Leverandør (provider)

Leverandør er definert i KI-forordningen artikkel 3 nr. 3:

««leverandør» en fysisk eller juridisk person, en offentlig myndighet, et byrå eller ethvert annet organ som utvikler et KI-system eller en KI-modell for allmenne formål, eller som får utviklet et KI-system eller en KI-modell for allmenne formål og bringer det eller den i omsetning eller tar KI-systemet i bruk under eget navn eller varemerke, mot betaling eller vederlagsfritt.»

Leverandøren er den som utvikler, eller tar initiativ til å utvikle, et KI-system eller en KI-modell for allmenne formål under sitt eget navn eller varemerke. Leverandører omfatter både store teknologiselskaper som utvikler avanserte KI-modeller, og mindre selskaper som utarbeider smalere KI-løsninger.

KI-forordningen er i stor grad utformet som et produktsikkerhetsregelverk der hovedansvaret ligger hos leverandøren. Det er leverandøren som skal sørge for at KI-systemet oppfyller kravene i KI-forordningen før det omsettes og tas i bruk.

Les mer om hvilke krav og forpliktelser som gjelder her:
De kraftigste KI-systemene – hvilke regler gjelder?
• Forpliktelsene til leverandører av høyrisiko KI

Artikkel 25 regulerer tilfellene der andre aktører enn den opprinnelige leverandøren overtar leverandøransvaret for et høyrisiko KI-system. Etter nr. 1 skal en distributør, importør, idriftsetter eller annen tredjepart anses som leverandør dersom vedkommende:

a) setter sitt navn eller varemerke på et høyrisiko KI-system som allerede er brakt i omsetning eller tatt i bruk

b) foretar en «vesentlig endring» (substantial modification) av et slikt system slik at det fortsatt er høyrisiko etter artikkel 6

c) endrer systemets tiltenkte formål – herunder for et KI-system for allmenne formål – slik at det blir et høyrisiko KI-system etter artikkel 6

Med «vesentlig endring» (substantial modification) menes etter artikkel 3 nr. 23 i KI-forordningen:

«en endring i et KI-system etter at det er brakt i omsetning eller tatt i bruk, som ikke er forutsett eller planlagt i den første samsvarsvurderingen utført av leverandøren, og som fører til at KI-systemets samsvar med kravene i kapittel III avsnitt 2 påvirkes, eller fører til en endring i det tiltenkte formålet som KI-systemet er vurdert for»

Dersom et av vilkårene i artikkel 25 nr. 1 bokstav a, b eller c er oppfylt, skal den opprinnelige leverandøren som utgangspunkt ikke lenger anses som leverandør for det konkrete systemet. Den opprinnelige leverandøren er likevel forpliktet til å samarbeide med den nye leverandøren, og skal gjøre den nødvendige informasjonen tilgjengelig og gi den tekniske tilgangen som med rimelighet kan forventes, jf. artikkel 25 nr. 2.

Importør

Importør er definert i KI-forordningen artikkel 3 nr. 6:

«importør» (er) en fysisk eller juridisk person lokalisert eller etablert i Unionen som bringer i omsetning et KI-system som bærer navnet eller varemerket til en fysisk eller juridisk person som er etablert i et tredjeland (…)»

Importøren er en aktør som er etablert i EU/EØS og som bringer et KI-system fra en tredjestat inn på EU/EØS-markedet før første gang.

Rollen som importør vil i praksis være mest synlig der KI inngår i fysiske produkter som bringes inn på EU/EØS-markedet, for eksempel maskiner, medisinsk utstyr eller andre tekniske produkter med innebygde KI-systemer. For rene programvareløsninger vil situasjonen ofte være annerledes. Mange virksomheter kjøper KI-baserte tjenester eller programvare direkte fra en leverandør som selv er etablert i EU/EØS, ofte via digitale distribusjonskanaler. I slike tilfeller vil det normalt ikke være en egen importør i forsyningskjeden. Dersom en aktør etablert i EU/EØS derimot bringer et KI-system fra en leverandør etablert utenfor EU/EØS inn på markedet, vil denne aktøren kunne få rollen som importør etter KI-forordningen også for programvare eller skybaserte KI-tjenester.

Importøren har ansvaret for å kontrollere at systemet har CE-merking og nødvendig dokumentasjon før det omsettes på markedet. Importøren skal forsikre seg om at leverandøren har fulgt regelverket. Dersom det mangler dokumentasjon eller CE-merking skal ikke importøren omsette KI-systemet før dette er rettet opp. Importøren skal også passe på at kontaktinformasjonen til leverandøren er tilgjengelig, og at bruksanvisningen er forståelig.

