Valikko Sulje

Tekoälysäädöksen noudattamisen aikataulut ja aineistot

 – esimerkkinä Valtion tieto- ja viestintätekniikkakeskus Valtori

Kuva 1:Vaatimuksenmukaisuusarvioinnin eteneminen

Nykytilakartoitus

Tekoälysäädös tuli voimaan 1.8.2024. Se koskee kaikkia aloja ja sektoreita ja sen avulla halutaan varmistaa, että tekoälyjärjestelmät ovat turvallisia, eettisiä ja luotettavia.  Säädöksen soveltaminen käynnistyy vaiheittain. Helmikuun 2025 alkuun mennessä piti selvittää, että organisaatiossa ei ole käytössä tekoälysäädöksen mukaan kiellettyjä järjestelmiä.

Tätä varten teimme Valtorissa nykytilakartoituksen omassa käytössämme olevista tekoälyjärjestelmistä. Saamiemme vastausten perusteella selvisi, että käytössämme ei ole kiellettyjä järjestelmiä, joten säästyimme enemmiltä toimenpiteiltä.

Vaatimuksenmukaisuuden arviointi

Organisaatioiden tulee arvioida tekoälyjärjestelmien vaatimuksenmukaisuus tekoälysäädöksen mukaisesti. Tekoälysäädöksen riskitasot perustuvat käyttötapauskuvauksiin. Tekoälysäädöksen vaatimuksenmukaisuus arvioidaan jo käytössä olevalle järjestelmälle siten, että

  1. ensin teemme käyttötapauskuvauksen,
  2. josta selviää riskitaso. Sen jälkeen
  3. selvitämme, mitä vaatimuksia riskitaso tuo käyttöönottajalle. Lopuksi
  4. arvioimme, onko järjestelmä muutoin vaatimusten mukainen esimerkiksi tietosuojan, tietoturvan ja tiedonhallintalain näkökulmista. Samalla voimme tehdä tai päivittää riskiarvioita.

Olemme Valtorissa laatineet vaatimuksenmukaisuuden arviointia varten tarvittavan dokumentaation ja kehittäneet niistä VAHTI-yhteistyössä aineistot, jotka voimme julkaista VAHTI hyvät käytännöt tukimateriaaleina kaikille asiasta kiinnostuneille.

Tekoälysäädöksen siirtymäajat

Ryhdymme noudattamaan tekoälysäädöksen vaatimuksia siirtymäaikojen mukaan vaiheittain siten, että, suurin osa vaatimuksista tulee voimaan 2.8.2026. Suuririskisiä tekoälyjärjestelmiä koskevat sekä 2.8.2026 mennessä markkinoille tulleita yleiskäyttöisiä tekoälyjärjestelmiä koskevat vaatimukset tulevat voimaan 2.8.2027. Viimeisetkin vaatimukset tulevat voimaan vuoden 2030 aikana.

Teille, jotka haluavat tarkempia tietoja voimaantulon aikatauluista, Kuntaliitto on julkaissut aiheesta hyvän kuvauksen EU:n tekoälysäädös kuntakentällä-sivun kohdassa Portaittainen toimeenpanon aikataulu:  https://www.kuntaliitto.fi/kuntajohtaminen-ja-digitalisaatio/kuntien-digikehittaminen/kuntien-digikehittamisen-lainsaadanto/EUn-digi-ja-datalainsaadanto/eu-tekoalyasetus

Kuva 2: Tekoälysäädöksen aikataulut

Koska lain soveltamisen määräpäivät tulevat yllättävän pian, olemme jo lähteneet pilotoimaan vaatimuksenmukaisuuden arvioinnin aineistoja Valtorissa. Olemme tehneet arvioinnit käytössämme oleville chatbotille ja yhteistyöalustalle. Kuhunkin vaiheeseen meni työaikaa noin puoli tuntia ja osasta vaiheista selvisimme kymmenessä minuutissa. Haastaviin järjestelmiin voi tosin mennä enemmän aikaa.

