Skip to content
DataDream
← Allar greinar
AI Act11 min

Hvað er AI Act? Skýr útskýring fyrir íslensk lítil og meðalstór fyrirtæki

Laurens van Dijk, oprichter van DataDream

Laurens van Dijk

Agentic Engineer, DataDream

Deila

AI Act er ekki lengur framtíðarmúsík

Brussel samdi árum saman, árið 2024 var ESB AI Act samþykkt sem reglugerð 2024/1689, og síðan 2. febrúar 2025 hafa fyrstu skyldurnar verið í gildi. Fyrir lítið eða meðalstórt fyrirtæki á Íslandi þýðir það: frá og með núna gilda bönn, frá og með núna er skylda til AI-læsis fyrir starfsfólkið þitt, og frá 2026 til 2027 koma þyngri kröfur ef þú notar eða smíðar hááhættu-AI. Lögin eru ekki lengur dagskrárliður fyrir 2027. Þau eru komin, og fyrirtækið þitt mun nær örugglega tengjast þeim.

Þessi grein útskýrir þetta án lögfræðilegs orðaflaums. Fyrir heildaryfirlit með hjálpartækjum og gátlistum sjá /ai-act. Viltu fljótt vita hvar þú stendur, þá gerir þú sjálfsskönnunina á /ai-act-checker.

Lögin eru ekki lengur dagskrárliður fyrir 2027. Þau eru komin, og fyrirtækið þitt mun nær örugglega tengjast þeim.

AI Act í nokkrum setningum

AI Act eru fyrstu víðtæku AI-lögin í heiminum. Nálgunin er áhættumiðuð: ekki fá allar útfærslur sömu reglurnar, skyldurnar ráðast af því hvað AI gerir og hvar hún er notuð. Lögin gilda fyrir alla sem bjóða AI á ESB-markaði eða nota hana í ESB. Þannig einnig fyrir bandaríska birgja sem selja hér, og fyrir íslenskt fyrirtæki sem notar ytri AI í rekstri sínum.

Tvö hlutverk verður þú að halda vel aðgreindum. Provider er sá aðili sem býr AI til eða setur hana á markað. Deployer er sá aðili sem notar AI í fyrirtæki sínu. Flest lítil og meðalstór fyrirtæki eru deployer. Aðeins fyrirtæki sem sjálf setja AI-líkön eða AI-kerfi á markað eru provider.

Áhættuflokkarnir fjórir

Lögin þekkja fjóra flokka, stigvaxandi eftir alvarleika.

1. Óviðunandi áhætta (bönnuð, síðan 2. febrúar 2025). Útfærslur sem brjóta á grundvallarréttindum. Dæmi: samfélagsstigagjöf hins opinbera, rauntíma lífkennaeftirlit á opinberum stöðum án strangra undantekninga, hagræn AI sem beinist að viðkvæmum hópum, tilfinningagreining á vinnustað eða í skólum (með undantekningum fyrir læknis- eða öryggistilgangi). Lítil og meðalstór fyrirtæki komast sjaldan í snertingu við þetta, en mikilvægt er að þekkja bannið, svo þú vitir hvenær þú átt að halda þig frá.

2. Hááhætta (skyldur frá ágúst 2026). AI með beinum afleiðingum fyrir fólk, réttindi þess eða öryggi. Dæmi: AI í ráðningum og vali, AI við lánveitingar, AI í námsmati, AI í heilbrigðisgreiningu, AI í grunnviðum. Fyrir þennan flokk gildir umfangsmikill pakki: áhættustjórnun, eftirlit með gæðum gagnasetta, tækniskjölun, gagnsæi gagnvart notendum, mannlegt eftirlit, styrkleiki, nákvæmni og netöryggi. Notarðu AI fyrir HR-ferlið þitt eða viðskiptavinaskoðun? Þá er þessi kafli sá mikilvægasti fyrir þig.

3. Takmörkuð áhætta (gagnsæisskyldur). AI sem á í samskiptum við fólk (spjallbotar, raddbotar) verður að gera ljóst að um AI sé að ræða. AI-myndað efni (deepfake, hagrætt texti, myndir) verður að vera merkjanlegt sem slíkt. Ertu með spjallbot, AI-raddmóttöku eða birtir AI-efni? Sjáðu til gagnsæis núna.

