Kaikki vuoden 2025 koulutukset -25 %! Päättäville jäsenille 10 % lisäalennus! Alennus lasketaan kassalla. Katso ehdot
Tekoälysäädöksen ABC: Tärkeimmät kohdat haltuun
Odotus on ohi! Aloita syksy tehokkaasti uunituoreen tekoälysäädöksen asettamien vaatimusten parissa.
Elokuussa voimaan astunut EU:n tekoälysäädös käynnisti lähtölaskennan kaikille tekoälyä hyödyntäville, kehittäville ja myyville organisaatioille. Vaikka säädöstä sovelletaan täysimääräisesti vasta kahden vuoden kuluttua, ensimmäiset vaatimukset tulevat voimaan jo paljon aiemmin. Tämä tiukka aikataulu asettaa yrityksille merkittävää painetta – sääntöjen laiminlyönti voi johtaa jopa 35 miljoonan euron sakkoihin tai 7 prosenttiin liikevaihdosta, puhumattakaan mahdollisesta mainehaitasta. Säädös jakaa tekoälyjärjestelmät eri riskiluokkiin, ja jokaiselle luokalle on omat vaatimuksensa.
Mitkä ovat ne tärkeimmät toimenpiteet, jotka organisaation on toteutettava ja mihin mennessä? Olemme koonneet tähän blogiin keskeiset päivämäärät ja askelmerkit, jotka teitä auttavat valmistautumaan tulevaan.
Helmikuu 2025
Helmikuun 2. päivään mennessä tulevat voimaan kiellot, jotka koskevat kohtuuttoman riskin tekoälysovelluksia. Näihin kuuluvat muun muassa tekoälyjärjestelmät, jotka manipuloivat ihmisten käyttäytymistä, kuten algoritmit, jotka on suunniteltu muokkaamaan ihmisten ostopäätöksiä hyödyntämällä käyttäytymistietoja ilman heidän tietoista suostumustaan. Tekoälyjärjestelmien tarjoajien ja käyttöönottajien on varmistettava, että heidän henkilöstönsä ymmärtää tekoälyn vastuullisen käytön vaatimukset. Tämä edellyttää työntekijöiden kouluttamista tekoälylukutaidossa, toisin sanoen kouluttaa tekoälyä käyttävät työntekijänsä.
- Organisaatioiden tulee ymmärtää asetuksen vaikutukset omaan liiketoimintaansa. Asetuksesta nousevat vaatimukset riippuvat organisaation roolista: onko organisaatio tekoälyjärjestelmän palveluntarjoaja vai käyttöönottaja? Kokonaiskuvaa voi hahmottaa tekemällä esimerkiksi nykytila-arvioinnin tai tekoälyn kypsyysarvioinnin.
- Organisaatioiden on varmistettava, että niiden henkilöstöä on ohjeistettu tekoälyn käytöstä.
- Kukin tekoälyjärjestelmän riskiluokka sisältää omia erityisvelvoitteita. On tärkeää, että organisaatiot aloittavat viimeistään nyt ajantasaisen luettelon ylläpidon kaikista käyttämistään tekoälyjärjestelmistä.
Elokuu 2025
Elokuussa 2025 astuvat voimaan yleiskäyttöisiin tekoälymalleihin liittyvät velvoitteet ja hallintamallit. Tämä tarkoittaa, että 2. elokuuta 2025 alkaen viranomaisilla on oikeus määrätä sakkoja ja muita sanktioita organisaatioille, jotka eivät noudata tekoälysäädöstä.
Tässä vaiheessa organisaatioilla tulee olla:
- Ensimmäinen versio tekoälyn hallintamallista, joka varmistaa säädöstenmukaisuuden yleiskäyttöisten tekoälymallien osalta.
- Prosessit ja kyvykkyydet, joiden avulla tekoälyjärjestelmät voidaan luokitella eri riskiluokkiin.
- Riittävä tekninen dokumentaatio, joka sisältää esimerkiksi järjestelmäarkkitehtuurin kuvauksen sekä käyttöön otetut kyberturvallisuustoimenpiteet.
- Määritellyt vastuut ja menettelyt, jotta tarvittavat ilmoitukset voidaan tehdä viranomaisille asianmukaisesti.
Elokuu 2026
Elokuussa 2026, tarkalleen 2. päivään mennessä, suurin osa tekoälysäädöksen velvoitteista tulee voimaan. Erityisesti tämä koskee korkean riskin tekoälyjärjestelmiä, joiden osalta organisaatioiden on oltava täysin valmiita täyttämään säädöksen asettamat vaatimukset.
- Tässä vaiheessa jokaisella organisaatiolla tulee olla käytössä kattava tekoälyn hallintamalli, johon sisältyvät erityisesti korkean riskin järjestelmien edellyttämät vaatimukset. Näiden järjestelmien kohdalla vaatimukset ovat tiukempia, ja niiden täyttäminen on kriittistä säädöstenmukaisuuden kannalta.
Vuosi 2025 ja säädöksen ensimmäiset velvoitteet lähestyvät kovaa vauhtia, joten valmistautuminen kannattaa aloittaa heti! Suunnittelutyössä ja tekoälysäädöksen implementaatiossa kannattaa hyödyntää organisaation tietosuoja-ammattilaisia. He ovat vuosien saatossa tottuneet arvioimaan tiedonkäsittelyyn liittyviä riskejä ja vaatimustenmukaisuutta.
Kirjoittajat
Data Privacy Lead, Deloitte
Asiantuntija, Cyber Risk, Deloitte