EU:n tekoälyasetus (AI Act) astui voimaan 1. elokuuta 2024, ja sen velvoitteet tulevat voimaan vaiheittain vuosina 2025–2027. Helmikuusta 2025 lähtien osa vaatimuksista on jo sitovia. Tässä artikkelissa käymme läpi, mitä AI Act tarkoittaa suomalaisille yrityksille käytännössä ja mitä toimenpiteitä tarvitaan nyt.
Mikä AI Act on?
EU:n tekoälyasetus (Regulation EU 2024/1689, AI Act) on maailman ensimmäinen kattava oikeudellinen kehys tekoälylle. Se astui voimaan 1. elokuuta 2024 ja on suoraan sovellettava EU-asetus — se ei edellytä erillistä kansallista lakia, vaan velvoittaa sellaisenaan kaikissa jäsenmaissa Suomi mukaan lukien.
Asetus perustuu riskiperusteiseen lähestymistapaan: mitä suuremmat riskit tekoälyjärjestelmä voi aiheuttaa ihmisille tai yhteiskunnalle, sitä tiukemmin sitä säännellään.
AI Actin aikataulu — mikä on voimassa nyt?
AI Act ei tullut voimaan kerralla. Velvoitteet aktivoituvat vaiheittain:
1. elokuuta 2024 — Asetus tuli voimaan
2. helmikuuta 2025 — Ensimmäiset velvoitteet sitovia:
- Kielletyt tekoälyjärjestelmät poistettu käytöstä
- Tekoälylukutaitovaatimus voimaan: organisaatioiden on varmistettava, että tekoälyä työssään käyttävällä henkilöstöllä on riittävä osaaminen
2. elokuuta 2025 — GPAI-mallien (General Purpose AI, kuten suuret kielimallit) velvoitteet voimaan
2. elokuuta 2026 — Suurin osa asetuksen vaatimuksista tulee pakollisiksi, mukaan lukien korkean riskin järjestelmien pääsääntöiset velvoitteet ja läpinäkyvyysvaatimukset
2. elokuuta 2027 — Korkean riskin tekoälyjärjestelmien velvoitteet, jotka on sisällytetty muihin reguloituihin tuotteisiin
Neljä riskiluokkaa — mihin yrityksesi tekoäly kuuluu?
AI Act jakaa tekoälyjärjestelmät neljään luokkaan:
Kielletty riski — kokonaan kielletty
Tekoälyjärjestelmät, jotka ovat liian vaarallisia käytettäväksi. Kielto astui voimaan 2. helmikuuta 2025. Esimerkkejä kielletyistä käyttötavoista:
- Sosiaalinen pisteytys (social scoring) viranomaisten toimesta
- Biometrinen reaaliaikainen kasvontunnistus julkisilla paikoilla (tietyillä poikkeuksilla)
- Alitajuiset manipulointitekniikat
- Käyttäjien tunteiden tunnistaminen työpaikoilla tai oppilaitoksissa (tietyillä poikkeuksilla)
Korkea riski — sallittu, mutta tiukasti säännelty
Tekoälyjärjestelmät kriittisillä aloilla tai kriittisissä käyttötarkoituksissa. Esimerkkejä:
- HR-järjestelmät, jotka vaikuttavat rekrytointipäätöksiin tai työn arviointiin
- Luottopäätöksiin vaikuttavat järjestelmät
- Koulutukseen liittyvät arviointijärjestelmät
- Terveydenhuollon diagnostiikkatyökalut
Korkean riskin järjestelmille vaaditaan muun muassa riskienhallintajärjestelmä, tekninen dokumentaatio, lokikirjanpito, läpinäkyvyys käyttäjille ja ihmisen suorittama valvonta.
Rajoitettu riski — sallittu läpinäkyvyysvelvoittein
Esimerkiksi chatbotit ja deepfake-sisältö edellyttävät, että käyttäjille kerrotaan heidän olevan vuorovaikutuksessa tekoälyn kanssa.
Vähäinen riski — vapaa käyttö
Suurin osa arkisista tekoälysovelluksista, kuten suositusjärjestelmät tai roskapostisuodattimet, kuuluu tähän luokkaan. Erityisiä velvoitteita ei ole.
Mitä AI Act tarkoittaa käytännössä tavalliselle yritykselle?