4. Lágmarksáhætta (engar sértækar skyldur). Mikill meirihluti AI-útfærslna fellur hér undir: ruslpóstsíur, AI í leitarvélum, vörutillögur, AI-eiginleikar í skrifstofuhugbúnaði. Engar sértækar skyldur samkvæmt AI Act, en almenna skyldan (4. gr.) um AI-læsi fyrir starfsfólkið þitt gildir.

Tímalínan: hvað er í gildi núna og hvað er eftir?

DagsetningHvað tekur gildi
2. ágúst 2024AI Act birt í Stjórnartíðindum ESB
2. febrúar 2025Bönn og AI-læsi (4. gr.) í gildi
2. ágúst 2025Reglur fyrir almenn AI-líkön (GPAI providers)
2. ágúst 2026Skyldur fyrir hááhættu-AI í gildi
2. ágúst 2027Aðrar skyldur (einkum núverandi hááhætta) í gildi

Fyrir lítil og meðalstór fyrirtæki er ágúst 2026 kaflaskilin. Frá þeim degi gilda þungu skyldurnar fyrir hááhættu-AI, og framfylgd hefst í skrefum.

4. gr.: AI-læsi er nú skylda

Það áþreifanlegasta sem gildir fyrir öll fyrirtæki síðan í febrúar 2025: 4. grein AI Act. Hver sú stofnun sem notar AI (provider eða deployer) verður að tryggja að starfsfólk hennar og tengdir utanaðkomandi aðilar hafi "viðeigandi stig AI-læsis". Það gildir enginn þröskuldur eftir stærð stofnunar. Tíu manna fyrirtæki með ChatGPT-notkun fellur undir þessa skyldu jafnt og fjölþjóðafyrirtæki með agent-kerfi.

Hvað felur það áþreifanlega í sér? Starfsfólkið þitt verður að vita hvað AI er, hvernig hún virkar í grunninn, hverjar áhætturnar eru (ranghugmyndir, bias, gagnalekaáhætta) og hvernig þú notar hana með ábyrgum hætti. Fyrir áhættusamari útfærslur er dýpri þjálfun nauðsynleg, fyrir skrifstofunotkun dugir grunnkynning. Skráðu það sem þú gerir: þjálfanir, stefnur, prompts og leiðbeiningar. Ef eftirlitsaðili kemur einhvern tíma bankandi, viltu geta sýnt að þú hafir hlutina í lagi.

Fyrir útfærslu með hagnýtum þjálfunum sjá /ai-training. Viltu kafa dýpra í 4. gr.? Lestu AI Act 4. gr. fyrir lítil og meðalstór fyrirtæki.

Hvað getur þú gert núna? (sex skref fyrir lítil og meðalstór fyrirtæki)

Skref 1: Kortlagðu hvar þú notar AI. Ekki bara ChatGPT og Copilot, heldur einnig AI-eiginleika í tólum sem þú áttir nú þegar (Hubspot, Salesforce, Mailchimp, ráðningarhugbúnaði, þjónustuverstólum). Gerðu lista eftir deildum.

Skref 2: Flokkaðu hverja útfærslu. Fyrir hverja útfærslu: lágmarks-, takmörkuð, há- eða óviðunandi áhætta? Í flestum tilvikum ertu í lágmarks eða takmarkaðri. Athugaðu hááhættu í HR (vali), lánsmati, námsmati, útkomum í heilbrigðismálum eða viðskiptavinaskorum.

Skref 3: Sjáðu til gagnsæis við takmarkaða áhættu. Spjallbot? Gerðu ljóst að um AI sé að ræða. Raddbot? Sama. AI-myndað markaðsefni á skala þar sem markhópurinn þarf að vita það? Merktu það.

Skref 4: Þjálfaðu starfsfólkið þitt. Grunnþjálfun í AI-læsi fyrir alla sem nota AI. Skráðu mætingu og innihald. Yfirleitt 90 mínútur gagnvirkt, með dæmum úr geiranum, prompt-grunnatriðum, áhættum og innri stefnu.

Skref 5: Skráðu stefnuna þína. Stutt innra AI-stefnuskjal: hvaða tól má nota, hvaða gögn má eða má ekki, hvenær færir þú upp á IT, hvað gerir þú við atvik. Haltu því hnitmiðuðu (tvær til þrjár A4-síður) og haltu því uppfærðu.

