En introduktion til EU’s AI-forordning

Opdatering pr. 11. juli 2025: I forbindelse med offentliggørelsen af den endelige tekst til adfærdskodekset for generelt anvendelig AI deler vi her et overblik over, hvordan vi forbereder os på ikrafttrædelsen af de bestemmelser, der gælder for generelle AI-modeller fra den 2. august 2025. 

Sidste år offentliggjorde vi introduktionen til EU’s AI-forordning for at give et foreløbigt indblik i, hvordan vi forberedte os på de nye juridiske krav. 

Siden da har vi deltaget aktivt i implementeringen af forordningen – blandt andet ved at medvirke i udarbejdelsen af adfærdskodekset for generel AI, der fungerer som en ramme for, hvordan AI-udbydere kan efterleve EU’s AI-forordning. Efter måneders fælles indsats med eksperter, samfundet og branchen er den endelige version af kodekset nu blevet offentliggjort. I dag annoncerer vi vores beslutning om at underskrive adfærdskodekset og bruge det som grundlag for at dokumentere vores overholdelse af relevante forpligtelser i henhold til EU’s AI-forordning.  

Ved at underskrive kodekset tager vi et konkret skridt i vores bredere plan for overholdelse af EU’s AI-forordning. Det afspejler vores engagement i at sikre kontinuitet, pålidelighed og tillid i takt med at reguleringen træder i kraft, samtidig med, at vi fortsætter vores samarbejde med europæiske virksomheder og borgere og giver dem adgang til stadig mere avancerede, sikre og pålidelige AI-modeller, så de kan få fuldt udbytte af AI-revolutionen.

Underskrivelsen af kodekset styrker de mange brancheførende sikkerheds- og gennemsigtighedsforanstaltninger, vi har været pionerer for gennem de seneste år. Vi var blandt de første virksomheder til at offentliggøre en omfattende sikkerheds- og beredskabsprotokol, vores Beredskabsramme (2023), som beskriver vores tilgang til sikker udrulning af avancerede AI-modeller. 

I overensstemmelse med vores dedikation til løbende at evaluere og forbedre interne ansvarligheds- og styringsstrukturer offentliggjorde⁠ vi i april 2025 en opdateret version af Beredskabsrammen. 

I takt med at vi fortsætter udviklingen og udrulningen af stadig mere avanceret teknologi, overvåger og afbøder vi aktivt en lang række nye risici og konkrete sikkerhedsudfordringer for at sikre, at vores modeller forbliver pålidelige og sikre. Vi forbedrer og finjusterer hele tiden vores processer. 

• Vi har i lang tid offentliggjort detaljerede systemkort ved større modellanceringer, hvor vi tydeligt redegør for, hvad vores modeller kan og ikke kan, hvilke risici vi har testet og hvor vi befinder os i læringsprocessen. 
• Vores offentliggjorte sikkerhedsevalueringer giver offentligheden adgang til resultaterne af vores sikkerhedsevalueringer af modellerne.
• Vores Red Teaming-netværk inddrager eksterne eksperter, der udfordrer og udsætter vores modeller for svære tests
• Vores modelspecifikationer giver indsigt i, hvordan vi former modellernes adfærd, så de afspejler menneskelige værdier og demokratiske normer.

Tilsammen har disse indsatser været afgørende for at sætte standarder for sikkerhed og ansvarlighed i branchen – og for at føre udviklingen af et brugbart adfærdskodeks baseret på best practices i industrien. At bygge sikker og ansvarlig AI er et arbejde, der aldrig afsluttes. Vi vil fortsat løbende forbedre vores tilgang til sikkerhed for at sikre, at vores teknologi anvendes ansvarligt – til gavn for alle, uanset hvor i verden man befinder sig.

Vi vil være i tæt samarbejde med EU’s AI-kontor, relevante myndigheder og vores kunder i takt med, at AI-forordningen implementeres i de kommende måneder og år – så vi i fællesskab kan sikre, at AI skaber værdi for både det europæiske samfund og den europæiske økonomi. 

