Regulatoriske AI-sandkasser bliver et krav i AI-Forordningen, og Digitaliseringsstyrelsen og Datatilsynet etablerer allerede nu en regulatorisk AI-sandkasse, hvor det er er muligt at udvikle, træne og teste AI-systemer.
EU’s AI-Forordning introducerer en ny forpligtelse for relevante myndigheder til at etablere såkaldte ”AI regulatory sandboxes”. En regulatorisk sandkasse skal sikre et kontrolleret og sikkert miljø, hvor både udbydere eller potentielle udbydere af AI-systemer, offentlige som private, har mulighed for bl.a. at udvikle, træne og teste et AI-system. Der kan endda være mulighed for at teste AI-systemet under virkelige forhold, men under overvågning i sandkassen.
Hvad er kravene i AI-Forordningen til regulatoriske AI-sandkasser?
I henhold til AI-Forordningen skal en regulatorisk AI-sandkasse etableres af de relevante myndigheder, og der skal i hver medlemsstat etableres mindst én AI-sandkasse. AI-sandkassen skal være operationel 24 måneder efter forordningens ikrafttræden.
Den relevante myndighed skal aftale en plan med den udbyder, der deltager i den regulatoriske sandkasse. Planen skal beskrive mål, betingelser, tidsramme, metodologi og krav til de aktiviteter, der udføres i sandkassen. Projektet løber i en begrænset periode under den relevante myndigheds tilsyn.
Hvorfor er der indført et krav i AI-Forordningen om en regulatorisk AI-sandkasse?
Hensigten med de regulatoriske AI-sandkasser er at understøtte en vidensudveksling og sparing med netop de myndigheder, der er involveret i de regulatoriske AI-sandkasser, og sikre kendskab til de regulatoriske rammer. De skal fremme innovation og konkurrenceevnen, bidrage til læring om reguleringen og generelt lette udviklingen af et AI-økosystem. Særligt skal sandkasserne lette adgangen til markedet for AI-systemer, når udbyderne er SMV’er og opstartsvirksomheder.
I en AI-sankasse vil det bl.a. være muligt at anvende personoplysninger, der er indsamlet til andre formål, forudsat at flere skrappe krav i AI-Forordningen overholdes bl.a. i forhold til sikkerhed, at det er nødvendigt at anvende rigtige personoplysninger, og samme mål kan ikke opfyldes med anonymiserede eller ikke-personhenførbare data. Samtidig må personoplysningerne alene anvendes i sandkassen og kun til udvikling og test af et konkret AI-system. AI-Forordningen kommer dermed til at indeholde en hjemmel til brug af personoplysninger i forbindelse med udvikling og test af AI-systemer under stærkt kontrollerede forhold.
Digitaliseringsstyrelsen og Datatilsynets regulatoriske AI-sandkasse
Selvom AI-Forordningen ikke er endelig vedtaget i EU, er Digitaliseringsstyrelsen og Datatilsynet allerede nu gået sammen om at etablere en regulatorisk AI-sandkasse. Virksomheder, myndigheder og organisationer kan få relevant ekspertise og vejledning, og omdrejningspunktet for AI-sandkassen er i første omgang databeskyttelsesreglerne og de regulatoriske krav, der følger af disse regler.
Datatilsynet forventer, at AI-sandkassen senere vil omfatte vejledning om kravene i AI-Forordningen.
Indholdet af et sandkasseforløb
Sandkasseforløbet vil bl.a. bestå af hjælp til gennemførelse af konsekvensanalyser vedrørende databeskyttelse, input til aktuelle tekniske og juridiske løsninger på konkrete databeskyttelsesudfordringer og hjælp til vurdering og afvejning af legitime interesser samt håndtering af risici for de registrerede.
Længden af forløbet afhænger af det konkrete projekt, og for hvert sandkasseforløb laves en individuel projektplan, som beskriver bestanddelene af de enkelte forløb. Når forløbet er afsluttet, vil erfaringerne fra forløbet blive offentliggjort til gavn for andre virksomheder, myndigheder og organisationer.
Krav til ansøgere
For at komme i betragtning til et sandkasseforløb skal projektet, produktet eller tjenesten involvere udvikling eller brug af AI, som omfatter behandling af personoplysninger. Som ansøger skal man have identificeret udfordringer med de gældende regulatoriske krav. Fristen for ansøgning er den 21. maj 2024.
I udvælgelsen vil Digitaliseringsstyrelsen og Datatilsynet lægge lægt på projektets samfundsbetydning, om projektet er udtryk for en nyudvikling eller nyskabelse, og om det vurderes, at projektet kan drage nytte af et forløb i AI-sandkassen.
*****
Europa-Parlamentet, EU’s medlemslande og EU's lovgivere indgik den 8. december 2023 en politisk aftale om AI-Forordningen. Den foreløbige politiske aftale er ved at blive konkretiseret, inden AI-Forordningen overgår til lovgivningsmæssig behandling, hvor den formelt skal vedtages. Det forventes, at den endelige AI-Forordning bliver offentliggjort i 2. kvartal 2024.
Hvis du ønsker at vide mere om AI-Forordningen, kan du læse mere her.
Information om Digitaliseringsstyrelsen og Datatilsynets regulatoriske sandkasse for AI kan du finde her.
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
