrete rettigheter til brukere av tilknyttede enheter (IoT-produkter).

Grunntanken bak DGA er at data som har blitt skapt eller samlet inn av offentlige myndigheter (eller private virksomheter på vegne av det offentlige) skal komme samfunnet som helhet til gode. DGAs formål er dermed å legge til rette for økt datadeling, slik at data, som nevnt ovenfor, frivillig kan deles på tvers av ulike offentlige myndigheter. På denne måten skal DGA sørge for økt potensiale for datadrevet innovasjon i samfunnet ved at data kan deles, samtidig som personvern og informasjonssikkerhet ivaretas.

Forordningen omhandler data i både offentlig og privat sektor, og introduserer flere ulike roller, som igjen har ulike funksjoner og krav. «Data Intermediation Service Providers (DISP)» er tilsynsmyndighetsgodkjente enheter som fungerer som en form for rådgivende datahub, og som muliggjør deling av data mellom de som sitter på dataen («Data Holders») og potensielle brukere av dataen («Data Users»). DISP skal også tilgjengeliggjøre data for eventuelle eiere av personopplysningene («de registrerte»/«Data Subjects») og sørge for ivaretakelse av deres rettigheter etter GDPR. DISP skal også gi råd til Data Holders og Data Users om hvordan de trygt kan dele data og hvilke eventuelle avtaler som kreves.

Forordningen vurderes som EØS-relevant, da den inngår som en regulering av det europeiske indre marked, og forordningen er nå under vurdering i EØS/EFTA-statene. Det forventes at forordningen vil bli implementert i norsk rett på sikt.

3. Digital Markets Act (DMA)

Digital Markets Act (DMA), eller Forordningen om digitale markeder, ble formelt vedtatt 14. september 2022 og ble, med unntak for enkelte bestemmelser, gjeldende i EU fra 2. mai 2023.

DMA er EUs flaggskipregelverk som adresserer problemene som globale, dominerende plattformer skaper ved at de får uforholdsmessig stor nytte av fordelene i det digitale markedet. Formålet med DMA er dermed å sørge for et mer rettferdig og konkurransedyktig digitalt marked i EU.

DMA introduserer begrepet «gatekeepers» for de store globale aktørene som dominerer markedet, og EU-kommisjonene utnevnte den 6. september 2023 de 6 første «gatekeepers» under DMA.

Disse er Alphabet (morselskapet til Google), Amazon, Apple, ByteDance (selskapet bak TikTok), Meta og Microsoft.

Gatekeeperne har under DMA en rekke plikter og krav, herunder bl.a. å gi andre virksomheter tilgang til data de selv genererer, samt å gi andre virksomheter muligheter til å promotere tilbud og inngå kontrakter i gatekeeperens plattform med gatekeeperens kunder. Videre oppstiller DMA en rekke forbud, bl.a. forbud mot å favorisere egne varer og tjenester i ulike rangeringer, samt å sammenstille data på tvers av ulike tjenester eller plattformer uten samtykke.

Brudd på DMA kan medføre bøter på inntil 10 % av global årlig omsetning, eller 20 % ved gjentatte brudd. I ekstraordinære tilfeller, ved systematisk og gjentatte brudd, er Kommisjonen også bemyndiget til å vedta ytterligere tiltak, som å forplikte en gatekeeper til å selge en virksomhet eller deler av den.

Forordningen er vurdert som EØS-relevant og er for tiden til vurdering i EØS/EFTA-statene. Forordningen vil trolig implementeres i Norge i løpet av de kommende årene.

4. Digital Services Act (DSA)

Digital Services Act (DSA), eller Forordning om Digitale Tjenester, ble vedtatt 19. oktober 2022 og ble gjeldende i EU den 17. februar 2024.

DSA har som mål å sørge for et tryggere digitalt liv for forbrukere med åpne, gjennomsiktige og pålitelige plattformer. DSA vil redusere risikoen for sosial manipulasjon og eksponering av ulovlig innhold og dermed gi større demokratisk kontroll over plattformene. EU-kommisjonen varslet den 12. juli 2024 plattformen «X» (tidligere Twitter) om en innledende vurdering om brudd på DSA. X kan med dette risikere en bot på opptil 6 % av sin globale omsetning, altså $ 204 mill. eller 2,14 mrd. kroner.

DSA erstattet tidligere praksis der det var plattformeierne selv som i stor grad modererte og besluttet hvilket innhold som skulle aksepteres på deres egen plattform.

Pliktsubjekter under DSA er delt inn i fire kategorier;

1) Alle «mellomliggende» formidlingstjenester som tilbyr nettverks infrastruktur (ekomtilbydere og Internet Service Providers): Disse har bl.a. plikt til å informere om hvilke retningslinjer og prosedyrer som brukes for å moderere innhold, og årlig rapportere om foretatt moderering,

2) Tjenester som lagrer innhold (webhosting og skytjenester): Disse må bl.a. sørge for å ha rutiner for varsling og fjerning av ulovlig innhold, og gi begrunnelse hvis noe fjernes,

3) Digitale plattformer (nettmarkedsplasser, appbutikker og SoMe-plattformer): Disse har bl.a. plikt til å opprette effektive og brukervennlige interne klagesystemer, opprette rutiner for å forhindre misbruk, samt ivareta krav til bruk av reklame,

4) De største digitale plattformene (VLOPs og VLOSEs): Disse må bl.a. vurdere risiko forbundet med bruken av plattformen, samt sørge for jevnlig uavhengig revisjon og offentliggjøring av rapport.

