EU:n tekoälyasetus eli AI Act tuli voimaan elokuussa 2024 ja sitä otetaan käyttöön portaittain vuosien 2025–2026 aikana. Asetusta tulee tulkita osana suurempaa sääntelykokonaisuutta, sillä tekoälyasetuksen lisäksi muut ”vanhat” asetukset ja säädökset pätevät edelleen – esimerkiksi tietosuoja-asetus GDPR:n vaatimukset soveltuvat myös tekoälyn käyttöön. Tehokkaan ja turvallisen tiedonhallinnan kannalta onkin tärkeää, että kokonaisuus pysyy organisaation hallinnassa.
AI Act koskee kaikkia yrityksiä, jotka tekoälyä toiminnassaan käyttävät. Ainoastaan kosketuksen tapa vaihtelee. Asetukseen kirjattu henkilöstön tekoälylukutaidon varmistaminen esimerkiksi koskee kaikkia yrityksiä. Se, miten yritys tekoälyä käyttää – kehittääkö yritys vaikkapa omaa tekoälytuotetta tai käyttää muiden luomia tekoälytuotteita työn tehostajana – taasen asettaa yrityksille erilaisia vaatimuksia. Toisin sanoen, jos työpöydällesi kuuluu tekoäly erityisen painavana (olet esimerkiksi AI Officer, tietoturvapäällikkö tai kehität AI-liiketoimintaa) kannattaa jatkaa lukemista.
AI Actin tavoitteena on edistää luotettavan tekoälyn kehittämistä ja käyttöä EU-alueella, jotta eurooppalaiset voivat luottaa siihen, mitä tekoäly heille tarjoaa. Käytännössä säädös tuo tekoälyn kehittäjille ja käyttöönottajille selkeät pelisäännöt, joissa tekoälyn käyttötapaukset jaetaan neljään riskiluokkaan, joille kaikille on omat velvoitteensa ja vaatimuksensa.
Tekoälyasetuksen toimeenpanossa organisaatioiden kannattaa hyödyntää se valtava työ, joka tehtiin GDPR:n astuessa voimaan. Tekoälyasetuksen suhteen törmätään nimittäin tutun kuuloisiin vaatimuksiin, kuten tekoälypolitiikan luomiseen, AI-järjestelmien listaamiseen sekä henkilöstön koulutusvaatimuksiin. Samantyyppinen harjoitus on tehty jo aiemmin ja siitä selvittiin, joten tekoälyvaatimuksen nivomisessa osaksi organisaation arkea kannattaa hyödyntää jo aiemmin hyväksi havaittuja keinoja. Nämä keinot taas riippuvat monesta asiasta, kuten millä alalla organisaatio toimii, millaista erityislainsääntelyä siihen kohdistuu ja millainen osaamistaso sekä oppimiskulttuuri organisaatiossa vallitsee.
Olemassa olevaa tietosuojamateriaalia voi tarkastella siitäkin näkökulmasta, voiko sitä käyttää tekoälyvaatimusten täyttämisessä hyväkseen:
Toimisiko tietosuojapolitiikan pohja tekoälypolitiikassa?
Jos organisaatio käyttää korkeariskistä tekoälyjärjestelmää, tulee tehdä sen tehdä perusoikeusvaikutusarviointi FRIA (Fundamental Rights Impact Assessment). GDPR:n edellyttämä henkilötietojen käytön vaikutustenarviointi DPIA (Data Protection Impact Assessment) ei korvaa FRIA:a eikä toisinpäin, vaan arvioinnit täydentävät toisiaan. Ne voi toteuttaa erikseen tai sisällyttää molemmat samaan arviointiin esimerkiksi laajentamalla DPIA:ta AI Actin artiklan 27 vaatimuksilla.
