Skip to content
DataDream
← Allar greinar
Regluvarsla10 min

AI Act 4. gr.: hvað þarftu að gera sem lítill atvinnurekandi núna?

Laurens van Dijk, oprichter van DataDream

Laurens van Dijk

Agentic Engineer, DataDream

Deila

Fresturinn er löngu liðinn, og flest lítil fyrirtæki vita ekki af því

Þann 2. febrúar 2025 varð 4. gr. evrópsku AI Act bindandi. Ekki „innleidd í áföngum“. Ekki „leiðbeining fyrir síðar“. Einfaldlega: frá þeim degi verður hver ESB-atvinnurekandi að tryggja að starfsfólk sem notar gervigreind hafi líka næga þekkingu á henni. Núna er meira en ár liðið, og flest lítil og meðalstór fyrirtæki sem nota ChatGPT, Copilot eða Claude eru enn ekki meðvituð um þetta.

Lögin eru stutt. 4. gr. krefst „viðunandi stigs gervigreindarlæsis“ hjá öllum sem nota eða reka gervigreindarkerfi innan þíns fyrirtækis fyrir þína hönd. Þetta er ekki óbindandi viljayfirlýsing, heldur lagaskylda með eftirlitsheimildir hjá persónuverndarstofnun og sektum sem geta í fræðilegu tilliti farið upp í nokkrar milljónir evra.

Þetta er ekki regluvörsluskjal. Þetta er útskýring á því hvers vegna teymið þitt þarf að skilja það sem það vinnur með áður en þú færð sekt. Hér að neðan: hvað 4. gr. biður bókstaflega um, hverjum hún gildir um, hvað er viðunandi stig fyrir lítið teymi, og hvernig þú kemur þessu í lag á hagnýtan hátt án þess að setja upp ráðgjafarsirkus. Líka ef þú hefur ekki gert neitt: það er engin katastrófa, en þú verður að byrja.

Hvað stendur í 4. gr.?

Opinberi textinn er stuttur: „Veitendur og notkunarábyrgir aðilar gervigreindarkerfa gera ráðstafanir til, eftir því sem unnt er, að tryggja viðunandi stig gervigreindarlæsis hjá starfsfólki sínu og öðrum sem fyrir þeirra hönd reka og nota gervigreindarkerfi, með tilliti til tæknilegrar þekkingar þeirra, reynslu, menntunar og bakgrunns, sem og því samhengi sem gervigreindarkerfin verða notuð í og þeim einstaklingum eða hópum sem kerfin verða notuð gagnvart.“

Þetta eru þrjú mikilvægustu atriðin. Skyldan liggur hjá tveimur aðilum: hjá veitanda (provider, oft hugbúnaðarveitanda) og hjá notkunarábyrgum aðila (deployer, það ert þú sem fyrirtæki sem notar gervigreind). Fyrir langflest lítil og meðalstór fyrirtæki ertu deployer, ekki provider. Þú notar ChatGPT eða Copilot, þú smíðar það ekki sjálfur. Stigið er „viðunandi“, ekki „allir á háskólastigi“. Hvað telst viðunandi fer eftir hlutverki, tegund gervigreindar og áhættu. Markaðsstarfsmaður sem notar ChatGPT í bloggfærslur þarf annað stig en mannauðsstjóri sem notar gervigreind til að skima umsækjendur. Og það gildir um alla sem nota gervigreind fyrir þína hönd, ekki bara fasta starfsmenn. Nemar, verktakar og starfsmannaleigufólk sem vinnur fyrir þig fellur líka undir.

Eftirlit í Hollandi liggur hjá persónuverndarstofnuninni (AP), sem stjórnvöld hafa tilnefnt sem markaðseftirlitsaðila fyrir algrím og gervigreind. AP hefur gefið út eigin leiðbeiningarrit („Aan de slag met AI-geletterdheid“) og gerir skýrt að þetta er ekki pappírstígur.

Einn starfsmaður sem notar ChatGPT í samskipti við viðskiptavini er nóg til að skyldan gildi um þig.

Hverjum gildir þetta um í þínu fyrirtæki?