Rettsakten er vurdert som EØS-relevant og vurderes nå av en arbeidsgruppe i EØS/EFTA-landene. Det forventes dermed at forordningen vil implementeres i Norge på sikt. Norge utarbeidet også i 2022 en egen norsk posisjon for DSA om forbud mot atferdsbasert markedsføring mot barn og unge. Denne kan leses her.

5. Digital Intelligence Act (AIA)

Artificial Intelligence Act (AIA) eller KI-forordningen ble vedtatt 21. mai 2024 og trådte i kraft i EU den 1. august 2024. Etter ikrafttreden vil det være en overgangsperiode på 6- 36 måneder der ulike AI systemer vil bli omfattet trinnvis. Regelverket vil bli implementert raskt og likt i alle EUs medlemsland siden dette er en forordning.

AIA har som mål å sørge for en sikker og transparent utvikling og bruk av AI-systemer og -modeller, hvor balansen mellom borgernes sikkerhet og samfunnets behov for utvikling av nye og innovative AI-systemer er ivaretatt. AIA vil få bred innvirkning siden regelverket vil gjelde for alle leverandører av AI-systemer og for virksomheter som tar i bruk AI.

Forordningen har lagt opp til en risikobasert tilnærming hvor AI-systemer klassifiseres ut ifra om bruken medfører en uakseptabel, høy, begrenset eller minimal risiko for borgernes helse, sikkerhet og grunnleggende rettigheter.

Det er også i forordningen lagt ned forbud for AI-systemer med en uakseptabel høy risiko. Dette er systemer som ved bruk av biometri kan identifisere mennesker i sanntid, systemer som gir sosial scoring og systemer som potensielt kan manipulere menneskers atferd og handlinger.

AIA fokuserer i stor grad på AI-systemer klassifisert som høyrisiko systemer som igjen pålegges en rekke forpliktelser for at de skal være lovlige. AIA krever bl.a. at slike systemer må være underlagt et risikostyringssystem, dataen de bygger på må være av høy kvalitet, det må foreligge detaljert dokumentasjon om hvordan systemet fungerer, leverandøren må dele informasjon med brukerne, det må være menneskelig tilsyn både ved utforming og implementering av systemet, og den må følge standarder for sikkerhet.

Det anbefales at norske virksomheter som har tatt i bruk eller utviklet AI-systemer allerede nå starter prosessen med å risikovurdere disse systemene for å avgjøre om de vil bli klassifisert som høyrisiko, og dermed være underlagt strengere regler. Videre anbefales det at norske virksomheter utarbeide en AI-strategi med tilhørende retningslinjer for bruk av AI i virksomheten.

AIA er vurdert som EØS-relevant og det er forventet innlemmelse i EØS-avtalen. Rettsakten er EØS-relevant og forordningen får virkning i Norge i løpet av første halvdel av 2026.

Anbefalte tiltak for omfattede virksomheter allerede nå

Som nevnt ovenfor er det trolig en god tid igjen til de ulike regelverkene får virkning i Norge. For virksomheter som tilbyr tjenester ut i Europa, eller leverer tjenester til andre Europeiske virksomheter, kan det likevel hende av regelverkene får indirekte virkning for virksomheten før de implementeres i norsk rett.

Det anbefales likevel at virksomheter allerede nå begynner kartlegging og planlegging slik at de er klar den dagen kravene gjelder for deres virksomhet. Dette innebærer bl.a. å:

  1. Vurder om virksomheten blir eller allerede er omfattet av de ulike regelverkene, samt fastslå hvilke krav som stilles til virksomheten og de tjenestene som tilbys.
  2. Gjør ledelsen og styret i virksomheten oppmerksomme på de fremtidige kravene og allerede nå få forankring for videre arbeid.
  3. Skaff oversikt over ansvarlige roller og personer i virksomheten og begynn identifisering av relevante avdelinger og interessenter, herunder IT-avdeling, juridisk avdeling, etterlevelses-team, eksterne juridisk rådgivere, leverandører og samarbeidspartnere.
  4. Kartlegg virksomheten og få en oversikt over hvor forberedt virksomheten er med tanke på å ivareta de nye kravene (GAP-analyse).
  5. Skaff oversikt over budsjettsituasjonen og sett rammer for fremtidige etterlevelsesprosjekter.
  6. Prioriter oppgaver og påbegynn planlegging av gjennomføringen.

Ta kontakt med oss for en vurdering av om deres virksomhet vil være omfattet av én eller flere av reguleringene i The Big Five.

Christopher Hestnes

Partner

+47 400 79 778

che@adeb.no

Les mer

Tommy Dahlen

Partner

+47 994 57 460

tod@adeb.no

Les mer

Trine Hammervold

Advokatfullmektig

+47 454 27 053

trh@adeb.no

Les mer

Møt teknologiteamet