Forbudte AI-praksiser: hva bedriften din ikke lenger kan gjøre

De røde linjene for kunstig intelligens

Før vi i det hele tatt snakker om høyrisikosystemer, transparensforpliktelser eller AI-kompetanse, trekker den europeiske forordningen om kunstig intelligens (forordning 2024/1689) absolutte røde linjer. Artikkel 5 lister opp AI-praksisene som rett og slett er forbudt i Den europeiske union.

Disse forbudene har vært gjeldende siden 1. februar 2025. Det er ikke fremtidige frister: de gjelder nå.

Artikkel 5, punkt 1 — Règlement (UE) 2024/1689

Følgende praksiser innen kunstig intelligens er forbudt: […] markedsføring, idriftsettelse eller bruk av et AI-system som benytter subliminale teknikker […] eller bevisst manipulerende eller villedende teknikker med det formål eller den virkning å vesentlig endre en persons atferd […] på en måte som forårsaker eller med rimelighet kan forventes å forårsake vesentlig skade på denne personen eller en annen person.

De seks kategoriene av forbudte praksiser

1. Sosial scoring

AI-forordningen forbyr systemer som evaluerer eller klassifiserer fysiske personer på grunnlag av deres sosiale atferd eller personlige egenskaper, når denne scoren fører til ugunstig behandling i sammenhenger uten tilknytning til datainnsamlingen, eller som er uforholdsmessig i forhold til atferden.

Merk: i motsetning til hva mange tror, retter dette forbudet seg ikke kun mot myndigheter. Det gjelder også private aktører. En bedrift som bygger opp en “pålitelighetsscore” for kundene sine ved å samle betalingsdata, nettadferd og interaksjoner med kundeservice — og bruker denne scoren til å nekte tjenester — ville vært i brudd med regelverket.

Konkrete eksempler på nå ulovlige praksiser:

• Et forsikringsselskap som samler data fra sosiale medier for å vurdere en kundes “atferdsbaserte risikoprofil”
• En utleier som bruker en score som kombinerer betalingshistorikk, nettaktivitet og lokasjonsdata for å filtrere leietakere
• En arbeidsgiver som bygger en automatisert “engasjementsscore” som betinger tilgang til goder

2. Subliminal manipulasjon og villedende teknikker

Ethvert AI-system designet for å endre en persons atferd uten vedkommendes viten er forbudt. Det dekker subliminale teknikker (stimuli som ikke oppfattes av bevisstheten) og bevisst manipulerende eller villedende teknikker.

Eksempler:

• Et system som tilpasser grensesnittet til en nettbutikk for å utnytte kognitive skjevheter identifisert av AI (AI-drevne dark patterns)
• Et automatisert forhandlingsverktøy som analyserer mikrouttrykk i sanntid for å manipulere samtalepartneren
• Et dynamisk prissettingssystem som utnytter brukerens registrerte følelsesmessige tilstand

3. Utnyttelse av sårbarheter

AI-systemer som utnytter sårbarheter knyttet til alder, funksjonshemming eller sosial eller økonomisk situasjon for vesentlig å endre en persons atferd, er forbudt.

Eksempler:

• En kommersiell chatbot som spesifikt retter seg mot eldre med overtalelsesteknikker tilpasset deres kognitive sårbarheter
• Et målgrupperettet reklamessystem som retter seg mot gjeldsbelastede personer for å tilby dem forbrukslån
• Et nettspill som bruker AI for å identifisere og utnytte mindreåriges avhengighetsskapende atferd

4. Biometrisk identifisering i sanntid på offentlige steder

Bruk av fjernbiometrisk identifisering “i sanntid” på offentlig tilgjengelige steder for rettshåndhevelsesformål er forbudt, med tre strengt regulerte unntak:

• Målstyrt søk etter ofre for kidnapping, menneskehandel eller seksuell utnyttelse
• Forebygging av en spesifikk og overhengende terrortrussel
• Lokalisering eller identifisering av en person mistenkt for å ha begått visse alvorlige forbrytelser

Selv i disse tilfellene kreves forutgående rettslig godkjenning, og strenge garantier gjelder.