Skref 6: Skipuleggðu fyrir 2026. Eru hááhættu-útfærslur meðal ykkar útfærslna? Byrjaðu núna með tækniskjölun, eftirliti með gagnasettum og stjórnhætti sem þú verður að hafa á hreinu í ágúst 2026.

Hvað AI Act þýðir eftir geirum (í reynd)

Lögin virðast óhlutbundin, en í samtölum við viðskiptavini koma sömu geiraspurningar aftur og aftur. Fjögur algeng dæmi og hvað þau þýða áþreifanlega.

HR og ráðningar. Notarðu AI til að skima ferilskrár, gefa umsækjendum stig eða forvelja sjálfvirkt? Það er hááhætta. Frá ágúst 2026: skjalfestu gagnasettið þitt (hvaða dæmi þjálfa kerfið, hvernig tryggirðu að það mismuni ekki óviljandi), sjáðu til mannlegs eftirlits með hverri höfnun, og upplýstu umsækjendur um að AI sé í ferlinu. Margir ATS-birgjar (Werken bij, Recruitee, Greenhouse) bjóða hjálparaðgerðir hér, en sem deployer berðu áfram sjálfur ábyrgðina.

Heilbrigðismál. AI í greiningu, meðferðarráðgjöf eða þríflokkun er hááhætta. Heimilislæknastofa sem notar spjallbot til að spyrja um einkenni fellur fljótt í þennan flokk ef niðurstaðan vegur í ákvörðunum í viðtalsherberginu. Nálgun: tækniskjölun AI-kerfisins, klínísk sannprófun, mannlegt eftirlit vel fest í ferlinu, og gagnsæi gagnvart sjúklingi.

Lögfræði og endurskoðun. AI sem framleiðir lögfræði- eða skattaráðgjöf fellur undir generatíva AI með gagnsæiskröfum, ekki sjálfkrafa undir hááhættu. En agavaldsábyrgðin á niðurstöðunni er áfram hjá ráðgjafanum. Praktískt: notaðu AI-niðurstöður alltaf sem uppkast, framkvæmdu faglega yfirferð, og upplýstu viðskiptavini um AI-notkun í vinnuferlinu þínu. Fyrir endurskoðendur sjá einnig AI fyrir endurskoðendur.

Menntamál. AI til námsmats nemenda, prófayfirferðar eða inntökuákvarðana er hááhætta. Fyrir kennslustuðning (nemendaspjallbot, AI-kennari) ertu í takmarkaðri áhættu með gagnsæiskröfum. Fyrir markvissa útskýringu eftir kennsluskrefum sjá AI í menntamálum.

Hvernig framfylgd virkar á Íslandi

Á Íslandi koma margir eftirlitsaðilar að málinu. Persónuvernd er samræmingar-markaðseftirlitsaðili, með geirasértækum stofnunum til hliðar: Fjármálaeftirlitið fyrir fjármál, Embætti landlæknis fyrir heilbrigðismál, Menntamálastofnun fyrir menntun, Neytendastofa fyrir neytendamál. Sektirnar eru þungar: allt að 35 milljónir evra eða 7% af veltunni á heimsvísu fyrir bönnuð AI-athæfi, og lægri en samt umtalsverðar allt að 15 milljónum eða 3% af veltunni fyrir önnur brot.

Í reynd þýðir þetta fyrir lítil og meðalstór fyrirtæki: framfylgd hefst í raun ekki fyrr en 2026 á hááhættu, og eftirlitsaðilar tjá sig árið 2025 aðallega í gegnum leiðbeiningar og fræðslu. En að bíða eftir bréfi er engin stefna, það er frestun. Sá slagur sem opinberar stofnanir munu taka er fyrirsjáanlegur. Sá sem núna kemur skjölunum á hreint, hefur ró síðar.

Hvernig DataDream hjálpar

DataDream leiðbeinir íslenskum litlum og meðalstórum fyrirtækjum á fjórum áþreifanlegum sviðum.

1. Compliance-skönnun. Kerfisbundin kortlagning á AI-notkun ykkar og flokkun eftir útfærslum. Niðurstaða: áhættuyfirlit og forgangslisti. Byrjaðu í gegnum /ai-act-checker fyrir fyrstu sjálfsskönnun.