Tärkeintä on, että organisaatiossa joku perehtyy etukäteen vaatimuksenmukaisuuden todentamisen dokumentaatioon, jotta osaa esittää kysymykset tehokkaasti, eikä aikaa mene ihmettelyyn. On tärkeää, että järjestelmän vaatimuksenmukaisuus tulee arvioitua myös kokonaisuutena, eikä pelkästään tekoälysäädöksen näkökulmasta. Jos kyse on jo käytössä olevasta palvelusta, on hyvä etsiä etukäteen esille aiemmin tehdyn hankinnan tietoturva- ja tietosuojavaatimukset sekä niihin liittyvät arvioinnit sekä muut sovellettavat vaatimukset.

Tekoälyhankintojen uudet vaatimukset

Tekoälyhankintoihin on meillä Valtorissa tulossa kolme uutta vaatimusta (X-kirjaimen tilalle kirjoitetaan valittu riskitaso):

  1. Tekoälyjärjestelmä / tekoälykomponentti täyttää tilaajan käyttötapaukseen perustuvan riskitason X mukaiset tekoälysäädöksen vaatimukset,
  2. toimittaja ja tekoälyjärjestelmän toimitusketju täyttää tilaajan käyttötapaukseen perustuvan riskitason X mukaiset tekoälysäädöksen vaatimukset ja
  3. toimittaja ja sen koko toimitusketju avustavat käyttöönottajaa käyttötapaukseen perustuvan riskitason X mukaisten tekoälysäädöksen vaatimusten toteuttamisessa

Ennen tarjouspyynnön julkaisua meidän tulee kuvata tarvekartoitukseen perustuva käyttötapaus ja arvioida sen perusteella järjestelmän tekoälysäädöksen mukainen riskitaso. Ilmoitamme riskitason tarjouspyynnössämme ja merkitsemme valitun riskitason hankinnan vaatimukseen. Ilmoittamalla riskitason kerromme mahdollisille toimittajille, millaisia vaatimuksia hankintaan kohdistuu. Tarvittaessa kysymme tarjoajien mielipidettä riskitasosta hankintaa edeltävässä markkinavuoropuhelussa.

Suosittelen, että organisaatiot ryhtyvät käyttämään tekoälyvaatimuksia tekoälyhankinnoissaan välittömästi, sillä tekoälysäädöksen siirtymäaika päättyy jo usein sopimuskauden aikana.

Valitun toimittajan kanssa käydään lisäksi ennen palvelun aloittamista läpi tarkistuslista siitä, kuinka se käytännössä noudattaa tekoälysäädöksen vaatimuksia. Tähän voi antaa toimittajalle aikaa vastata riskitason mukaisen siirtymäkauden loppuun saakka.

Voitte ryhtyä noudattamaan tekoälysäädöstä välittömästi

Kaikkiin tässä artikkelissa mainitsemiini tehtäviin ja vaiheisiin liittyy VAHTI hyvät käytännöt -ohje ja materiaali, joten pystytte aloittamaan tekoälysäädöksen noudattamisen välittömästi tämän artikkelin luettuanne. Materiaaleihin ja niiden soveltamiseen saa tukea esim. Liittymällä mukaan VAHTI-toimintaan. Ilmoittautumislomake löytyy täältä: Ilmoittautuminen VAHTI-työryhmiin 2025-2028

Tekoälyn käyttöönoton voi tehdä hallitusti, turvallisesti, dokumentoidusti, ja vaatimukset huomioiden. Rohkeasti kokeilemaan ja hyödyntämään tekoälyä vaatimuksia noudattaen!

 

Artikkeli on alunperin julkaistu Sytyke -lehdessä 02/2025

Päivi Kynkäänniemi toimii tietosuoja- ja tekoälyjuristina Valtion tieto- ja viestintätekniikkakeskuksessa ja on aktiivinen Valtionhallinnon tietoturvan vastuuhenkilöiden VAHTI verkoston jäsen.

Tagged ,

Samankaltaisia artikkeleita