Hér gera margir litlir atvinnurekendur mistök. Þeir hugsa: „Við notum ekki gervigreind.“ Og svo kemur í ljós við eftirgrennslan að markaðsstjórinn notar ChatGPT daglega í texta, tölvupósta og fréttabréf, að skrifstofustjórinn notar Copilot í Outlook eða Gemini í Gmail um leið og þeir eiginleikar eru virkjaðir, að fjármálastarfsmaðurinn notar gervigreind í færsluvinnslu eða til að draga saman skýrslur, og að ráðningarstjórinn lætur gervigreind draga saman umsóknarbréf eða skima ferilskrár. Þjónustuverið keyrir með gervigreindarspjallmennum eða gervigreindartillögum. CRM-kerfið (HubSpot AI, Salesforce Einstein) hefur gervigreindareiginleika sem eru virkt notaðir. Og forritararnir eru með Copilot eða Cursor í IDE-inu sínu.

Mörg lítil fyrirtæki vanmeta hversu mikil gervigreind er þegar í þeirra ferlum. Þetta þarf ekki að vera stór gervigreindarvettvangur til að falla undir 4. gr. Einn starfsmaður sem notar ChatGPT í samskipti við viðskiptavini er nóg til að skyldan gildi um þig.

Nemar og verktakar teljast með. Lögin tala um „einstaklinga sem fyrir þeirra hönd reka og nota gervigreindarkerfi“. Ef utanaðkomandi textahöfundur skrifar fyrir þitt vörumerki með gervigreind, eða sjálfstætt starfandi manneskja sinnir viðskiptavinaþjónustu í gegnum gervigreindarverkfæri, þá ert það þú sem verkkaupi sem átt að tryggja að þau séu gervigreindarlæs fyrir það verk.

Hvað er „viðunandi stig“ fyrir þitt teymi?

  1. gr. krefst ekki samræmds námskeiðs fyrir alla. Hún krefst þekkingar sem hentar samhenginu. Nothæft líkan er að hugsa teymið í lögum.

Grunnlag (allir starfsmenn, líka þeir sem nota gervigreind ekki daglega). Hvað er gervigreind eiginlega, hvernig virkar stórt tungumálalíkan í grófum dráttum, hverjar eru áhætturnar (ofskynjanir, hlutdrægni, gagnaleki), hvenær má ekki nota gervigreind (gögn viðskiptavina í ókeypis ChatGPT-reikningi er slæm hugmynd), og hvernig tilkynnir þú atvik. Þetta er hægt að klára á klukkutíma eða tveimur fyrir allt teymið.

Notendalag (starfsmenn sem nota gervigreind daglega eða vikulega). Verkfærasértækt: hvernig virkar ChatGPT/Copilot/Claude, hvað er góð prompta, hvernig sannreynir þú útkomuna (gervigreind spinnur upp staðreyndir), hvenær á einmitt ekki að nota, hvernig ferðu með persónuverndarviðkvæm gögn. Reiknaðu með hálfum til heilum degi á notanda, plús promptu-safni með góðum dæmum fyrir þína vinnu.

Ábyrgðarlag (framkvæmdaráð, gervigreindarábyrgur, IT-lead). Stjórnarhættir: hvaða verkfæri leyfir þú, hvaða samninga gerir þú við birgja, hvernig skjalfestir þú að þú uppfyllir kröfurnar og hvaða gagnsæisskyldur þú þarft að uppfylla gagnvart viðskiptavinum. Þetta er meira vinnufundur en námskeið: þú festir stefnu í sessi.

Hlutverk með háa áhættu (mannauður, fjármál, lögfræði, þjónustuver). Sá sem notar gervigreind til ákvarðana um fólk (ráðningar, lánamat, viðskiptavinaflokkun) fellur í hááhættuflokk AI Act. Þar gilda auknar reglur: skjölunarskylda, mannleg yfirferð, gagnsæi gagnvart hlutaðeigandi. Sérhæfð þjálfun þarf fyrir hvert hlutverk.

Þessi lög eru ekki í röð. Þau eru ætluð mismunandi markhópum og keyra samsíða.

Hvernig kemurðu þessu í lag á hagnýtan hátt

Enginn ráðgjafarsirkus nauðsynlegur. Skipulögð nálgun í fimm skrefum virkar fyrir flest lítil og meðalstór fyrirtæki, og þú getur komið þeim upp á nokkrum vikum ef allir taka þátt.