2. AI-læsi þjálfanir. Í eigin persónu eða á netinu, 90 mínútur eða hálfur dagur, með geiradæmum úr ykkar heimi. Þar á meðal mætingarskrá og vottun fyrir skjölin þín. Sjá /ai-training.

3. AI-stefna og stjórnhættir. Nothæft innra AI-stefnuskjal, verkaskipting (DPO, AI-ábyrgðaraðili, ákvörðunartakendur) og stigmögnunarleiðir. Fellur að núverandi compliance-vinnu ykkar, án þess að ferlið stöðvist. Sjá /ai-strategie.

4. Uppsetning eftirlitsráðstafana. Fyrir hááhættu-útfærslur: tækniskjölun, vöktun, atviksviðbrögð og endurskoðunarslóð. Sérsniðið að hverri útfærslu.

Að bíða eftir bréfi er engin stefna, það er frestun.

35milljónir evra hámarkssekt við bönnuðum AI-athöfnum

Heiðarleg samantekt

AI Act er ekki tilefni til skelfingar fyrir lítil og meðalstór fyrirtæki, heldur ástæða til að koma grunninum á hreint núna. AI-læsi er skylda, gagnsæi gagnvart notendum spjallbota er skylda, og ef þú notar AI í HR eða viðskiptavinaskorun, hefur þú til ágústs 2026 til að koma þyngri skyldunum í lag. Sá sem árið 2026 hefur enn ekkert gert, á á hættu að fá sektir (allt að 35 milljónir evra eða 7% af veltunni á heimsvísu fyrir alvarlegustu brotin) og orðsporsskaða.

Byrjaðu smátt. Compliance-skönnun, þjálfun, stefnuskjal. Það er lágmarkið. Fyrir víðara samhengið (hvaða skyldur, hvaða frestir, hvaða geirar) sjá /ai-act. Fyrir ókeypis sjálfsskönnun sjá /ai-act-checker. Viltu hjálp við framkvæmdina? Bókaðu ókeypis samtal.

Viltu vita hvað AI getur gert fyrir fyrirtækið þitt?

Taktu ókeypis AI-úttektina og fáðu svarið á einni mínútu.

Algengar spurningar

Hvað er gervigreindarlöggjöfin (AI Act)?
Gervigreindarlöggjöfin (reglugerð 2024/1689) er fyrsta víðtæka gervigreindarlöggjöf í heiminum. Nálgunin er áhættumiðuð: skyldurnar skalast eftir því hvað gervigreindin gerir og hvar hún er notuð. Lögin gilda fyrir alla sem bjóða gervigreind á ESB-markaðnum eða nota hana innan ESB, þar á meðal hollensk lítil og meðalstór fyrirtæki sem nota utanaðkomandi gervigreind.
Hvað þarf að gera strax samkvæmt gervigreindarlöggjöfinni?
Frá 2. febrúar 2025 gildir 4. grein: gervigreindarlæsi. Sérhver skipulagsheild sem notar gervigreind, líka lítið fyrirtæki með tíu starfsmenn sem nota ChatGPT, verður að tryggja að starfsfólk viti hvað gervigreind er, hverjar áhætturnar eru og hvernig á að nota hana á ábyrgan hátt. Skjalfestu þjálfun og stefnu. Spjallmenni og efni búið til af gervigreind verður að vera merkjanlegt sem slíkt.
Hvenær taka þyngri skyldurnar gildi?
2. ágúst 2026 er lykildagsetningin: þá taka skyldur fyrir há-áhættu gervigreind gildi (svo sem gervigreind í ráðningum, lánveitingum, sjúkdómsgreiningu eða námsmati). Ef þú notar gervigreind í starfsmannamálum eða viðskiptavinamati hefurðu þangað til til að koma áhættustjórnun, skjölun og mannlegu eftirliti í lag.
Hverjar eru sektirnar samkvæmt gervigreindarlöggjöfinni?
Allt að 35 milljónir evra eða 7% af heimsveltu fyrir bannaða gervigreindarnotkun, og lægri en samt umtalsverðar (allt að 15 milljónir eða 3% af veltu) fyrir önnur brot. Framfylgni gagnvart há-áhættu notkun hefst raunverulega frá 2026; árið 2025 leggja eftirlitsaðilar aðallega áherslu á fræðslu og útgáfu leiðbeininga.