Skip to content
DataDream

AI Act 2026: allt sem fyrirtæki þurfa að vita

AI-reglugerð ESB hefur verið í gildi frá 1. ágúst 2024. Fyrstu skyldurnar tóku gildi 2. febrúar 2025. Þetta er það sem hún þýðir fyrir fyrirtækið þitt, á einföldu máli, engin ráðgjafarsýning.

Taktu ókeypis AI Act-úttektina

AI Act (reglugerð 2024/1689) er fyrsta víðtæka AI-löggjöfin í heiminum. Hún snýst ekki aðeins um stóra tæknirisa: ef þú notar AI í þjónustu við viðskiptavini, ráðningar, lánamat, eða rekur jafnvel spjallmenni sem talar við viðskiptavini, fellur þú undir hana. Lögin koma til framkvæmda í áföngum til 2. ágúst 2026, með sektum allt að 7% af heimsveltu eða 35 milljónum evra fyrir alvarlegustu brotin.

Fyrir lítil og meðalstór fyrirtæki er kvíðinn yfirleitt meiri en þörf krefur, en það eru atriði sem skipta máli. 4. grein (AI-læsi) og 5. grein (bönnuð háttsemi) eru þegar í gildi. Að láta starfsfólk vinna með AI-verkfærum eins og ChatGPT án nokkurrar grunnþjálfunar eða vinnureglna samræmist ekki læsisskyldunni. Komi til kvörtunar eða úttektar þarftu að geta sýnt hvaða ráðstafanir þú hefur gert. Engin lögfræðiráðgjöf, heldur hagnýt skref sem þú getur tekið strax í þessum mánuði.

DataDream hjálpar litlum og meðalstórum fyrirtækjum að komast í samræmi við reglur á hagnýtan hátt, án kvíða og án tíu kafla ráðgjafarskýrslu sem enginn les. Stutt úttekt til að sjá hvar þú stendur, AI-skrá til að ná tökum á því sem er í gangi, AI-læsisþjálfun til að uppfylla 4. grein, og ítarleg regluvörsluumgjörð aðeins þar sem raunverulega þarf. Fyrir efni sem skarast við aðra löggjöf er unnið með AI-lögfræðingum.

Viltu vita hvar þú stendur? Taktu ókeypis AI Act regluvörsluúttektina strax: fimm spurningar, PDF-skýrsla í pósthólfið. Fyrir víðtækara mat á AI, sjá ókeypis AI-úttektina. Fyrir alvöru AI Act-úttekt: hafðu samband.

// definitie

Hvað er AI Act?

AI Act er evrópska reglugerðin (ESB 2024/1689) sem stýrir því hvernig AI-kerfi mega vera þróuð, sett á markað og notuð innan Evrópusambandsins. Lögin hafa verið í gildi frá 1. ágúst 2024; skyldurnar taka gildi í áföngum til 2. ágúst 2026. Þetta er fyrsta víðtæka AI-löggjöfin í heiminum og gildir um alla sem nýta AI á ESB-markaði, óháð því hvar fyrirtækið er staðsett.

Lögin gera ráð fyrir fjórum áhættuflokkum: bönnuð háttsemi (5. grein, ekki lengur heimil frá febrúar 2025), áhættuhá kerfi (Viðauki III, ítarlegasta umgjörðin um regluvörslu frá ágúst 2026), takmörkuð áhætta (gagnsæisskylda, til dæmis fyrir spjallmenni) og lítil áhætta (frjáls notkun). Auk þess gildir 4. grein (AI-læsi) frá febrúar 2025 fyrir allar stofnanir sem nota eða bjóða AI.

Fyrir lítil og meðalstór fyrirtæki þýðir þetta í reynd: að kortleggja hvaða AI þú notar, flokka eftir áhættu, tryggja AI-læsi eftir hlutverkum, og byggja aðeins upp ítarlega regluvörsluumgjörð þar sem raunverulega þarf. Enginn ráðgjafaskrekkur, en nokkrar skyldur sem þú getur sinnt strax í þessum mánuði. Fyrir ítarlega útskýringu með dæmum úr raunveruleikanum: sjá heildarleiðarvísir um AI Act fyrir lítil og meðalstór fyrirtæki.

