Kyberturvallisuus tiedonsiirto ja järjestelmät

Tekoälysäädös

EU:n tekoälysäädös asettaa merkittävän määrän velvoitteita tekoälyjärjestelmien tarjoajille ja hyödyntäjille. Tekoälyn käyttäminen edellyttää huolellisuutta myös tietosuoja-, liikesalaisuus- ja immateriaalioikeussääntelyn noudattamisessa sekä kyberturvallisuudessa. Instan laaja-alaisella juridiikan, teknologian ja tietoturvan kattavalla osaamisella tuemme asiakkaitamme tekoälyn vaatimustenmukaisuuden saavuttamisessa ja tähän vaadittavassa kyberturvallisuudessa.

Ota yhteyttä

Tekoälysäädöksen noudattamiseen valmistautuminen

Tekoälysäädöstä sovelletaan tekoälyjärjestelmän tarjoajiin tai valmistajiin (provider) sekä hyödyntäjiin (deployer). Velvoitteita asetetaan myös maahantuojalle (importer) ja jakelijalle (distributor). Tekoälysäädös on horisontaalinen säännös, jota tulee noudattaa toimialasta riippumatta.

Ensimmäisiä tekoälysäädöksen velvoitteita on noudatettava jo kuuden kuukauden kuluessa säädöksen voimaantulosta syksyllä 2024. Velvoitteet tulevat voimaan asteittain, valtaosa 24 kuukauden kuluttua vuonna 2026.

Työmäärä vaatimustenmukaisuuden saavuttamiseksi voi olla merkittävä ja valmistautuminen syytä aloittaa hyvissä ajoin. Uuden tekoälyjärjestelmän käyttöönoton yhteydessä säädöksen velvoitteita ei kannata enää ohittaa!

Velvoitteet

Kielletyt tekoälykäytännöt

Kiellettyjen tekoälykäytäntöjen aiheuttama riski on katsottu niin korkeaksi, että niiden käyttö on lähtökohtaisesti kielletty.

Kiellon piiriin kuuluvat esimerkiksi biometrinen luokittelu, haavoittuvassa asemassa olevien henkilöryhmien haavoittuvuuksien hyödyntäminen sekä tunteiden tunnistamisjärjestelmät työpaikoilla ja oppilaitoksissa.

Suuririskiset tekoälyjärjestelmät

Suuririskisten tekoälyjärjestelmien käyttö on sallittua noudattaen tekoälysäädöksessä asetettuja velvoitteita ja menettelyjä. Merkittävä osa tekoälysäädöksen velvoitteista kohdistuu suuren riskin tekoälyjärjestelmien tarjoajiin ja hyödyntäjiin.

Suuren riskin tekoälyjärjestelmiin kuuluvat tuotteet ja turvakomponentit, joilta edellytetään kolmannen osapuolen vaatimustenmukaisuuden arviointimenettelyä sekä tiettyihin lueteltuihin kohteisiin tai aloihin kuuluvat tekoälyjärjestelmät.

Erikseen lueteltuja kohteita ja aloja ovat esimerkiksi työllistäminen ja työsuhteeseen pääsy, koulutus- ja opintosektorin eräät toimet sekä yhteiskunnan kriittisestä infrastruktuurista huolehtiminen. Henkilöiden profilointia suorittava tekoälyjärjestelmä on lähtökohtaisesti suuren riskin luokkaan kuuluva.

Rajoitetun riskin tekoälyjärjestelmät

Rajoitetun riskin tekoälyjärjestelmien läpinäkyvyyteen liittyviä riskejä pienennetään velvoitteilla, joita noudattaen varmistetaan, että henkilöt ovat tietoisia tekoälyn käytöstä aineiston luomisessa tai tekoälyn kohteena olemisesta.

