AI-drevne startups skal kunne dokumentere, at de har et troværdigt AI-system, hvis de vil gøre sig forhåbninger om at få funding og undgå kæmpe bøder. Det skyldes ny AI-forordning fra EU, fortæller Andreas Vallentin-Hansen, associeret partner, M&A, Accura, der i dette indlæg kortlægger risici og faldgruber, man skal tage højde for.

Ny grundlov for AI-systemer

EU har taget et historisk skridt ved at indføre verdens første lovgivning om AI, som skal sikre, at mennesker og virksomheder kan nyde godt af fordelene ved AI, samtidig med at man skal kunne føle sig sikker og beskyttet. AI-forordningen er en slags ny grundlov for AI-systemer, som kommer til at være gældende i alle EU’s medlemslande.

AI-forordningen indeholder et totalt forbud mod visse AI-systemer, omfattende krav til højrisiko AI-systemer, gennemsigtighedsforpligtelser og store bøder for overtrædelse af reglerne. AI-forordningen holder også ekstra øje med de mest kraftfulde og universelt anvendelige “general purpose AI-systemer” (f.eks. GPT-4, Googles Gemini og andre sprogmodeller), for at forhindre systemiske risici, der kan påvirke os alle sammen negativt.

Den snart færdigbehandlede AI-forordning bliver en væsentlig milepæl inden for AI-regulering, og vil danne grundlaget for investorernes due diligence af AI-baserede virksomheder i forbindelse med fundingrunder. Venture- og kapitalfonde er grundige i deres due diligence, og de er allerede begyndt at stille krav om, at AI-baserede virksomheder har identificeret risici forbundet med brug og udvikling af AI-tools, og at man har etableret forsvarlige procedurer for at håndtere disse risici.

Hvis man som virksomhed omvendt kan dokumentere, at der er styr på alle elementer i processen, fra at skaffe sine input-data, herunder overvejelser om datakvalitet, legalitet, etik, bias og modelpræcision, til at have en klar strategi og formaliserede procedurer for, hvordan man sikrer et troværdigt AI-system, vil man som kapitalsøgende utvivlsomt opnå en fordel i fremtidige fundingrunder.

 

Den nye AI-forordning skal give klarhed og regler

Formålet med den nye AI-forordning er at fremme tillid og udvikling af AI-teknologi. Det skal ske ved at etablere klare retningslinjer og standarder for udvikling, implementering og anvendelse af AI-systemer for både udbydere og erhvervsbrugere. Det betyder, at virksomheder, som enten udvikler, anvender, integrerer, importerer, distribuerer eller producerer AI-systemer i EU, kan omfattes af reglerne.

Lovgivningen følger en risikobaseret tilgang, hvilket betyder, at der pålægges flere forpligtelser, jo mere “højrisiko” et AI-system er.

Højrisiko AI-systemer omfatter bl.a. dem, der kan bruges til kritisk infrastruktur (f.eks. transport), bedømmelse af eksamener, robotassisteret kirurgi, profilering ved rekruttering eller forfremmelse, eller til automatisk at evaluere og beslutte personers kreditværdighed. Hvis en virksomhed anvender et højrisiko AI-system, skal de overholde strenge lovkrav.

 

Forbud mod visse AI-formål

AI-forordningen indeholder også et direkte forbud mod at benytte AI til visse formål, f.eks. social scoring, biometrisk kategorisering, manipulation af menneskelig adfærd med det formål at omgå deres frie vilje, og udnytte menneskers sårbarheder på baggrund af deres alder, handicap, sociale eller økonomiske situation mv.

Der er fastsat forskellige bødeniveauer, på op til €35 millioner eller 7% af den samlede globale årlige omsætning, for virksomheder, der ikke overholder loven.

 

AI-forordningen træder forventeligt i kraft i første halvår af 2026

AI-forordningen træder forventeligt fuldt ud i kraft i første halvår af 2026, men det forventes, at investorerne allerede nu vil kræve, at AI-baserede virksomheder arbejder på at blive compliant.

 

Konkrete faldgruber

Udover compliance med AI-forordningen vil de fleste investorer også undersøge, om der er styr på beskyttelse af virksomhedens immaterielle rettigheder, særligt for at sikre, at patenter, varemærker, ophavsrettigheder og andre former for forretningshemmeligheder ikke uretmæssigt bliver delt udenfor organisationen i forbindelse med træning af et AI-tool. Den kapitalsøgende virksomhed forlanges måske at fremlægge en procedure for modellens træningsproces, oplysninger om de data, der bruges til træning, samt validering af type og oprindelse af data og kurationsmetoder.

Det samme gælder for brug af persondata til træning. Hvis virksomheden har anvendt datasæt med personoplysninger, omfattes træningen af reglerne om databehandling i henhold til GDPR, hvorefter principperne om dataminimering, formålsbestemthed, oplysningspligt og risikovurderinger skal overholdes. Husk derfor – for så vidt muligt – at anonymisere persondata i træningsdatasæt. Investorer vil forlange robuste databeskyttelsespolitikker og GDPR-strategier.

Derudover vil investorerne undersøge, om der er interne processer, som sikrer, at tredjeparts ophavsrettigheder ikke krænkes ved træning af AI-systemet. Udgangspunktet er, at brug af ophavsretligt beskyttet indhold kræver tilladelse fra rettighedshaveren, medmindre der gælder en særlig undtagelse.  Hvis man benytter ophavsretligt materiale fra bøger, billeder, film eller musik til at træne sit AI-system, skal man derfor være ekstra opmærksom for mulige ophavsretskrænkelser.

 

Start med en AI-strategi og en risikovurdering

AI-baserede virksomheder bør allerede nu komme i gang med at fastlægge risikoklassificeringen af sit udviklede eller anvendte AI-system for at identificere og håndtere potentielle risici. Ved at tage proaktive skridt, kan man undgå potentielle sanktioner, når loven træder i kraft, samt forbedre chancerne for en succesfuld fundingrunde.