AI Act -opas·startbrain.ai
Tekoälyasetus-opas: kattava opas yrityksille Artikla 4: velvoite kouluttaa kaikki työntekijät tekoälyn käyttöön Tekoälyjärjestelmien luokittelu: koskeeko korkea riski sinua? Kielletyt tekoälykäytännöt: mitä yrityksesi ei enää saa tehdä Tekoälyasetuksen seuraamukset: jopa 35 miljoonan euron sakot Tekoälyasetuksen aikataulu: kaikki määräajat 2024–2027 Tekoälyasetuksen vaatimustenmukaisuuden tarkistuslista rooleittain: tietosuojavastaava, HR-johtaja, IT-johtaja, johtoryhmä

Tekoälyjärjestelmien luokittelu: koskeeko korkea riski sinua?

Tekoälyasetus luokittelee tekoälyjärjestelmät neljään riskitasoon. Rekrytointi, luotonanto, terveydenhuolto: selvitä, pidetäänkö työkalujasi korkean riskin järjestelminä.

Järjestelmän ydin: riskiperusteinen lähestymistapa

Euroopan unionin tekoälyasetus (asetus 2024/1689) perustuu perusperiaatteeseen: velvoitteet ovat suhteessa riskitasoon. Mitä enemmän tekoälyjärjestelmä voi vaikuttaa ihmisten elämään, terveyteen, perusoikeuksiin tai turvallisuuteen, sitä tiukemmat vaatimukset ovat.

Tämä asteittainen lähestymistapa erottaa tekoälyasetuksen binäärisemmistä sääntelyistä. Se mahdollistaa innovaation jarruttamisen välttämisen vähäisen riskin käyttötapauksissa, samalla kun arkaluonteisimpia sovelluksia säännellään tiukasti.

Johdantokappale 26Règlement (UE) 2024/1689

Tekoälyjärjestelmät, jotka aiheuttavat korkean riskin luonnollisten henkilöiden terveydelle, turvallisuudelle tai perusoikeuksille, olisi asetettava tiukkojen vaatimusten alaisiksi, ennen kuin ne voidaan saattaa unionin markkinoille.

Neljä riskitasoa

1. Ei-hyväksyttävä riski — Kielletyt järjestelmät

Tietyt tekoälyn käyttötavat ovat yksinkertaisesti kiellettyjä (artikla 5). Sosiaalinen pisteytys, subliminaalinen manipulointi, henkilöiden haavoittuvuuksien hyväksikäyttö ja reaaliaikainen biometrinen tunnistaminen julkisissa tiloissa (poikkeuksin) ovat olleet kiellettyjä 1. helmikuuta 2025 lähtien.

2. Korkea riski — Järjestelmät, joita koskevat tiukennetut velvoitteet

Tämä on luokka, joka koskee suurinta joukkoa yrityksiä. Korkean riskin tekoälyjärjestelmät määritellään artikloissa 6 ja 7 ja luetellaan yksityiskohtaisesti asetuksen liitteessä III. Liittyvät velvoitteet ovat huomattavia: vaatimustenmukaisuuden arviointi, tekninen dokumentaatio, ihmisen suorittama valvonta, riskienhallinta, tiedonhallinta.

3. Rajallinen riski — Läpinäkyvyysvelvoitteet

Järjestelmät kuten keskustelurobotit, sisällöngeneraattorit (deepfaket, tekstit) tai tunnetilantunnistusjärjestelmät, joita kielto ei kata, ovat läpinäkyvyysvelvoitteiden alaisia. Käyttäjän on tiedettävä, että hän vuorovaikuttaa tekoälyn kanssa tai että sisältö on tekoälyn tuottamaa.

4. Vähäinen riski — Ei erityisiä velvoitteita

Valtaosa tekoälyjärjestelmistä: roskapostisuodattimet, tuotesuositukset, oikeinkirjoituksen tarkistajat. Tekoälyasetus ei aseta erityisiä rajoituksia, vaikka artiklan 4 mukainen tekoälyosaamisen velvoite koskee edelleen kaikkia käyttöönottajia.