Opdatering: Den 25. september 2024 tilsluttede vi os de tre primære forpligtelser i EU’s AI-pagt:

1. At vedtage en strategi for AI-governance, der skal fremme anvendelsen af AI i organisationen og bane vejen for fremtidig overensstemmelse med AI-forordningen.
2. At gennemføre, i det omfang det er muligt, en kortlægning af AI-systemer, der leveres eller anvendes inden for områder, der anses som højrisikofyldte i henhold til AI-forordningen.
3. At fremme viden og AI-kompetencer blandt medarbejdere og andre personer, der arbejder med AI-systemer på organisationens vegne – under hensyntagen til deres tekniske viden, erfaring, uddannelse og oplæring, samt den sammenhæng AI-systemerne skal bruges i, og de personer eller grupper, som vil blive påvirket af deres anvendelse.

Vi mener, at AI-pagtens hovedfokus på AI-kompetencer, implementering og styring rammer de rette prioriteter for at sikre, at fordelene ved AI fordeles bredt i samfundet. Samtidig er principperne fuldt i tråd med vores mission om at udvikle sikre, banebrydende teknologier til gavn for alle.

EU’s AI-forordning⁠(åbner i et nyt vindue) er et vigtigt nyt regelsæt, der skal regulere udvikling, implementering og brug af AI i hele Europa. Forordningen har et stort fokus på sikkerhed for at fremme pålidelig AI-anvendelse i Europa og samtidig beskytte folkesundhed, sikkerhed og grundlæggende rettigheder. Den indfører nye krav baseret på de risici, der er forbundet med forskellige typer AI-systemer – med særligt fokus på højrisiko og uønskede use cases – samt særskilte forpligtelser for generelle AI-modeller og systemer (GPAI). 

Selvom lovgivningsprocessen er afsluttet, og forordningen træder i kraft i august 2024, vil der stadig være behov for yderligere vejledning og gennemførelseslovgivning for at præcisere lovens rækkevidde – især i forhold til generelle AI-modeller som dem, OpenAI udvikler. 

Hos OpenAI er vi opsat på at efterleve AI-forordningen – ikke kun fordi det er et juridisk krav, men fordi lovens målsætning er i overensstemmelse med vores egen mission om at udvikle og implementere sikker AI til gavn for hele menneskeheden. Vi er stolte af at kunne udgive modeller, der er førende i branchen – både hvad angår kapacitet og sikkerhed. Vi tror på en balanceret, videnskabeligt funderet tilgang, hvor sikkerhedsforanstaltninger⁠ integreres i udviklingsprocessen helt fra begyndelsen. Vores teams spænder over et bredt spektrum af tekniske indsatser, der tackler AI-sikkerhedsudfordringer, herunder evaluering af AI-modeller under vores Beredskabsramme⁠ inden de tages i brug, intern og ekstern red-teaming⁠ efter lancering, monitorering⁠ af misbrug, Bug Bounty-⁠ og Cybersecurity Grant⁠-programmer samt bidrag til standarder for autencitet og ansvarlig brug⁠, m.m. 

Vi vil være i tæt samarbejde med EU’s AI-kontor og andre relevante myndigheder, efterhånden som den nye lov implementeres i de kommende måneder – og vi håber, at vores ekspertise kan bidrage til at fremme forordningens målsætning om at sikre ansvarlig og gavnlig AI.  

I dette indlæg giver vi et overblik over nogle af de centrale elementer i AI-forordningen – med særligt fokus på forbudte og højrisikofyldte use cases.

AI-forordningen træder i kraft den 1. august 2024, 20 dage efter dens offentliggørelse. De fleste af forordningens bestemmelser vil dog først finde anvendelse 24 måneder efter, at den er trådt i kraft – men der er flere vigtige tidsfrister at være opmærksom på: 

• Forbud mod uacceptable anvendelser træder i kraft 6 måneder efter ikrafttrædelsen (februar 2025) 
• Adfærdskodekser, som skal dække mange af de praktiske implementeringsdetaljer for overholdelse af forordningen, skal være færdiggjort inden for 9 måneder efter ikrafttrædelsen (maj 2025) 
• De fleste forpligtelser vedrørende generelle AI-modeller (GPAI) vil være gældende 12 måneder efter ikrafttrædelsen (august 2025). 
• Forpligtelser for de fleste højrisikofyldte AI-systemer vil være gældende 24 måneder efter ikrafttrædelsen (august 2026). 

Allerede eksisterende GPAI-systemer, som ikke har gennemgået væsentlige ændringer, samt visse AI-systemer, der indgår i store IT-systemer nævnt i bilag X i AI-forordningen, får en længere tidsfrist på 36 måneder (august 2027).

