Når jeg taler med it- og sikkerhedsansvarlige om AI Act, opdager jeg ofte, at de springer det vigtigste spørgsmål over. De spørger, hvad de skal indkøbe. De spørger, hvilke værktøjer de skal blokere. Sjældnere spørger de, hvem der ejer ansvaret for AI internt i deres egen organisation. Det er det spørgsmål, AI Act faktisk presser virksomhederne til at svare på.
Jeg har set teknisk dygtige organisationer, hvor identitet, adgangsstyring og logning er på et højt niveau. De har styr på cookies, sessionsstyring, multifaktor og rollebaserede tilladelser. Alligevel kan de ikke svare på, hvem der godkender et nyt AI-værktøj, før det går i drift. De har ingen rolle, der ejer det. De har ingen risikovurdering. De har ingen liste over, hvilke AI-systemer der allerede bruges af medarbejderne.
Det er der, AI Act bliver praktisk. For mange organisationer begynder arbejdet med at beskrive, hvor AI bruges, vurdere risikoen og placere ansvar et sted, hvor nogen reelt kan handle. Det er ikke kun en teknisk øvelse, det er også en organisatorisk en. (Og det er typisk der, mange tekniske miljøer går i stå. Roller er sværere end systemer.)
Hvor begynder man? Ikke med at læse hele forordningen. Begynd med en liste. Hvilke AI-værktøjer bruger folk i virksomheden lige nu? Chatbotter, kodeassistenter, billedgeneratorer, oversættelser, transskribering, AI-funktioner i jeres eksisterende SaaS. Den liste er næsten altid længere end ledelsen tror. Den indeholder også typisk værktøjer, ingen formelt har godkendt.
Næste skridt er at give hver post på listen en risikokategori, en ansvarlig person og en grundregel for, hvornår den må bruges. Det behøver ikke være kompliceret. En enkelt side er ofte nok i starten. Det vigtige er, at der står et navn ved siden af hvert værktøj, og at vedkommende ved det. Et navn skaber handling. Et fælles politikdokument uden navne skaber ingenting.
Jeg plejer at minde mine kontakter om, at AI Act ikke er bygget for at fange dem på det forkerte ben. Den er bygget for at flytte AI ind i samme styringssfære som data, sikkerhed og persondata. Den, der allerede har styr på GDPR og ISO-praksis, har de fleste komponenter klar. Det handler nu om at tilføje AI som et selvstændigt område, ikke et bilag.
For dem, der vil have en hurtig vej ind i loven uden at læse den fra ende til anden, kan HverdagsAIs introduktion til AI Act
være et brugbart udgangspunkt. Den oversætter de centrale krav til noget, en dansk organisation faktisk kan handle på.
Den korte version er måske denne: ansvarlig AI begynder ikke med en politik. Den begynder med, at nogen rejser hånden og siger, at de tager ansvaret. Resten er dokumentation.