Liite III: korkean riskin järjestelmät sektoreittain

Asetuksen liite III luettelee alat, joilla tekoälyjärjestelmää pidetään korkean riskin järjestelmänä. Tässä ovat konkreettiset tapaukset, jotka koskevat useimpia yrityksiä.

Henkilöstöhallinto ja rekrytointi

Tämä on alue, joka yllättää eniten yrityksiä. Liitteen III kohta 4 koskee tekoälyjärjestelmiä, joita käytetään:

Liite III, kohta 4Règlement (UE) 2024/1689

Työllistäminen, työvoiman hallinta ja itsenäiseen ammatinharjoittamiseen pääsy, erityisesti henkilöiden rekrytointiin ja valintaan, työsuhteiden ehtojen päättämiseen, ylennyksiin ja irtisanomisiin sekä tehtävien jakamiseen, henkilöiden suorituskyvyn ja käyttäytymisen seurantaan tai arviointiin.

Käytännössä seuraavia pidetään korkean riskin järjestelminä:

  • Ehdokkaiden pisteytys: mikä tahansa algoritmi, joka automaattisesti luokittelee, arvostelee tai suodattaa hakemuksia
  • Automaattinen ansioluetteloanalyysi: työkalut, jotka esivalitsevat profiileja automaattisten kriteerien perusteella
  • Esikarsintakeskustelurobotit: keskusteluavustajat, jotka arvioivat ehdokkaita rekrytointiprosessin aikana
  • Suorituskyvyn arviointijärjestelmät: tekoälytyökalut, jotka analysoivat työntekijöiden tuottavuutta tai käyttäytymistä
  • Yhteensovitustyökalut: algoritmit, jotka yhdistävät profiileja tehtäviin

Jos HR-osastonne käyttää automaattista ansioluetteloiden lajittelutyökalua tai rekrytointikeskustelurobottia, kyseessä on todennäköisesti korkean riskin järjestelmä tekoälyasetuksen määrittämässä merkityksessä.

📄Tekoäly henkilöstöhallinnolle: kattava opas HR-työn muutokseen

Rahoitus ja vakuutukset

Liitteen III kohta 5(b) kattaa tekoälyjärjestelmät, joita käytetään:

  • Luottoluokitus: mallit, jotka arvioivat luonnollisten henkilöiden maksukykyisyyttä (paitsi petosten havaitseminen)
  • Riskinarviointi henki- ja sairausvakuutuksissa
  • Automaattinen hinnoittelu yksilöprofiilin perusteella

Jokainen pankki tai vakuutusyhtiö, joka käyttää tekoälymallia luoton myöntämiseen tai epäämiseen tai vakuutusmaksun määrittämiseen, on velvoitettu. Suomessa tämä koskee suoraan toimijoita kuten OP-ryhmää ja Nordeaa, jotka molemmat käyttävät tekoälymalleja luottoprosesseissaan. Petosten havaitseminen on nimenomaisesti poistettu korkeasta riskistä — mutta huomioithan, että pisteytysjärjestelmät, jotka ylittävät pelkän havaitsemisen, voivat kuulua luokkaan.

Terveydenhuolto

Liitteen III kohta 1 kattaa tekoälyjärjestelmät, jotka ovat lääkinnällisiä laitteita tai niiden lisälaitteita eurooppalaisten lääkinnällisiä laitteita koskevien asetusten mukaisesti. Tämä sisältää:

  • Diagnostiikkatuki: algoritmit, jotka analysoivat lääketieteellisiä kuvia tai ehdottavat diagnooseja
  • Automaattinen triage: järjestelmät, jotka ohjaavat potilaat hoitopolkuihin
  • Seurantajärjestelmät: tekoälykomponentin sisältävät kytketyt laitteet, jotka valvovat elintoimintoja
  • Lääkemääräystuki: työkalut, jotka ehdottavat hoitoja