Byrjaðu á að kortleggja hver notar hvaða gervigreindarverkfæri. Sendu stutta spurningalista um, eða farðu hring milli deilda. Nánast alltaf tekurðu saman lista sem er lengri en þú hélst. Þetta er strax verðmæt inntak fyrir persónuverndarskrána þína.

Skrifaðu síðan stutta gervigreindarstefnu, eina til tvær síður. Ekki 40 síðna handbók. Heldur: hvaða verkfæri eru leyfð, hvaða gögn mega fara inn (og hvaða alls ekki), hvenær þarf mannleg yfirferð, hvernig eru atvik tilkynnt, og hver er tengiliður innan þíns fyrirtækis fyrir gervigreindarspurningar.

Síðan skipuleggur þú þjálfun í þremur lögum. Grunnur fyrir alla, notendaþjálfun fyrir virka notendur, stjórnarhátta-vinnufundur fyrir framkvæmdaráð. Þú þarft ekki að kaupa þetta allt utanaðkomandi. Persónuverndarstofnunin býður sjálf upp á leiðbeiningarrit. Opið efni er í miklu magni tiltækt. Fyrir sérhæfð hlutverk eða stærri teymi borgar sig utanaðkomandi leiðsögn.

Festu niður ferli fyrir tilkynningu atvika. Rétt eins og með persónuvernd: við efa tilkynnir þú. Gervigreind sem lekur viðskiptavinagögnum fyrir slysni, umsóknarskimun sem hafnar kerfisbundið fólki með ákveðið eftirnafn, spjallmenni sem gefur ranga lögfræðilega upplýsingu: það eru atvik. Hver tilkynnir hvað hvar? Festu það niður fyrirfram.

Og skipuleggðu árlega endurskoðun. Gervigreind breytist hratt, regluverkið líka. AI Act sjálf er innleidd í áföngum (skyldur fyrir háa áhættu frá ágúst 2026, sumar skyldur ekki fyrr en 2027). Að þjálfa einu sinni og vera búinn virkar ekki.

Algengar ranghugmyndir

„Starfsmenn okkar nota ekki gervigreind.“ Nánast alltaf rangt. Vafraviðbætur af ChatGPT, gervigreindareiginleikar í M365 og Google Workspace, gervigreind í CRM-kerfum: hún læðist alls staðar inn. Ein umferð spurninga sannar það.

„Ein þjálfun og við uppfyllum kröfurnar.“ Nei. 4. gr. krefst viðunandi stigs sem heldur áfram að passa við hvernig vinnan og verkfærin breytast. Árleg endurskoðun tilheyrir.

„Aðeins IT-fólk þarf að vera gervigreindarlæst.“ Rangt. Lögin gilda um alla sem nota eða reka gervigreind fyrir þína hönd. Markaðsstarfsmaður án nokkurs tæknilegs bakgrunns fellur alveg eins undir.

„Þetta er bara fyrir stór fyrirtæki.“ Rangt. AI Act gildir um sérhvern ESB-atvinnurekanda sem notar gervigreind, óháð stærð. Framkvæmdastjórn Evrópusambandsins tekur þó tillit til stærðar og áhættu við eftirlit og sektarupphæðir. Fyrstu eftirlitsaðgerðir munu að öllum líkindum beinast fyrst að stórum aðilum með augljós brot, en það leysir ekki lítil fyrirtæki undan skyldunni.

„Persónuverndarþjálfun þekur þetta þegar.“ Rangt. Persónuverndarlöggjöfin og AI Act skarast á persónuverndarþáttum, en gervigreindarlæsi krefst viðbótarþekkingar: hvernig virkar líkan, hvað eru ofskynjanir, hvað er hlutdrægni í þjálfunargögnum, hvenær er mannlegrar yfirferðar krafist. Það er ekki inni í persónuverndarþjálfun.

„Birgirinn okkar sér um þetta.“ Að hluta. Hugbúnaðarveitandi (provider) hefur eigin skyldur, en það leysir þig sem deployer ekki undan ábyrgð á þínu eigin starfsfólki. Lögin benda á báða aðila, ekki bara veitandann.