Rajoitetun riskin piiriin kuuluvat esimerkiksi henkilöiden kanssa vuorovaikutuksessa olevat tekoälyjärjestelmät (esim. chatbot) sekä tekoälyn käyttö aineistojen luomisessa (esim. deepfake-video).

Vähäriskiset tekoälyjärjestelmät

Edellä mainittujen luokitusten ulkopuolelle jäävät tekoälyn käyttökohteet ovat niin vähäriskisiä tai riskittömiä, että niiden käyttöön tekoälysäädös ei aseta juurikaan velvoitteita. Säädöksen ja sen periaatteiden vapaaehtoista noudattamista voidaan tällöinkin suositella ja on myös muistettava, että esimerkiksi henkilötietojen käsittelyn lainmukaisuus sekä liikesalaisuussuojan ja kyberturvallisuuden säilyminen on aina syytä varmistaa.

Merkittävimpien velvoitteiden ulkopuolelle jäävään vähäriskisen tekoälyn piiriin kuuluvat esimerkiksi spam filter -ratkaisut.

Yhdistämällä juridiikan, tietoturvan ja teknisen osaamisen Insta tukee asiakkaitaan tekoälyn käytön vaatimustenmukaisuuden saavuttamisessa ja järjestelmäkokonaisuuden kyberturvallisuuden varmistamisessa.

Palvelumme

Koulutukset, ohjeet ja politiikat

  • Kohdennettu infotilaisuus esimerkiksi johdolle

  • Ohjeet ja politiikat

  • Koulutukset edistävät tekoälysäädöksessä edellytetyn tekoälylukutaidon saavuttamista

Riskiluokituksen mukaiset toimenpiteet

  • Suuren riskin tekoälykäyttöä koskevien vaatimusten noudattamisessa avustaminen. Vaatimuksiin kuuluvat mm. riskienhallinta, datanhallinta, teknisen dokumentaation laatiminen sekä kyberturvallisuudesta huolehtiminen.

  • Perusoikeuksia koskevassa vaikutustenarvioinnissa avustaminen (fundamental rights impact assessment, FRIA).

  • Läpinäkyvyysvaatimusten noudattamisessa avustaminen.

Tekoälyn käyttöä koskeva tietosuojan vaikutustenarviointi (DPIA)

  • Tietosuojasääntelyn mukainen vaikutustenarviointi ottaen huomioon erityisesti tekoälyn käytön vaikutukset ja tekoälysäädöksen henkilötietojen käsittelyä koskevat vaatimukset.

  • Yhdistämme DPIA:n ja FRIA:n tarvittaessa samaan palveluun.

Tietosuojaa koskeva vaikutustenarviointi

Uhkamallinnus

Uhkamallinnus on järjestelmällinen tapa tunnistaa palvelussa olevat uhat, määrittää näiden uhkien aiheuttamat riskit sekä valita hallintakeinot uhkille.

Uhkamallinnus

Kyberkonsultointi- ja asiantuntijapalvelut

Palveluidemme avulla yrityksenne voi valita oikeat strategiat kyberriskien hallitsemiseen. Avullamme toteutat myös tietoturvan ja tietosuojan kehittämiseen tarvittavat strategiat, politiikat, ohjeet ja vaatimukset.

Kyberkonsultointi ja asiantuntijapalvelut

Ohjelmistokonsultointi – Data ja tekoäly

Asiantuntijamme auttavat hyödyntämään dataa ja tekoälyä toimintojen tehostamisessa, tilannekuvan parantamisessa, kustannusten optimoinnissa ja innovoinnissa.

Data ja tekoäly

Pysy alan aallonharjalla ja tilaa uutiskirjeemme

Tärkeimmät uutiset, inspiroivat artikkelit ja asiantuntijoidemme ajankohtaisia näkemyksiä eri toimialoilta sekä tietoa tulevista tapahtumistamme.

Hyväksy käyttöehdot. Käsittelemme tietojasi vastuullisesti.
Tutustu tietosuojaselosteeseemme.