Áskoranir

01

Þú veist ekki hvort AI Act nær yfir þig

Skilgreiningin á AI-kerfi í 3. grein er víð. Mörg fyrirtæki halda að þau noti enga AI á meðan þau keyra ChatGPT-viðbætur, umsóknarskimun eða breytileg verðlíkön sem falla beint undir reglurnar. Óvissa er engin afsökun og brot eru dýr.

DataDream gerir AI-úttekt: öll kerfi, verkfæri og notkunardæmi innan fyrirtækisins sem teljast AI samkvæmt lögum. Því næst eru þau flokkuð eftir áhættu (bönnuð, hááhætta, takmörkuð áhætta, lágmarksáhætta). Niðurstaða: stutt skjal sem sýnir þér hvar þú stendur.

02

4. grein (AI-læsi) er þegar skylda frá 2. febrúar 2025

Sérhver stofnun sem notar eða býður upp á AI verður að tryggja að starfsfólk og viðeigandi þriðju aðilar hafi næga þekkingu á AI. Þetta gildir núna, ekki einhvern tímann árið 2026. Mörg lítil og meðalstór fyrirtæki vita þetta ekki og hafa ekkert undirbúið.

DataDream veitir þjálfun í AI-læsi eftir hlutverkum (stjórn, markaðssetning, mannauðsmál, þjónustu við viðskiptavini, upplýsingatækni). Með skráningu mætinga, námsefni og stuttu prófi, svo þú getir sýnt þetta fram í úttekt. Sjá AI-þjálfun.

03

Ekkert yfirlit yfir hvaða AI-verkfæri fólk notar nú þegar

Skugga-AI er alls staðar. Markaðsdeildin keyrir Midjourney, sala spjallar við ChatGPT, mannauðsmál prófar umsóknarbréf í Claude, fjármáladeildin prófar spár í Copilot. Enginn skráir þetta. Í hááhættunotkun er þetta ekki bara áhættusamt, heldur beint brot á 26. grein.

DataDream byggir upp AI-skrá: hvaða verkfæri, hver notar það, í hvaða tilgangi, hvaða gögn fara inn, hvernig útkoman er staðfest. Lifandi skjal, stutt og nothæft, ekki 500 lína Excel.

04

Hááhættukerfi án þess að þú vitir af því

Viðauki III við AI Act telur upp hááhættunotkun: ráðningar, lánveitingar, lífkennaauðkenningu, mikilvæga innviði, námsmat. Umsóknarskimun eða stigamódel sem virðist saklaust núna fær frá 2. ágúst 2026 þunga regluvörslubyrði: skjölun, gagnagæði, mannlegt eftirlit og eftirlit eftir markaðssetningu.

DataDream metur notkunardæmin þín á móti viðauka III og hjálpar þér að velja milli þess að byggja upp hááhættukerfi eða endurhanna notkunardæmið svo það flokkist ekki lengur sem hááhætta. Í mörgum tilvikum er seinni leiðin bæði ódýrari og fljótlegri.

05

AI Act, GDPR og NIS2 lenda öll á þínu borði

AI Act kemur ekki í staðinn fyrir GDPR, hún bætist ofan á. NIS2 (netöryggi) bætist svo við líka. Þrjár reglugerðir, þrjár skráningar, þrjár áhættugreiningar. Fyrir lítið eða meðalstórt fyrirtæki án regluvörslustjóra er þetta ógerlegt án aðstoðar.

Rammarnir þrír eru samtvinnaðir: sameiginleg áhættugreining, DPIA sem nær einnig yfir kröfur AI Act, og öryggisgrunnur sem dekkar bæði NIS2 og AI Act í senn.