Niin GDPR kuin AI Act pyrkivät tunnistamaan ja minimoimaan potentiaaliset vaaranpaikat. Organisaation tulee tunnistaa riskit, kuvata ne ja pyrkiä vähentämään niitä. Organisaatioiden tulee myös tehdä ratkaisuja siitä, millaista dataa tekoälyn kanssa toimimisen käytetään. Tähän tietosuoja-asetus tarjoaa ohjenuoraa: mieluiten niin vähän kuin mahdollista ja suostumusperusteisesti, tai olisiko toimivin ratkaisu kouluttaa tekoälyä anonyymilla tai synteettisellä datalla.
Tässä vaiheessa moni organisaatio onkin jo tehnyt vuosia työtä riskien kanssa tunnistaen ne riskimatriisiin ja käymällä ne läpi vähintään vuosikellon mukaan. Tekoälyriskit solahtavatkin todennäköisesti luontevasti osaksi organisaation laajempaa riskienhallintaa.
GDPR:ää ja AI Actia yhdistää myös niiden laaja vaikutusala. Poikki organisaation leikkaavan tietosuojaryhmän lisäksi kannattaakin pohtia, millaisella ryhmällä lähdetään edistämään tekoälyasetusta. Tietosuoja, tietoturva, riskienhallinta, liiketoimintojen edustus... Asetusten sidosryhmien koostumuksessa on paljon yhteistä, mutta todennäköisesti liiketoiminnallinen intressi vaihtelee. Ilman selkeää tiedonhallintaa on kuitenkin mahdotonta tietää, millainen koostumus ryhmässä tulisi olla.
EU:n Omnibus-paketti sisältää myös AI Actia koskevia ehdotuksia. Niiden tarkoituksena on yhdenmukaistaa määräaikoja, tehostaa päällekkäisiä velvoitteita, poistaa tarpeettomia hallinnollisia kuormituksia, selkeyttää AI Act -asetuksen ja muun EU-lainsäädännön välistä vuorovaikutusta sekä vahvistaa valvontarakenteita, joissa keskitetty valvonta on välttämätöntä. Kevään 2026 kuluessa nähdään, mitä muutoksia se tuo.
Muuttuvan ja lisääntyvän sääntelyn maailmassa myös tiedonhallinnan merkitys korostuu, sillä kaikki sääntely edellyttää määrätietoista tiedonhallintaa. Ilman sitä regulaatioiden vaatimuksiin on mahdotonta vastata. Sääntelyn uudistukset vahvistavat organisaation sitoutumista siihen, että niiden käyttämä data on hallittua ja turvallista. Tästä seuraava turvallisuuden parantuminen heijastuu koko organisaation toimintaan.
Sääntelynmukaisuudessa riittää pureksittavaa, sillä juuri nyt regulaation kehitysvauhtia voi kuvailla melko vauhdikkaaksi. Niihin liittyvät kysymykset eivät myöskään ole niitä helpoimpia ratkoa. Yksin ei tarvitse kuitenkaan miettiä, sillä voit aina ottaa yhteyttä Spartaan, jossa tiedonhallinnan ja datasääntelyn ammattilaiset ovat tukenasi. Keskustelemme mielelläsi kanssasi siitä, miten teillä voitaisiin parhaiten sovittaa yhteen tiedonhallinta ja sääntelyn vaatimukset.
Sparta Consulting on tiedonhallinnan ja datan johtamisen asiantuntijayritys, joka tarjoaa kokonaisvaltaisia ja vaikuttavaa tiedonhallintaa. Keväällä 2025 Sparta liittyi osaksi Efimaa. Yhdessä toteutamme älykkäitä, datalähtöisiä ratkaisuja ja alustoja, jotka tukevat organisaatioiden kestävää kasvua, vahvistavat strategista päätöksentekoa sekä mahdollistavat digitaalisen transformaation ja regulaationmukaisuuden eri toimialoilla.
Tekoälyhypen keskellä suunnan löytäminen voi olla haastavaa. Meille tekoäly ei ole abstrakti teknologia, vaan tapa tehdä työstä sujuvampaa, prosesseista luotettavampia ja päätöksenteosta tietoon ankkuroitua.