Blogi
AI ActFRIAVaikutustenarviointi

EU:n tekoälyasetus ja FRIA vaikutustenarviointi

6 min

Mikä on EU:n tekoälyasetuksen ja FRIA vaikutustenarvioinnin tavoite?

Euroopan Unionin tekoälyasetuksen (AI Act) tavoitteena on huolehtia ihmisten perusoikeuksien toteutumisesta, kun tekoälyjärjestelmiä käytetään. Asetuksen avulla tekoälyn käytölle yrityksissä ja organisaatioissa saadaan yhteiset säännöt, korkeariskisille tekoälyjärjestelmille asetetaan tiukemmat vaatimukset ja erittäin haitallisia käyttötapoja kielletään.

2NS tarjoaa palveluita EU:n tekoälyasetuksen vaikutustenarviointiin. Palvelustamme löydät lisätietoa täältä.

Tässä blogissa perehdymme tarkemmin siihen, mitä tekoälyn vaikutustenarviointi (FRIA, Fundamental Rights Impact Assessment) kattaa ja kuinka prosessi etenee.

Mitä tekoälyn vaikutustenarvioinnissa (FRIA) pitää käsitellä?

Tekoälyasetuksen mukaisessa vaikutustenarvioinnissa nimensä mukaisesti arvioidaan tekoälyn käyttötapojen vaikutuksia henkilöiden oikeuksille, AI Act -asetuksen vaatimusten mukaan. Asetus vaatii, että vaikutustenarvioinnissa käsitellään vähintään seuraavat asiat:

1. Kuvaus käyttökontekstista
Arviointi aloitetaan järjestelmän käyttöympäristön ja tarkoituksen kuvauksella, jossa vastataan ainakin seuraaviin kysymyksiin.

  • Missä prosessissa tai palveluissa, ja mihin tarkoitukseen tekoälyjärjestelmää käytetään?
  • Kuinka usein ja kuinka kauan AI-järjestelmää käytetään?
  • Millaisia päätöksiä tekoälyllä tehdään?

2. Vaikutusten kohteet
Vaikutusten kohteissa on tunnistettava seuraavat ryhmät, joita järjestelmä voi koskea joko suoraan tai välillisesti.

  • Keihin luonnollisiin henkilöihin tai ihmisryhmiin järjestelmä voi vaikuttaa?
  • Miten ja millä tavoin vaikutukset käytännössä ilmenevät?
  • Miten laajaan määrään ihmisiä tai heidän oikeuksia järjestelmän vaikutus ulottuu?

Kohteissa on kiinnitettävä erityistä huomoita haavoittuviin ryhmiin, esimerkiksi vähemmistöryhmiin.

3. Riskit perusoikeuksille
Tässä kohdassa oleellista on tunnistaa mahdolliset haitat ja vaarantaako järjestelmä joitain kohteen perusoikeuksia. Esimerkiksi alla olevat asiat saattavat olla mahdollisia haittoja:

  • Syrjintä
  • Yksityisyyden tai muun perusoikeuden kuten henkilösuojan vaarantuminen
  • Virheelliset päätökset
  • Manipulaatio
  • Läpinäkyvyyden puute

4. Ihmisen valvonta
Asetus vaatii, että korkean riskin järjestelmällä on riittävä ihmisvalvonta, joten yrityksen on vastattava kysymyksiin kuten:

  • Miten ihminen valvoo järjestelmää?
  • Millaisia manuaalisia override tai tarkastusmekanismeja on?
  • Miten järjestelmää ja sen toimintaa on testattu, esimerkiksi millaisin käyttötapauksin?

5. Riskienhallinta ja toimenpiteet
Arvioinnissa on kuvattava konkreettiset toimenpiteet, jos riskit toteutuvat.

  • Mitä tehdään, jos riski toteutuu?
  • Millaiset sisäiset valvonta- ja valitusmekanismit on määritelty?
  • Miten väärä päätös voidaan oikaista tai ohittaa ja voidaanko järjestelmän tekemä virheellinen päättely havaita ja korjata?

6. Raportointi viranomaiselle
Arvioinnin tulokset on toimitettava kansalliselle markkinavalvontaviranomaiselle, pois lukien tietyt lainsäädännölliset poikkeukset.

Milloin vaikutustenarviointi pitää tehdä?

AI Act astui voimaan 1.8.2024, mutta sen soveltaminen alkoi 2.8.2025. Korkean riskin tekoälyvaatimukset tulevat voimaan elokuussa 2026.
Tekoälyvaikutusten arviointi on tehtävä ennen ensimmäistä käyttöönottoa ja sitä täytyy päivittää aina kun käyttötapa, riskit tai järjestelmän ominaisuudet muuttuvat.

Miksi vaikutustenarviointi on tärkeä?

Tekoälyn vaikutustenarviointi (FRIA) täydentää voimassa olevaa GDPR -asetuksen vaatimaa DPIA-arviointia. GDPR -asetuksen vaatimustenmukaisuusarviointia voidaan käyttää pohjana tekoälyn vaikutustenarviointia tehdessä.
Arvioinnin tavoitteena on edistää tekoälyn vastuullista käyttöä, estää riskejä ja varmistaa, että AI:ta käytetään oikeasuhtaisesti ja perustellusti.

Mitä yrityksiä ja organisaatioita EU:n tekoälyasetus koskee?

EU:n tekoälyasetus koskee erityisesti julkisen sektorin toimijoita sekä niitä yksityisiä toimijoita, jotka tuottavat palveluita julkiselle sektorille. Esimerkkejä tällaisista ovat valtion ja kuntien viranomaiset, oppilaitokset, terveydenhuollon ja sosiaalipalveluiden tuottajat, oikeuslaitos ja muu julkinen hallinto. FRIA on myös tehtävä luottokelpoisuutta ja vakuutuksia tarjoavissa yrityksissä, joissa on käytössä korkeanriskin tekoälyjärjestelmiä, joilla arvioidaan luonnollisen henkilön luottokelpoisuutta, määritetään luottopisteitä tai tehdään riskiarviointeja sekä määritellään hinnoittelua henki- ja sairasvakuutuksiin. Käytännössä tämä tarkoittaa pankki- ja luottolaitoksia sekä henki- ja sairasvakuutuksia tarjoavia vakuutusyhtiöitä.

Millainen on käytännön prosessi FRIA arvioinnissa?

FRIA arviointi toteutetaan käytännössä haastatteluin, jonka perusteella muodostetaan kokonaiskuva tilanteesta. Tyypillisesti vaikutustenarviointi käsittää 3-5 haastattelua tai työpajaa sekä tekoälyjärjestelmän keskeisten käyttötapausten tarkastelua. Tarkastelun kestoon ja laajuuteen vaikuttaa luonnollisesti se, miten laajasti tai moniin tapauksiin tekoälyä käytetään. Nopeimmillaan prosessi voi kestää viikon tai kaksi, kun taas useampien haastatteluiden aikataulutus voi viedä lisää kalenteriaikaa.
Vaikutustenarvioinnin toteutuksen jälkeen asiakas saa kattavan raportin kokonaiskuvasta, sekä mahdolliset korjausehdotukset. Raporttia voi hyödyntää todisteena viranomaisille yhtä lailla kuin omalle asiakaskunnallekin siitä, että tekoälyn hyödyntäminen on harkittua ja oikeasuuntaista.
Onko tekoälyn vaikutustenarviointi tarpeellinen organisaatiollenne? Ota yhteyttä.

Ota yhteyttä