Niðurstöður

  • Á viku veistu hvar þú stendur gagnvart AI Act, engin 80 síðna skýrsla
  • Sönnunarbyrði fyrir 4. grein (AI-læsi) er á hreinu áður en fyrsta kvörtunin berst
  • AI-skrá sem nýtist líka fyrir GDPR-vinnsluskrána, enginn tvíverknaður
  • Áhættuflokkun fyrir hvert kerfi, svo þú veist hvar raunverulegu skyldurnar liggja
  • Áþreifanlegur aðgerðalisti með forgangi, tímamörkum og ábyrgðaraðila á hverri aðgerð
  • Samþætting við núverandi GDPR- og (eftir atvikum) NIS2-nálgun
  • Námsefni sem starfsfólkið vill í raun ljúka
  • Endurhönnun verkfæra og notkunardæma ef vafi leikur á, svo þau flokkist ekki lengur sem hááhætta
  • Stuðningur þegar Persónuvernd eða viðskiptavinir spyrja
  • Engin innilokun hjá söluaðila: öll skjölun helst þín, á einfaldri íslensku
Provincie Zeeland
Gemeente Vlissingen
Donders Institute
Radboud University
Dockwize
Hello Zeeland
Kanoa
Chillhop Music
De Grijze Clercq
Mycogenius

Ekki okkar orð. Þeirra.

Laurens hjálpaði okkur að hleypa lífi í dagskrárframboð sem átti enn eftir að fara í loftið. Samstarfið í þessu verkefni gekk afar vel. Við hlökkum til fleiri spennandi verkefna þar sem við getum nýtt AI til að bæta þjónustuna okkar!

Jordi Dooge

Business Scout, Dockwize

Samstarfið við Laurens skipti sköpum í stafrænni umbreytingu Chillhop Music, mótað af djúpri þekkingu hans á nýjustu tækni og AI-samþættingum.

Theo Egginton

General Manager, Chillhop Music

Það er eftirtektarvert hversu góður tími er gefinn í að skilja hvert vandamál til hlítar áður en lausnir eru lagðar fram. Ég er ekki bara ánægður, heldur einlæglega glaður með framlagið til verkefnanna okkar.

Seth Colchester

CEO & Founder, Mycogenius

Algengar spurningar

Hvað er AI Act ESB og hvenær tók hún gildi?

AI Act, formlega reglugerð (ESB) 2024/1689, er fyrsta heildstæða AI-löggjöfin í heiminum. Hún var samþykkt 13. júní 2024, birt í Stjórnartíðindum ESB 12. júlí 2024 og tók gildi 1. ágúst 2024. Frá þeim degi taka skyldurnar gildi í áföngum og reglugerðin tekur að fullu gildi 2. ágúst 2026. Reglugerðin gildir beint í öllum aðildarríkjum ESB og nær til Íslands í gegnum EES-samninginn, án sérstakrar innleiðingar í landsrétt.

Hvenær tekur hver hluti gildi?

Í reglugerðinni eru fjórar lykildagsetningar. 2. febrúar 2025: bönnuð AI-notkun (5. gr.) tekur gildi og skylda til AI-læsis (4. gr.) gildir fyrir öll fyrirtæki sem nota AI. 2. ágúst 2025: skyldur veitenda almennra AI-líkana (GPAI), eins og OpenAI, Anthropic, Google og Mistral, ásamt ákvæðum um stjórnarhætti og flestum viðurlögum. 2. ágúst 2026: meginhluti reglugerðarinnar, þar á meðal reglur um hááhættukerfi (III. viðauki) og gagnsæiskröfur fyrir kerfi með takmarkaða áhættu. 2. ágúst 2027: reglur um hááhættu-AI sem er innbyggð í vörur samkvæmt núgildandi vörulöggjöf ESB (I. viðauki, til dæmis lækningatæki, vélar og leikföng).

Hverjir eru áhættuflokkarnir fjórir?

AI Act byggir á áhættumati. Óásættanleg áhætta (bönnuð): félagsleg stigagjöf hins opinbera, blekkjandi AI sem skaðar viðkvæma hópa, lífkennaflokkun eftir viðkvæmum eiginleikum, rauntíma-lífkennaauðkenning á almannafæri (með fáeinum undantekningum fyrir löggæslu) og tilfinningagreining á vinnustöðum og í skólum. Algjörlega bönnuð frá 2. febrúar 2025. Há áhætta: kerfi sem talin eru upp í III. viðauka (ráðningar, lánveitingar, mikilvægir innviðir, menntun, lífkenni sem ekki eru bönnuð, löggæsla, fólksflutningar, dómskerfi) og AI í vörum samkvæmt I. viðauka. Miklar skyldur: áhættustjórnunarkerfi, gagnastjórnun, tæknileg skjölun, atvikaskráning, mannlegt eftirlit, traustleiki og netöryggi. Takmörkuð áhætta: spjallmenni, djúpfalsanir og AI-efni. Skylt: að upplýsa notendur um AI-notkun og merkja efnið. Lágmarksáhætta: ruslpóstsíur, AI í tölvuleikjum og birgðabestun. Engar sérstakar AI Act-skyldur, en persónuverndarlöggjöf (GDPR) og almenn lög gilda áfram.