5. Følelsesgjenkjenning på arbeidsplasser og i utdanning

Artikkel 5, punkt 1, bokstav f — Règlement (UE) 2024/1689

[Det er forbudt] å markedsføre, sette i drift eller bruke AI-systemer for å utlede følelser hos en fysisk person på arbeidsplassen og i utdanningsinstitusjoner, med mindre bruken av AI-systemet er ment å bli iverksatt eller brakt på markedet av medisinske årsaker eller sikkerhetsårsaker.

Dette forbudet er særlig relevant for bedrifter. Det dekker:

• Verktøy for følelsesanalyse under videomøter: systemer som analyserer deltakernes ansiktsuttrykk under møter
• Systemer for følelsesmessig overvåking: kameraer eller programvare som registrerer stress, frustrasjon eller manglende engasjement hos ansatte
• Følelsesanalyse i opplæring: verktøy som måler lærendes følelsesmessige tilstand for å tilpasse innholdet

De eneste unntakene: medisinske formål (f.eks. smerteregistrering hos ikke-kommuniserende pasienter) eller sikkerhetsformål (f.eks. tretthetsdeteksjon hos yrkessjåfører).

6. Oppbygging av ansiktsgjenkjenningsdatabaser via scraping

AI-forordningen forbyr oppbygging eller utvidelse av ansiktsgjenkjenningsdatabaser gjennom umålstyrt innsamling av bilder fra internett eller videoovervåking. Det er et direkte svar på praksiser fra selskaper som Clearview AI, som hadde bygget opp en database med flere milliarder ansikter ved å hente offentlige bilder.

📄AI-risikoer i bedriften: identifiser og håndtér effektivt→

Slik kontrollerer du om bedriften din er i brudd

De fleste bedrifter tenker spontant at disse forbudene ikke gjelder dem. Men visse praksiser, særlig innen HR og markedsføring, kan komme faretruende nær.

Sjekkliste for verifisering

Still dere selv disse spørsmålene:

• Scoring og klassifisering: Tildeler dere automatiserte scorer til enkeltpersoner (kunder, ansatte, kandidater) som kombinerer data fra forskjellige sammenhenger?
• Overtalelse og personalisering: Utnytter anbefalings- eller markedsføringssystemene deres identifiserte sårbarheter (alder, økonomisk situasjon, følelsesmessig tilstand)?
• Følelsesmessig overvåking: Bruker dere verktøy som analyserer de ansattes ansiktsuttrykk, stemme eller atferd til andre formål enn medisinske eller sikkerhetsmessige?
• Biometri: Bruker dere ansiktsgjenkjenning i lokalene deres? I så fall under hvilke betingelser?
• Ansiktsdata: Har AI-leverandørene deres bygget treningsdatabasene sine ved scraping av bilder på nettet?

Hvis svaret på ett av disse spørsmålene er “ja” eller “kanskje”, er en grundig analyse nødvendig.

Opplæringens rolle

De ansattes kjennskap til disse forbudene er avgjørende. Kravet om AI-kompetanse (artikkel 4) inkluderer nødvendigvis forståelse av hva som er forbudt. En ansatt som ikke vet at det er ulovlig å bruke følelsesgjenkjenning i profesjonell sammenheng, kan ikke rapportere en praksis som ikke er i samsvar med regelverket.

Opplæring av teamene i disse forbudene er ikke valgfritt — det er en forutsetning for all ansvarlig AI-styring.

📄AI Act artikkel 4: plikten til AI-opplæring forklart→

Sanksjonene

Forbudte praksiser er underlagt det høyeste sanksjonsnivået i AI-forordningen: opptil 35 millioner euro eller 7 % av den årlige globale omsetningen, det høyeste beløpet gjelder. Det er de strengeste bøtene som noensinne er fastsatt i europeisk digital regulering — høyere enn GDPRs. I Norge vil Datatilsynet spille en sentral rolle i håndhevingen av disse forbudene, i samarbeid med sektormyndighetene.