Hvað ef þú gerir ekkert?

Hagnýtu afleiðingarnar eru:

Eftirlitsaðili. Í Hollandi er persónuverndarstofnunin tilnefnd sem markaðseftirlitsaðili fyrir algrím og gervigreind. AP framkvæmir rannsóknir, getur tekið eftirlitsákvarðanir og lagt á sektir. Við brot á 4. gr. (og skyldum greinum) gilda sektarþrep 99. gr. AI Act: allt að 15 milljónum evra eða 3% af heimsveltu, hvort sem er hærra. Í reynd mun AP að líkindum beinast fyrst að stórum aðilum og augljósum brotum, ekki að litlum fyrirtækjum sem eru einmitt að koma sinni gervigreindarstefnu upp. En heimildin er til staðar.

Ábyrgð og tjón. Starfsmaður sem notar gervigreind án þjálfunar og veldur viðskiptavini þar með tjóni (röng lögfræðileg upplýsing, gagnaleki, mismununarákvörðun): þú sem atvinnurekandi berð aðalábyrgðina. Skortur á sýnilegri gervigreindarlæsi er þá þyngjandi þáttur. Þetta getur leitt til bótakrafna og orðsporsskaða.

Orðspor. Holland er strangt á persónuverndareftirliti og þekkt fyrir persónuverndarhneyksli sem elta fyrirtæki árum saman (barnabótamálið, SyRI-dómurinn). Gervigreindaratvik hjá litlu fyrirtæki án stefnu berst hraðar í fjölmiðla en þig grunar. Það á sérstaklega við ef þú vinnur í B2B með stærri viðskiptavinum sem gera sjálfir regluvörslukröfur til sinna birgja.

Hvernig DataDream getur aðstoðað

Enginn pakki sem þú verður að kaupa, en nokkrar leiðir til að byrja hraðar.

Ókeypis gervigreindarskönnunin er stuttur spurningalisti sem sýnir hvar þú stendur: hvaða gervigreind þú notar líklega nú þegar, hvaða áhættur eru brýnastar þar, og hvar er best að byrja. Viltu vinnufund, þá skipuleggur DataDream AI Quickscan gegnum /ai-strategie: kortleggja á hverri deild hver notar hvað, setja upp drög að stefnu, og ákvarða þjálfunarþörf á hlutverk. Byrjað smátt, hægt að innleiða í áföngum. Fyrir raunverulega vinnu eru gervigreindarnámskeið sem uppfylla 4. gr. með skýrum hætti: grunnur fyrir alla, notendaþjálfun fyrir virka notendur, stjórnarhátta-fundur fyrir framkvæmdaráð. Á staðnum eða á neti, í þínu samhengi (byggt á þínum notkunartilvikum, engin almenn kynning). Og ef þú notar gervigreind í ráðningar: það fellur í hááhættuflokk AI Act, með þyngri skjölunar- og gagnsæisskyldum. Fyrir það er til sérhæfð leiðsögn fyrir gervigreind í mannauði og ráðningum.

Það sem DataDream gerir ekki: afhenda 40 síðna handbók sem enginn gerir neitt við. Það sem DataDream gerir: nothæfa stefnu, þjálfað teymi og skjölun sem sýnir að þú uppfyllir kröfurnar. Það er það sem AP vill sjá ef þau koma einhvern tíma við, og það er það sem viðskiptavinir biðja um þegar þeir setja gervigreindarregluvörslu inn í innkaupaskilmála.

Byrjaðu með fyrsta skrefinu

Ef þú lest þessa grein og hugsar „við höfum ekkert gert í þessu“: það er engin katastrófa, að því gefnu að þú byrjir núna. Flest lítil fyrirtæki eru í sömu stöðu. Fyrstu skrefin, kortlagning, gervigreindarstefna og grunnþjálfun, geturðu tekið á nokkrum vikum.

Enga hugmynd hvar á að byrja? Taktu ókeypis gervigreindarskönnunina til að sjá hvernig staðan er hjá þínu fyrirtæki. Viltu leiðsögn við stefnu og áætlun: ræddu nálgunina á /ai-strategie. Fyrir teymisþjálfun sem uppfyllir 4. gr. með skýrum hætti: /ai-training.