AI-forordningen gælder primært for “AI-systemer”, som i forordningen defineres som: “et maskinbaseret system, der er designet til at fungere med varierende grader af autonomi, og som kan udvise tilpasningsevne efter implementering, og som, for eksplicitte eller implicitte mål, ud fra det input, det modtager, udleder, hvordan det skal generere output såsom forudsigelser, indhold, anbefalinger eller beslutninger, der kan påvirke fysiske eller virtuelle miljøer.”  Denne definition er i overensstemmelse med OECD’s definition af “AI-systemer” fra 2023 og den definition, der anvendes i Biden-administrationens “Executive Order 14110 on Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence.”  

AI-forordningen laver en vigtig skelnen mellem udbydere (providers) og anvendere (deployers) af AI-systemer. Udbydere er enheder – som for eksempel OpenAI – der udvikler et AI-system eller en generel AI-model (GPAI). Det omfatter også enheder, der får udviklet et AI-system eller en model og derefter markedsfører det, eller stiller det til rådighed i eget navn eller under eget varemærke, uanset om det sker mod betaling eller gratis. 

Anvendere er kunder eller partnere, som anvender disse systemer eller modeller i deres egne løsninger – for eksempel ved at integrere GPT‑4o i en bestemt applikation eller em bestemt use case. Selvom hovedparten af forpligtelserne i AI-forordningen påhviler udbyderne, er det vigtigt at bemærke, at en anvender kan blive betragtet som udbyder, hvis vedkommende integrerer en AI-model i sit eget system på en måde, der ændrer systemet væsentligt – f.eks. ved at markedsføre det under eget navn eller varemærke eller ændre dets funktionalitet på en måde, der ikke var tilsigtet af den oprindelige udbyder.

Virksomheder, der er etableret uden for EU, vil stadig være forpligtet til at overholde AI-forordningen under en række betingelser, som kan være ganske vidtrækkende.  For eksempel er forordningen gældende, hvis: 

• En udbyder markedsfører et AI-system eller en generel AI-model (GPAI) i EU, uanset om virksomheden er etableret i EU eller et andet land. 
• Anvendere af et AI-system har hjemsted i, eller befinder sig inden for, EU’s grænser. 
• Udbydere eller anvendere af AI-systemer er etableret uden for EU, men outputtet fra AI-systemet anvendes inden for EU.

AI-forordningens brede rækkevidde betyder, at virksomheder uden for Europa vil være forpligtet til at overholde reglerne, hvis de ønsker at levere AI-tjenester til brugere i EU, uanset hvor i verden virksomheden er baseret.

AI-forordningen er udviklet på en risikobaseret grundlag, hvor der stilles særlige krav til AI-systemer med høje eller uacceptable risici. Forordningen kræver, at virksomheder klassificerer risiko-niveauet for deres AI-systemer for at fastlægge de relevante regulatoriske forpligtelser. Derudover opstiller den forskellige kategorier eller niveauer af AI-systemer, som hver især er underlagt forskellige krav.

Visse former for AI-anvendelse vurderes at udgøre en uacceptabel risiko for individers rettigheder og er derfor helt forbudte. Det drejer sig blandt andet om:   

• Implementering af subliminale, manipulerende eller vildledende teknikker, der forvrænger adfærd og hæmmer informeret beslutningstagning med væsentlig skade til følge. 
• Udnyttelse af sårbarheder relateret til alder, handicap eller socioøkonomiske forhold for at påvirke adfærd, med væsentlig skade til følge. 
• Biometriske kategoriseringssystemer, der forsøger at udlede følsomme oplysninger såsom race, politiske holdninger, fagforeningsmedlemskab, religiøse eller filosofiske overbevisninger, seksuelle forhold eller seksuel orientering (med visse undtagelser ved lovlig datasæt-mærkning eller i forbindelse med retshåndhævelse) 
• Sociale scoringssystemer, såsom systemer, der vurderer eller klassificerer enkeltpersoner eller grupper baseret på social adfærd eller personlige egenskaber, på en måde der forårsager skade. 
• Risikovurdering af, om en person vil begå kriminalitet, baseret udelukkende på profilering eller personlighedstræk (med begrænsede undtagelser) 
• Oprettelse af ansigtsgenkendelses-databaser gennem bred og uspecificeret scraping af ansigtsbilleder fra internettet eller overvågningskameraer
• At udlede følelser på arbejdspladser eller uddannelsesinstitutioner 
• Fjernbiometrisk identifikation i realtid på offentlige steder til brug for retshåndhævelse (med enkelte undtagelser).