Suurin osa suomalaisista pk-yrityksistä ei kehitä tekoälyä — ne käyttävät sitä. Tämä on tärkeä ero, sillä velvoitteet vaihtelevat merkittävästi kehittäjän ja käyttäjän välillä.
Jos käytät kaupallisia tekoälytyökaluja (esim. Microsoft Copilot, ChatGPT, AI-toimintoja ohjelmistoissa):
Tekoälylukutaitovaatimus koskee sinua jo nyt. Helmikuusta 2025 lähtien organisaatioiden on varmistettava, että tekoälyä käyttävä henkilöstö ymmärtää:
- mitä tekoäly tekee ja miten se toimii kyseisessä kontekstissa
- sen hyödyt ja riskit
- milloin tekoälyn tuotosta pitää arvioida kriittisesti
Käytännössä tämä tarkoittaa henkilöstön kouluttamista — ei syvällistä teknistä koulutusta, vaan soveltuvaa osaamista käyttötarkoituksen mukaan.
Tarkista, onko käyttämäsi tekoälyjärjestelmä korkean riskin luokassa. Esimerkiksi HR-ohjelmisto, joka hyödyntää tekoälyä rekrytointipäätöksiin, voi olla korkean riskin järjestelmä. Toimittajalta on tällöin vaadittava asianmukaista dokumentaatiota.
Jos kehität tai integroit tekoälyratkaisuja asiakkaille:
Velvoitteet ovat laajemmat. Korkean riskin järjestelmistä on laadittava tekninen dokumentaatio, järjestettävä jatkuva seuranta ja rekisteröidyttävä EU:n tietokantaan.
Mitä toimenpiteitä nyt?
Välittömästi (velvoite jo voimassa):
- Kartoita, mitä tekoälyjärjestelmiä organisaatiossasi käytetään — myös ne, jotka on integroitu muihin ohjelmistoihin
- Järjestä henkilöstökoulutus tekoälyn vastuullisesta käytöstä — tekoälylukutaitovaatimus on voimassa
- Varmista, ettei organisaatiossasi käytetä kiellettyjä tekoälyjärjestelmiä
Ennen elokuuta 2026:
- Arvioi, ovatko käyttämäsi tekoälyratkaisut korkean riskin luokassa — pyydä toimittajilta dokumentaatio ja vaatimustenmukaisuusvakuutus
- Päivitä tietosuojadokumentaatio AI Actin läpinäkyvyysvaatimusten mukaisesti
- Laadi sisäinen tekoälypolitiikka, joka ohjaa tekoälyn käyttöä organisaatiossa
AI Act ja tietoturva — yhteys on suora
AI Act ei ole erillinen saareke muusta sääntelystä. Se liittyy suoraan myös GDPR:ään ja NIS2:een:
- Monet korkean riskin tekoälyjärjestelmät käsittelevät henkilötietoja → GDPR-velvoitteet
- Tekoälyjärjestelmät ovat osa yrityksen digitaalista infrastruktuuria → NIS2-riskienhallinta
- AI Actin korkean riskin järjestelmiltä vaaditaan lokikirjanpitoa ja kyberturvallisuustoimia
Kokonaisvaltainen tietoturvakartoitus, joka huomioi AI Act -vaatimukset, on tehokkain tapa saada selkeä kuva siitä, mitä toimenpiteitä yrityksesi tarvitsee.
Ajankohtaista: Digital Omnibus -yksinkertaistuspaketti
Euroopan komissio julkaisi marraskuussa 2025 niin sanotun Digital Omnibus -paketin, jossa ehdotetaan muutoksia AI Actin toimeenpanoon. Yksi ehdotus koskee tekoälylukutaitovelvoitteen (artikla 4) lieventämistä — velvoite muuttuisi yleisestä kaikki tekoälyä käyttävät työntekijät kattavasta vaatimuksesta kohdennetummaksi, käytännön tarpeeseen perustuvaksi.
Tärkeää huomata: Kyseessä on toistaiseksi ehdotus, ei voimassa oleva laki. Tekoälylukutaitovelvoite on voimassa nykymuodossaan, kunnes mahdollinen muutos hyväksytään EU-prosessin kautta. Tilannetta kannattaa seurata, mutta henkilöstön kouluttaminen vastuulliseen tekoälyn käyttöön on perusteltua riippumatta siitä, mikä lakivelvoitteen lopullinen muoto on.