Forpliktelser til importører og distributører av høy risiko KI

Kjernen i importørens ansvar etter KI-forordningen er å gjøre en forhåndskontroll. Før importøren gjør et KI-system eller en GPAI-modell tilgjengelig i EU/EØS for første gang, skal importøren kontrollere at:

a) relevant samsvarsvurderingsprosedyre er gjennomført av leverandøren

b) leverandøren har utarbeidet teknisk dokumentasjon

c) systemet har CE-merking, EU-samsvarserklæring og bruksanvisning

d) leverandøren har utpekt autorisert representant når det kreves

Dette betyr at importøren bør etablere rutiner for å gjøre en compliance-sjekk.

Dersom importøren har «tilstrekkelig grunn» til å anta at KI-systemet ikke er i samsvar med KI-forordningen, eller at dokumentasjonen er forfalsket, skal importøren ikke plassere systemet på markedet før KI-systemet samsvarer. Dersom importøren avdekker at KI-systemet utgjør en risiko for menneskers helse, sikkerhet eller grunnleggende rettigheter, skal importøren varsle både leverandøren, den autoriserte representanten i EU/EØS og markedstilsynsmyndighetene.

Importøren skal ha sitt navn eller registrert varemerke, pluss sin kontaktinformasjon, på selve KI-systemet og på emballasjen eller i medfølgende dokumentasjon. Dette er et sporbarhetskrav som skal gjøre det mulig for markedstilsynsmyndigheter og andre operatører å identifisere hvem som brakte KI-systemet inn på EU/EØS-markedet. 

Et praktisk tiltak er å sikre at dette er håndtert i fysisk eller digital merking før videre salg. For rene programvareleveranser bør importøren vurdere hvordan «medfølgende dokumentasjon» faktisk leveres for eksempel i lisensdokumenter, brukerportal eller installasjonsmateriale, slik at sporbarhetskravet ikke bare er teoretisk, men reelt etterprøvbart.

Importøren skal sikre at transporten og oppbevaringen av KI-systemet ikke utgjør noen risiko for at systemet ikke lenger er i samsvar med kravene i artikkel 9 til 15. Selv om dette kan virke mest praktisk for fysiske produkter med KI integrert, vil det også gjelder for digitale leveranser. Eksempler kan være utilsiktet versjonsendring eller feilkonfigurasjon som i praksis undergraver samsvaret som ble vurdert ved samsvarsvurderingen.

Importøren skal i ti år etter at KI-systemet er plassert på markedet eller satt i drift oppbevare kopi av relevant sertifikat fra meldt organ, bruksanvisning og EU-samsvarserklæring, jf. artikkel 23 nr. 5. Dette gir et tydelig arkivkrav for importøren. 

Derfor bør importøren etablere et arkiv med klart definerte lagringsfrister, tilgangsstyring og rutiner for å hente frem dokumentasjon ved tilsyn eller hendelser.

Importøren skal på forespørsel fra relevante myndigheter gi all nødvendig informasjon for å dokumentere at KI-systemet de importerer er i samsvar med kravene til høyrisiko KI-systemer. I tillegg er importøren forpliktet til å samarbeide med relevante myndigheter.

Før et høyrisiko KI-system gjøres tilgjengelig på markedet skal distributøren kontrollere at systemet har CE-merking, EU-samsvarserklæringen og bruksanvisning. I tillegg skal distributøren sjekke at leverandøren og importøren har oppfylt sine plikter om å ha et kvalitetsstyringssystem på plass, samt har angitt firmanavn og kontaktinformasjon på KI-systemet eller i den medfølgende dokumentasjonen, jf. artikkel 16 bokstav b og c og artikkel 23 nr. 3.

Dette fungerer som en ekstra kontroll før KI-systemer med høy risiko spres på det europeiske markedet. Distributøren skal ikke gjennomføre en full samsvarsvurdering, det er leverandørens hovedansvar, men må gjøre tilstrekkelige kontroller til å fange opp manglende CE-merking, mangel på samsvarserklæring eller bruksanvisning, eller manglende sporbarhet til leverandører og importører.

På samme måte som for importøren skal distributøren sikre at transporten og oppbevaringen av KI-systemet ikke utgjør noen risiko for at KI-systemet ikke lenger er i samsvar med kravene i artikkel 9 til 15. Selv om dette kan virke mest praktisk for fysiske produkter med KI integrert, vil det også gjelder for digitale leveranser.

Dersom distributøren har grunn til å anta at høyrisiko KI-systemet ikke er i samsvar med kravene i artikkel 9 til 15, skal distributøren ikke gjøre KI-systemet tilgjengelig før dette er rettet opp i.

Dersom distributøren oppdager at et høyrisiko KI-system som allerede har blitt gjort tilgjengelig på markedet ikke er i samsvar med kravene som gjelder for selve KI-systemet har distributøren et ansvar. Da skal distributøren iverksette nødvendige korrigerende tiltak, trekke det tilbake, eller sikre at leverandøren eller importøren gjør dette.

Dersom KI-systemet utgjør en risiko for menneskers helse, sikkerhet eller grunnleggende rettigheter skal distributøren umiddelbart varsle leverandøren eller importøren og kompetente myndigheter.

Distributøren skal på forespørsel fra relevant myndighet gi informasjon angående etterlevelsen av sine forpliktelser i artikkel 24. Distributøren skal også samarbeide med relevante myndigheter knyttet til KI-systemer distributøren har gjort tilgjengelig, særlig for å redusere eller begrense risiko. I praksis betyr dette at distributøren må kunne dokumentere hva den faktisk gjorde knyttet til:

• hvilke kontroller ble gjennomført før salg
• hva var grunnlaget for eventuelle stans
• hvilke varsler ble sendt, og hvilke korrigerende tiltak ble gjort eller initiert.