AI-forordningen pålægger særlige krav til systemer, der vurderes at udgøre en væsentlig risiko for sundhed, sikkerhed eller grundlæggende rettigheder, og som derfor klassificeres som højrisiko-AI (HRAI). Der omfatter: a) systemer, der indgår som sikkerhedskomponenter i produkter, som i forvejen er reguleret af anden EU-lovgivning, og b) specifikke use cases, som f.eks. systemer, der er beregnet til at bestemme adgang eller optagelse på uddannelsesinstitutioner, til at rekruttere eller udvælge arbejdere eller overvåge arbejderes ydeevne, til at afgøre berettigelse til offentlig hjælp, kreditvurderinger eller vurdere berettigelse til sundhedsforsikringer.  

Højrisikofyldte AI-systemer skal leve op til en række strenge regulatoriske forpligtelser, herunder etablering af et risikostyringssystem, som løbende vurderer risici og afbødningsstrategier gennem hele HRAI-systemet, omfattende datastyring og datakvalitetssikring for at identificere og teste for risiko for bias, udarbejdelse af detaljeret teknisk dokumentation, før systemet bringes på markedet, og løbende monitoreringspligt efter systemets implementering. 

Andre AI-systemer, som ikke udgør en uacceptabel eller høj risiko, er kun underlagt begrænsede krav, såsom krav om gennemsigtighed. For eksempel fastsætter forordningen, at personer skal oplyses, når de interagerer med et AI-system som f.eks. en chatbot. Ligeledes skal det tydeligt fremgå, hvis billeder, lyd eller video er kunstigt manipulerede. De fleste AI-systemer på markedet forventes at falde ind under denne kategori.

Der gælder særlige krav for udbydere af generelle AI-modeller og -systemer (General Purpose AI, GPAI), som f.eks. OpenAI. Disse udbydere skal: 

• Udarbejde detaljeret teknisk dokumentation om modellen og stille den til rådighed for EU’s AI-kontor efter anmodning
• Udarbejde dokumentation til brugere, der anvender GPAI-modellen til at udvikle deres egne AI-systemer
• Indføre retningslinjer, der skal sikre overholdelse af EU’s lovgivning om ophavsret
• Offentliggøre et sammendrag af det indhold, der er blevet brugt til at træne modellen 

Derudover stilles der yderligere krav til udbydere af GPAI-modeller med høj kapacitet, som vurderes at udgøre “systemiske risici”, herunder AI-modeller, som trænes med en meget stor mængde beregningskraft (teknisk defineret som 10^25 FLOPs). Disse udbydere til blive pålagt: 

• At udføre modelevalueringer for at identificere og afbøde systemiske risici og løbende vurdere og afbøde de fremlagte risici
• At underrette EU-Kommissionen, hvis en model opfylder kriterierne for denne kategori
• At monitorere og indrapportere alvorlige hændelser 
• At implementere passende IT-sikkerhedsforanstaltninger for modellen og dens fysiske infrastruktur

Udbydere af GPAI-modeller kan bruge et adfærdskodeks til at dokumentere overholdelse af AI-forordningens krav Disse kodekser vil sandsynligvis danne grundlag for de mere konkrete implementeringsregler, og vi ser frem til at samarbejde med EU’s AI-kontor om deres udvikling i løbet af de næste 9 måneder. 

OpenAI er opsat på at overholde EU's AI-forordning, og vi vil arbejde tæt sammen med EU's nye AI-kontor, når loven implementeres. I de kommende måneder vil vi fortsætte arbejdet med at udarbejde teknisk dokumentation og anden vejledning til de virksomheder og organisationer, der benytter vores generelle AI-modeller (GPAI), mens vi samtidig videreudvikler sikkerheden og robustheden af de modeller, vi stiller til rådighed globalt og på det europæiske marked.   

Hvis din organisation forsøger at finde ud af, hvordan AI-lovgivningen skal overholdes, er det brugbart først at forsøge at klassificere de omfattede AI-systemer. Identificér, hvilke GPAI- eller andre AI-systemer, der bruges, hvordan de er klassificeret, og hvilke forpligtelser, der følger af jeres konkrete use cases. Det er også vigtigt at afklare, om I anses for at være udbyder eller anvender i forhold til hvert enkelt AI-system. Disse spørgsmål kan være komplekse, så det anbefales at søge juridisk rådgivning, hvis I er i tvivl.