Les mer om hvilke forpliktelser som gjelder for importører her: Forpliktelser til importører og distributører av høyrisiko KI

Kort sagt fungerer importøren som et ekstra kontrolledd ved inngangen til EU-markedet. Oppdager importøren at et KI-system ikke oppfyller kravene, skal importøren enten bringe det i samsvar eller la være å selge det, og samtidig informere markedstilsynsmyndighetene. Importøren kan holdes ansvarlig dersom pliktene ikke overholdes.

Distributør

Distributør er definert i KI-forordningen artikkel 3 nr. 7:

«distributør» (er) enhver fysisk eller juridisk person i forsyningskjeden, utenom leverandøren eller importøren, som gjør et KI-system tilgjengelig på unionsmarkedet (…)»

Distributøren er den aktøren i forsyningskjeden, typisk en grossist eller forhandler, som gjør KI-systemet videre tilgjengelig på EU/EØS-markedet, uten å være leverandør eller importør. Distributørens plikter ligner mye på importørens, men har rollen som videreselger innen EU/EØS. De skal verifisere at KI-systemet har nødvendig CE-merking og dokumentasjon før de distribuerer det videre.

Hvis distributøren får kjennskap til at et KI-system ikke oppfyller kravene, skal de informere leverandøren eller importøren, og bidra til korrigerende tiltak. Distributører må også oppbevare identifikasjonsinformasjon om hvilke aktører de har fått KI-systemet fra og gitt det videre til, slik at verdikjeden er sporbar.

Distributører kan også – i likhet med importører – bli ansett som leverandør dersom de endrer KI-systemet, eller på annen måte oppfyller kriteriene i artikkel 25. Dersom en distributør for eksempel setter sin egen logo og navn på et KI-system, og markedsfører det som sitt, trer leverandøransvaret inn for distributøren (se nærmere omtale av artikkel 25 over).

Idriftsetter (deployer)

Idriftsetter er definert i KI-forordningen artikkel 3 nr. 4:

«idriftsetter» en fysisk eller juridisk person, en offentlig myndighet, et byrå eller ethvert annet organ som bruker et KI-system som er underlagt deres myndighet, unntatt når KI-systemet brukes i personlig, ikke-yrkesmessig virksomhet»

Idriftsetter er den profesjonelle aktøren som tar et KI-system i bruk – altså setter det i drift i en profesjonell sammenheng. Det omfatter virksomheter eller offentlige etater som implementerer og benytter KI-systemer i sin virksomhet, men ikke for privatpersoner som kun bruker KI-systemet i en personlig sammenheng. Idriftsetteren har derfor ansvaret for at bruken skjer i tråd med leverandørens markedsføring av produktet, bruksanvisninger og regelverkets krav.

Idriftsetteren kan for eksempel være en bank som innfører et KI-system for kredittvurdering, eller et sykehus som tar i bruk et KI-system for bildegjenkjenning eller diagnostisering.

Samme virksomhet kan ha flere roller, for eksempel være både idriftsetter og leverandør, dersom vilkårene for begge rollene er oppfylt.

Idriftsettere har forpliktelser ligner i stor grad på vurderinger som allerede er kjent fra rettighetsbasert regelverk. Et eksempel er plikten for bestemte idriftsettere om å gjennomføre en konsekvensanalyse for grunnleggende rettigheter (Fundamental Rights Impact Assessment – FRIA) før visse høyrisiko KI-systemer tas i bruk. Denne vurderingen har likehetstrekk med en Data Protection Impact Assessment (DPIA) etter personvernlovgivningen.

Les mer om hvilke forpliktelser som gjelder for idriftsettere her: Forpliktelser til idriftsettere av høyrisiko KI

Idriftsetteren er også kontaktpunktet for enkeltmennesker som blir utsatt for beslutninger basert på bruken av et høyrisiko KI-system etter vedlegg III (se nærmere under om «berørte personer»).

Autorisert representant

«Autorisert representant» er definert i KI-forordningen artikkel 3 nr. 5:

«autorisert representant» (er) en fysisk eller juridisk person lokalisert eller etablert i Unionen som har fått og akseptert en skriftlig fullmakt fra en leverandør av et KI-system eller en KI-modell for allmenne formål, for henholdsvis å oppfylle og gjennomføre forpliktelsene og prosedyrene fastsatt i denne forordningen på dennes vegne (…)»

En «autorisert representant» er en fysisk eller juridisk person etablert innen EU/EØS som formelt utpekes av en leverandør utenfor EU/EØS, til å handle på dens vegne i EU/EØS. Dersom leverandøren av et høyrisiko KI-system ikke er etablert i EU/EØS, krever KI-forordningen at det utpekes en autorisert representant som kan være kontaktpunkt for de vedkommende myndighetene og som skal oppfylle noen av leverandørens forpliktelser, jf. artikkel 22.