Hverjir þurfa að fara eftir AI Act?

Reglugerðin skilgreinir fjögur hlutverk. Veitendur (providers): þeir sem þróa AI-kerfi, eða láta þróa það, til að setja á markað undir eigin nafni. Þyngsta hlutverkið. Notkunaraðilar (deployers): fyrirtæki sem nota AI-kerfi í atvinnustarfsemi. Undir þetta fellur meirihluti íslenskra lítilla og meðalstórra fyrirtækja. Innflytjendur: fyrirtæki sem flytja AI-kerfi frá þriðja landi inn á markað ESB. Dreifingaraðilar: fyrirtæki í aðfangakeðjunni sem bjóða AI-kerfi á markaði án þess að hafa sjálf þróað þau eða flutt þau inn. Mikilvægt: einnig sem notkunaraðili hefur þú skyldum að gegna, sérstaklega gagnvart hááhættukerfum (26. gr.): mannlegt eftirlit, varðveisla atvikaskráa, tilkynning atvika og að tryggja AI-læsi starfsfólks (4. gr.).

Hvað þýðir AI-læsi samkvæmt 4. grein í raun?

Í 4. grein er gerð sú krafa að veitendur og innleiðingaraðilar tryggi, eftir bestu getu, að starfsfólk þeirra og aðrir sem nota AI-kerfi á þeirra vegum búi yfir nægilegri AI-færni. Þar þarf að taka mið af tæknilegri þekkingu viðkomandi, reynslu, menntun, samhengi notkunarinnar og hverjir verða fyrir áhrifum. Í reynd: þjálfun miðuð við hlutverk, ekki almennt námskeið fyrir alla. Markaðsstarfsmaður sem nýtir ChatGPT í textavinnu þarf annað námsefni en mannauðsstjóri sem framkvæmir umsækjendaskimun. Eftirlitsaðilar, í Hollandi Persónuverndarstofnunin (Autoriteit Persoonsgegevens) og RDI, hafa lýst því yfir að þeir framfylgja kröfunni um sannanleika: skjölun, þátttakendur, námsmarkmið og mat. Þetta er í boði í gegnum AI-þjálfun.

Hvaða sektir liggja við brotum á AI-reglugerð ESB?

Sektir eru þrepaskiptar og með skýrum hámörkum. Allt að 35 milljónir evra eða 7% af árlegri heimsveltu (það sem hærra er) fyrir bannaðar AI-iðkanir (5. grein). Allt að 15 milljónir evra eða 3% af árlegri heimsveltu fyrir flest önnur brot, þar á meðal kröfur um áhættusöm kerfi, gagnsæi og reglur um veitendur GPAI. Allt að 7,5 milljónir evra eða 1% af árlegri heimsveltu fyrir rangar eða villandi upplýsingar til eftirlitsaðila. Sérstök ákvæði gilda um lítil og meðalstór fyrirtæki og sprotafyrirtæki: aðildarríkjum er heimilt að setja lægri hámörk fyrir smærri rekstraraðila og taka verður tillit til meðalhófs við ákvörðun sektar. Í Hollandi er Persónuverndarstofnunin (AP) helsti eftirlitsaðilinn, ásamt sviðsbundnum aðilum á borð við RDI, AFM og NZa.

Hvernig spilar AI-reglugerð ESB saman við GDPR og NIS2?

