Udbyder (AI-forordningen)

En udbyder (provider) er den organisation eller person, der udvikler et AI-system eller en generel AI-model med henblik på at markedsføre det under eget navn. Udbyderen har det primære ansvar for, at systemet overholder AI-forordningen.

Tilbage til ordbog

Hvad er en udbyder?

En udbyder i AI-forordningens forstand er en fysisk eller juridisk person, der udvikler et AI-system eller en generel AI-model, eller som får et AI-system udviklet, med henblik på at markedsføre det eller tage det i brug under eget navn eller varemærke. Det gælder uanset om det sker mod betaling eller gratis.

Det afgørende er ikke, hvem der har skrevet koden. Hvis du bestiller et AI-system hos en konsulent og lancerer det under dit firmanavn, er du udbyderen. Hvis du køber en generel AI-model og bygger et produkt oven på den, som du sælger videre, er du udbyder af det samlede AI-system.

Rollen svarer i nogen grad til den dataansvarlige i GDPR. Ligesom den dataansvarlige har det overordnede ansvar for behandling af persondata, har udbyderen det overordnede ansvar for, at AI-systemet er sikkert og compliant.

Udbyderens forpligtelser

Udbyderens forpligtelser afhænger af, om AI-systemet er klassificeret som højrisiko eller ej. For højrisiko-AI-systemer er kravene mest omfattende:

Kvalitetsstyringssystem: Etabler og vedligehold et kvalitetsstyringssystem, der dækker hele AI-systemets livscyklus. Systemet skal dokumentere design, udvikling, test og overvågning.
Teknisk dokumentation: Udarbejd og opdater teknisk dokumentation, der gør det muligt for myndigheder at vurdere systemets overensstemmelse med kravene.
Overensstemmelsesvurdering: Gennemfør en formel overensstemmelsesvurdering af, at systemet opfylder alle relevante krav, før det markedsføres.
Registrering: Registrer systemet i EU's database for højrisiko-AI-systemer.
Logføring: Sørg for automatisk logføring af systemets drift, så beslutninger kan spores.
Menneskelig kontrol: Design systemet, så mennesker kan overvåge og tilsidesatte det. Se menneskelig kontrol af AI.
Post-market monitoring: Overvåg systemets ydeevne efter markedsføring og reager på nye risici.
Hændelsesrapportering: Rapporter alvorlige hændelser til tilsynsmyndigheder inden 15 dage.

For AI-systemer med begrænset risiko (f.eks. chatbots) er udbyderens hovedforpligtelse at sikre, at brugere informeres om, at de interagerer med AI, og at syntetisk indhold mærkes korrekt.

Andre roller i AI-forordningen

AI-forordningen definerer flere roller ud over udbyderen:

Bruger (deployer): Den organisation der anvender et AI-system under egen myndighed. Brugeren er ansvarlig for at anvende systemet korrekt, sikre menneskelig kontrol og rapportere fejl til udbyderen. Det er ikke slutbrugeren (den person der taster i systemet), men den organisation der har besluttet at tage systemet i brug.
Importør: Den der markedsfører et AI-system fra et tredjeland i EU. Importøren skal sikre, at udbyderen har gennemført den nødvendige overensstemmelsesvurdering.
Distributør: Den der gør et AI-system tilgængeligt på EU-markedet uden at ændre det. Distributøren skal verificere, at systemet har CE-mærkning og er registreret korrekt.
Autoriseret repræsentant: En person i EU, der er udpeget af en udbyder uden for EU til at varetage udbyderforpligtelser i EU.

Rollefordelingen sikrer, at der altid er en ansvarlig part i EU. Hvis en udbyder fra et tredjeland ikke har en autoriseret repræsentant i EU, hæfter importøren for udbyderens forpligtelser.

Når du skifter rolle

Et centralt aspekt i AI-forordningen er, at du kan skifte rolle. En bruger kan blive udbyder, hvis vedkommende:

Sætter sit eget navn eller varemærke på et AI-system, der allerede er markedsført.
Foretager en væsentlig ændring af et højrisiko-AI-system.
Ændrer systemets tilsigtede formål, så det bliver højrisiko.

Det betyder i praksis, at hvis du køber et AI-system og tilpasser det markant til dit eget brug, overtager du udbyderens fulde ansvar. Du skal gennemføre en ny overensstemmelsesvurdering og opfylde alle udbyderforpligtelser.

Dette er en af de mest undervurderede konsekvenser af AI-forordningen. Mange organisationer finjusterer AI-modeller eller bygger nye produkter oven på eksisterende systemer uden at overveje, at de dermed kan blive udbydere. Kortlæg dine AI-systemer, identificer din rolle for hvert system, og sørg for at overholde de forpligtelser, der følger med rollen.

Sammenligningen med GDPR er relevant: ligesom en virksomhed kan skifte fra databehandler til dataansvarlig, hvis den begynder at bestemme formål og midler for databehandling, kan en AI-bruger blive udbyder, hvis den tager ejerskab over systemet.

Ofte stillede spørgsmål om udbyder (ai-forordningen)

Hvem er udbyder i AI-forordningen?

En udbyder er den person eller organisation, der udvikler et AI-system eller får det udviklet med henblik på at markedsføre det eller tage det i brug under eget navn. Det gælder både virksomheder i og uden for EU, hvis systemet bruges i EU.

Hvad er forskellen på en udbyder og en bruger i AI-forordningen?

Udbyderen udvikler eller markedsfører AI-systemet og har det primære ansvar for compliance. Brugeren (deployer) anvender systemet og har ansvar for at bruge det korrekt, overvåge dets drift og sikre menneskelig kontrol.

Kan jeg blive udbyder uden at vide det?

Ja. Hvis du ændrer et AI-systems formål, sætter dit navn på det eller foretager væsentlige ændringer, kan du blive betragtet som udbyder med de tilhørende forpligtelser, selvom du ikke selv har udviklet systemet.

Hvad er udbyderens vigtigste forpligtelser?

For højrisiko-AI-systemer skal udbyderen etablere et kvalitetsstyringssystem, udarbejde teknisk dokumentation, gennemføre en overensstemmelsesvurdering, sikre menneskelig kontrol og overvåge systemet efter markedsføring.