Den autoriserte representanten skal ha en skriftlig fullmakt fra leverandøren og er ansvarlig for oppgaver som å oppbevare samsvarserklæringen og teknisk dokumentasjon, samt å videreformidle eventuelle pålegg fra tilsynsmyndighetene. Representanten er altså “leverandørens forlengede arm” i EU/EØS, og sikrer at det finnes en ansvarlig juridisk enhet som myndighetene kan henvende seg til.

Utpekingen av en slik representant fritar ikke den faktiske leverandøren for ansvar, men er et tilleggskrav for å styrke håndhevingen når leverandøren holder til i tredjeland utenfor Europa.

Øvrige roller i KI-forordningen som har betydning

Brukere vs. privatpersoner

Begrepet «bruker» i KI-forordningen er ikke definert, men dekker i utgangspunktet idriftsettere som anvender KI-systemet. Man kan si at idriftsetteren er den ansvarlige profesjonelle brukeren.

KI-forordningen unntar personlig og ikke-profesjonell bruk fra virkeområdet i artikkel 2 nr. 10, og privatpersoner som bruker KI-verktøy som forbrukere blir ikke direkte regulert av KI-forordningen. Samtidig er det slik at annet teknologinøytralt regelverk får anvendelse dersom man bruker KI, for eksempel personvernlovgivning, straffelovgivning og opphavsrett.

 

Produkttilvirker

KI-forordningen bruker også begrepet «produkttilvirker» i skjæringspunktet mellom KI-regelverket og eksisterende EU-regelverk for produkter etter vedlegg I avsnitt A. Når et høyrisiko KI-system utgjør en «sikkerhetskomponent» (definert i artikkel 3 nr. 14) i et slikt produkt, for eksempel maskiner, medisinsk utstyr eller kjøretøy, ansees produkttilvirkeren som «leverandør» av KI-systemet etter artikkel 25 nr. 3, og må etterleve forpliktelsene i artikkel 16.

Dette gjelder uavhengig av om KI-systemet bringes i omsetning sammen med produktet under tilvirkerens navn eller varemerke, eller om det tas i bruk under tilvirkerens navn eller varemerke etter at produktet er brakt i omsetning. Dette innebærer altså at ansvaret konsolideres hos den aktøren som allerede har det regulatoriske hovedansvaret for produktets samsvar og sikkerhet.

Berørte personer har rett til forklaring på individuelle avgjørelser

Begrepet «berørte personer» brukes om individer som blir påvirket av KI-systemets avgjørelser eller atferd. Dette begrepet er heller ikke definert i KI-forordningen, men brukes enkelte steder i regelverket. Berørte personer pålegges ingen plikter, men gis noen rettigheter og beskyttelse.

Enhver person som berøres/påvirkes av en beslutning truffet av en idriftsetter på grunnlag av utdata fra et høyrisiko KI-system oppført i vedlegg III (med unntak av KI-systemene i nr. 2), gis en rett til forklaring etter artikkel 86 når beslutningen har rettsvirkninger eller i betydelig grad påvirker vedkommende negativt med hensyn til helse, sikkerhet eller grunnleggende rettigheter.

Denne rettigheten gir krav på en klar og meningsfull redegjørelse for hvilken rolle KI-systemet har spilt i beslutningsprosessen, samt en forklaring av de viktigste momentene som lå til grunn for beslutningen. Det kan for eksempel være overfor lånsøkere, jobbkandidater, ansatte eller pasienter.

Alle har rett til å klage til en markedstilsynsmyndighet

I tillegg har «enhver fysisk eller juridisk person» rett til å klage til en relevant markedstilsynsmyndighet dersom vedkommende har grunn til å anta at bestemmelsene i KI-forordningen er overtrådt (artikkel 85). Klageretten gjelder uten at det berører andre former for forvaltningsmessig klageadgang eller rettsmidler.

Bestemmelsen innebærer at både enkeltpersoner, virksomheter og organisasjoner kan varsle tilsynsmyndighetene om mulige brudd på KI-forordningen. Formålet er å bidra til effektiv håndheving av regelverket ved at mulige brudd kan bringes til tilsynsmyndighetenes oppmerksomhet.