Þær gilda samhliða, þær koma ekki í stað hver annarrar. GDPR (AVG) heldur fullu gildi fyrir allt sem snertir persónuupplýsingar. AI-kerfi sem vinnur persónuupplýsingar þarf að uppfylla GDPR (lagaheimild, tilgangsbinding, gagnalágmörkun, réttindi skráðra) og AI-reglugerð ESB (áhættuflokkun, skjölun, mannlegt eftirlit). NIS2, netöryggistilskipunin fyrir nauðsynlegar og mikilvægar einingar, snertir AI á sviði tæknilegra varna og tilkynningarskyldu vegna atvika. Í reynd er áhættumat unnið samþætt: DPIA vegna GDPR, mat á áhrifum á grundvallarréttindi (FRIA) fyrir áhættusama AI hjá opinberum innleiðingaraðilum og NIS2-áhættugreining, og byggir allt þetta á sömu gögnum.

Hvað segir hollenska persónuverndarstofnunin um AI?

Hollenska persónuverndarstofnunin (AP) hefur verið tilnefnd í Hollandi sem markaðseftirlitsaðili AI-reglugerðar ESB, til viðbótar við hefðbundið hlutverk sitt sem GDPR-eftirlitsaðili. AP heldur úti sérstöku þemasvæði um reiknirit og AI með leiðbeiningum, algengum spurningum og sviðsskýrslum. Helstu áherslur: AI-færni er ekki formsatriði heldur raunveruleg skylda, djúpfalsanir án skýrrar merkingar eru vandasamar bæði samkvæmt GDPR og AI-reglugerð ESB, og sjálfvirk ákvarðanataka með lagaleg áhrif fellur bæði undir 22. grein GDPR og 26. grein AI-reglugerðar ESB. AP gefur út ársfjórðungslega skýrslu um áhættu vegna reiknirita í Hollandi.

Hvernig aðstoðið þið við regluvörslu vegna AI-reglugerðar ESB?

Þrjár leiðir, í þessari röð. Leið 1, fljót yfirsýn: AI-úttekt á hálfum til einum degi, öll AI-kerfi kortlögð, áhættuflokkun og þrjár forgangsaðgerðir á einni A4-síðu. Sjá einnig gjaldfrjálsa AI-úttekt til að fá fyrstu mynd. Leið 2, grunnvinna: setja upp AI-skrá, innleiða þjálfun í AI-færni, skrifa AI-stefnu og innri verkferla og samþætta við fyrirliggjandi GDPR-vinnu. Leið 3, áhættusöm eða stórtæk kerfi: fyrir fyrirtæki með raunverulega áhættusöm kerfi eða GPAI-smiði er sett upp innleiðingarferli með áhættustýringarkerfi, tæknilegri skjölun, mannlegu eftirliti og eftirfylgni eftir markaðssetningu. Í þessari leið er unnið með AI-lögfræðingum og, þegar fjárhags- og rekstrarþættir skarast, með endurskoðendum.

Á ég að byrja núna eða get ég beðið til 2. ágúst 2026?

Að bíða er dýr stefna. Þrjár ástæður. Í fyrsta lagi: 4. grein (AI-læsi) og 5. grein (bönnuð háttsemi) eru þegar í gildi frá 2. febrúar 2025. Notir þú AI nú án nokkurrar þjálfunar eða án skoðunar á bannaðri notkun, ertu þegar að brjóta reglur. Í öðru lagi: má gera ráð fyrir að innleiðing áhættuhárra kerfa taki sex til tólf mánuði fyrir áhættustýringu, skjölun, gagnagæði og úttektir. Ætlir þú að vera í samræmi við reglur fyrir 2. ágúst 2026 þarftu að hefjast handa snemma árs 2026, ekki í júlí. Í þriðja lagi: birgjar og viðskiptavinir fara þegar að krefjast sönnunar. Stór innkaupsaðili sem kaupir AI-einingu vill sjá skjölun, jafnvel þótt lögunum sé ekki enn framfylgt að fullu. Að byrja kostar minna en að flýta sér. Eins dags úttekt veitir þér strax yfirsýn og forgangslista.

Tökum spjall saman.

Viltu vita hvað AI getur gert fyrir þig? Sendu skilaboð eða bókaðu fund beint. Við svörum alltaf innan eins virks dags.

Tölvupóstur

info@datadream.nl

Staðsetning

Middelburg, Zeeland

Viðvera

Viðvera á netinu allan sólarhringinn

Skyldureitur