Koulutus ja ammatillinen koulutus

Liitteen III kohta 3 koskee tekoälyjärjestelmiä, joita käytetään:

  • Opiskelijavalinta oppilaitoksiin
  • Automaattinen arvostelu kokeissa ja arvioinneissa
  • Sopivan koulutustason arviointi henkilölle
  • Kielletyn käyttäytymisen valvonta kokeissa (automaattinen tarkkailu)

Oikeudenkäyttö ja lainvalvonta

Liitteen III kohdat 6, 7 ja 8 kattavat:

  • Uusiutumisriskin arviointi: järjestelmät, jotka arvioivat todennäköisyyttä sille, että henkilö tekee rikoksen
  • Polygrafitestit ja tunnetilantunnistustyökalut kuulusteluissa
  • Todistusaineiston luotettavuuden arviointi
  • Profilointi rikosten ehkäisemisessä ja havaitsemisessa

Julkinen sektori ja sosiaaliturva

Suomessa viranomaiset kuten Kela (sosiaalivakuutus) ja Verohallinto käyttävät yhä enemmän tekoälyjärjestelmiä asiankäsittelyssä, riskinarvioinnissa ja automatisoidussa päätöksenteossa. Nämä järjestelmät voivat kuulua useisiin liitteen III luokkiin sovelluksesta riippuen — erityisesti jos ne vaikuttavat henkilöiden pääsyyn sosiaalietuuksiin tai verotuspäätöksiin.

Kriittinen infrastruktuuri

Liitteen III kohta 2 kattaa kriittisen digitaalisen infrastruktuurin, tieliikenteen sekä vesi-, kaasu-, lämmitys- ja sähköhuollon hallinnan ja toiminnan turvallisuuskomponentit.

Maahanmuutto ja rajavalvonta

Liitteen III kohta 7 sisältää järjestelmät, joita käytetään laittoman maahanmuuton riskin arviointiin, viisumi- ja oleskelulupahakemusten käsittelyyn sekä henkilöiden tunnistamiseen maahanmuuton yhteydessä.

Korkean riskin järjestelmien konkreettiset velvoitteet

Jos yksi tai useampi tekoälyjärjestelmänne on luokiteltu korkean riskin järjestelmäksi, asetus edellyttää seuraavaa:

Vaatimustenmukaisuuden arviointi (artiklat 9–15)

Ennen markkinoille saattamista tai käyttöönottoa järjestelmän on läpäistävä vaatimustenmukaisuuden arviointi, joka kattaa:

  1. Riskienhallintajärjestelmä (artikla 9): riskien tunnistaminen, analysointi, arviointi ja lievittäminen koko järjestelmän elinkaaren ajan
  2. Tiedonhallinta (artikla 10): koulutusaineistojen on oltava relevantteja, edustavia ja mahdollisimman virheettömiä
  3. Tekninen dokumentaatio (artikla 11): järjestelmän, sen tarkoitusten, suorituskyvyn ja rajoitusten yksityiskohtainen kuvaus
  4. Rekisteröinti (artikla 12): tapahtumien automaattinen kirjaaminen (lokit) koko toiminta-ajan
  5. Läpinäkyvyys ja tiedottaminen (artikla 13): selkeät käyttöohjeet käyttöönottajille
  6. Ihmisen suorittama valvonta (artikla 14): järjestelmän on oltava suunniteltu mahdollistamaan luonnollisten henkilöiden tehokas valvonta
  7. Tarkkuus, kestävyys ja kyberturvallisuus (artikla 15)

Käyttöönottajien erityisvelvoitteet (artikla 26)

Yrityksillä, jotka käyttävät korkean riskin tekoälyjärjestelmiä (käyttöönottajat), on omia velvoitteitaan:

  • Käyttää järjestelmää tarjoajan ohjeiden mukaisesti
  • Varmistaa ihmisen suorittama valvonta pätevien ja koulutettujen henkilöiden toimesta
  • Valvoa järjestelmän toimintaa ja raportoida mahdolliset toimintahäiriöt
  • Toteuttaa perusoikeuksia koskeva vaikutustenarviointi (tietyille käyttöönottajille)
  • Säilyttää automaattisesti tuotetut lokit vähintään kuuden kuukauden ajan
📄Tekoälyriskit yrityksessä: tunnista ja hallitse tehokkaasti

Miten tekoälytyökalunne auditoidaan

Vaatimustenmukaisuuden ensimmäinen askel on tietää tarkasti, mitkä tekoälyjärjestelmät ovat käytössä ja mihin luokkaan ne kuuluvat.

1. Laadi täydellinen inventaario

Luettele kaikki organisaatiossanne olevat tekoälyä sisältävät työkalut. Älä unohda:

  • Nykyiseen ohjelmistoon upotettuja työkaluja (CRM, ERP, HR-järjestelmät)
  • SaaS-tilauksia, joissa on tekoälytoiminnallisuuksia
  • Työntekijöiden epävirallista käyttöä (tekoälyavustajat, sisällöntuotantotyökalut)
  • Sisäisiä kehityksiä

2. Luokittele jokainen järjestelmä

Jokaisesta tunnistetusta työkalusta määritä:

  • Onko se tekoälyjärjestelmä artiklan 3(1) määrittämässä merkityksessä?
  • Kuuluuko se johonkin liitteen III luokkaan?
  • Mikä on sen riskitaso?

3. Arvioi vaatimustenmukaisuuskuilu

Jokaisesta korkean riskin järjestelmästä vertaa nykytilannettanne artiklojen 9–15 ja artiklan 26 vaatimuksiin. Tunnista puutteet ja priorisoi korjaavat toimenpiteet.

4. Dokumentoi ja seuraa

Kokoa vaatimustenmukaisuuskansio jokaiselle järjestelmälle, mukaan lukien luokittelu, tekninen dokumentaatio, tehdyt arvioinnit ja toteutetut valvontatoimenpiteet. Tämä rakenteinen dokumentaatio on viitteenne mahdollisessa auditoinnissa.

5. Kouluta käyttäjät

Jokaisen korkean riskin järjestelmän osalta ihmisvalvonnasta vastaavilla henkilöillä on oltava tarvittava osaaminen (artikla 14). Tämä liittyy artiklan 4 tekoälyosaamisen velvoitteeseen, mutta korkeammalla vaatimustasolla: näiden henkilöiden on ymmärrettävä valvomansa järjestelmän erityisominaisuudet ja rajoitukset.

Yleiskäyttöisten tekoälyjärjestelmien tapaus

Yleiskäyttöiset tekoälymallit (kuten GPT-4, Claude, Gemini) ovat erityissäännösten alaisia (artiklat 51–56). Kun yleiskäyttöinen tekoälymalli integroidaan korkean riskin tekoälyjärjestelmään, korkean riskin velvoitteet koskevat koko järjestelmää — vaikka taustalla oleva malli olisikin yleistyökalu.

Tämä tarkoittaa, että ChatGPT:n käyttäminen ehdokkaiden vastaamiseen rekrytointiprosessissa voi muuttaa “yleistyökalun” korkean riskin järjestelmän osaksi.

Ce que ça implique pour vous

Tekoälyjärjestelmiänne luokittelu ei ole teoreettinen harjoitus — se on vaatimustenmukaisuutenne kulmakivi. Jos käytätte tekoälyä rekrytoinnissa, suorituskyvyn arvioinnissa, luottoluokituksessa tai diagnostiikkatuessa, käytätte todennäköisesti korkean riskin järjestelmiä. Jokainen niihin kuuluva järjestelmä edellyttää vaatimustenmukaisuuden arviointia, teknistä dokumentaatiota, tehokasta ihmisen suorittamaa valvontaa ja koulutettuja henkilöitä sen toteuttamiseksi. Aloittakaa inventaariosta. Tänään.