Viltu vita hvað AI getur gert fyrir fyrirtækið þitt?

Taktu ókeypis AI-úttektina og fáðu svarið á einni mínútu.

Algengar spurningar

Hvað er gervigreindarlæsi nákvæmlega?
Gervigreindarlæsi er samsetning af færni, þekkingu og skilningi sem þarf til að nota gervigreindarkerfi á ábyrgan hátt: tæknilegur grunnur (hvernig virkar gervigreindarlíkan), áhættuvitund (ofskynjanir, hlutdrægni, persónuvernd), lagalegt samhengi (persónuverndarlög, AI Act) og hagnýt notkun (prompting, útgangsstaðfesting). Stigið fer eftir hlutverki: endanotandi þarf minni dýpri þekkingu en stjórnarmeðlimur sem sér um stjórnhætti.
Hvenær þarf ég að uppfylla 4. grein?
Skyldan hefur verið beint gildandi frá 2. febrúar 2025; það er ekkert aðlögunartímabil eftir. Ef þú hefur ekkert komið á núna, þá ertu tæknilega í broti. Í reynd beinist eftirlitsaðilinn aðallega að stórum aðilum og skýrum brotum, en það leysir þig ekki undan skyldunni. Byrjaðu núna.
Hversu langan tíma tekur slíkt ferli fyrir 20 manna lítið eða meðalstórt fyrirtæki?
Fer eftir því hvar þú stendur og hversu djúpt þú ferð. Nothæfan grunn (yfirlit, stutta gervigreindarstefnu, grunnþjálfun fyrir allt teymið, notendaþjálfun fyrir ákafa notendur) er hægt að koma upp á nokkrum vikum ef allir taka þátt. Dýpri stjórnhættir og hlutverkasérstök þjálfun tekur meiri tíma. Þú þarft ekki að hafa allt fullkomið í einu: byrjaðu smátt, í áföngum.
Má ég sjá um þetta sjálf(ur) innanhúss?
Já. Lögin krefjast ekki ytri aðila. Hollenska persónuverndarstofnunin býður handbók sem er ágætur útgangspunktur fyrir mörg lítil og meðalstór fyrirtæki. Ytri leiðsögn borgar sig helst ef þú hefur engan innanhúss sem sameinar gervigreindar- og lagaþekkingu, eða ef þú starfar í eftirlitsskyldri grein með þyngri kröfum.
Hvað ef starfsmaður notar gervigreind án þjálfunar samt sem áður? Er ég ábyrg(ur)?
Í grundvallaratriðum já. Sem vinnuveitandi berð þú ábyrgð á því sem starfsmenn þínir gera í starfi. Skortur á sannanlegu gervigreindarlæsi er þyngjandi þáttur í atviki. Gervigreindarstefna auk sannanlegrar þjálfunar er þín besta vörn. Að hafa stefnu og framfylgja henni ekki hjálpar ekki: það þarf einnig að vera sönnun þess að stefnan sé virk.
Gildir 4. grein einnig um verktaka sem starfa fyrir mig?
Já. Lögin tala um 'aðila sem starfrækja og nota gervigreindarkerfi fyrir þeirra hönd'. Ef verktaki starfar fyrir vörumerkið þitt með gervigreind, þá þarft þú sem verkkaupi að tryggja að sá aðili hafi viðeigandi gervigreindarlæsi fyrir það verkefni. Veittu þeim aðgang að sömu þjálfun, eða tilgreindu í samningnum að þeir sjái sjálfir um fullnægjandi gervigreindarlæsi.
Hvernig skrái ég að ég uppfylli 4. grein?
Gættu þess að þrjú atriði séu í lagi. Eitt: gervigreindarstefna með dagsetningu og útgáfunúmeri. Tvö: skrá yfir hver hefur sótt hvaða þjálfun, hvenær og á hvaða stigi. Þrjú: annáll yfir gervigreindaratvik og hvernig þau voru meðhöndluð. Haltu því einföldu og uppfærðu. Excel-skrá eða hluti á innraneti virkar vel fyrir lítil og meðalstór fyrirtæki.