EU:n tekoälyasetus kuntakentällä

Kunnille oleellisin ensiaskel on selvittää kunnan palvelut ja tehtävät, joissa tekoälyn käyttö määritellään asetuksessa suuririskiseksi. Näiden tunnistamisen jälkeen tulisi tarkastella, onko kunnalla tarvetta käyttää suuririskisiä tekoälyjärjestelmiä niihin liittyen, mikä olisi kunnan rooli kussakin tapauksessa ja millä tavalla tekoälyä käytettäisiin. Kyse ei ole siis ainoastaan siitä käytetäänkö tekoälyä, vaan myös siitä, millä tavalla sitä käytetään. 

Suuririskisyys määrittyy siten myös sen mukaan, minkä asteisesti tekoälyjärjestelmän käyttö vaikuttaa esimerkiksi päätöksiin. Jos tekoälyä hyödynnetään niin sanottuna tukiälynä ihmisen päätöksenteon tukena, ei tekoälyn käyttöä määritellä suuririskiseksi. 

Jos kunnassa siis tunnistetaan tehtävä tai palvelu, jossa tekoälyä halutaan hyödyntää, tulee tunnistaa tekoälyn käyttötarkoitus ja -tapa sekä olla tietoinen oman roolin velvollisuuksista. Selvitettävänä kannattaa olla esimerkiksi:

• millaisia uusia toimenpidetarpeita kunnassa on asetuksen myötä
• miten aiemmat seurantajärjestelmät ja käytännöt mahdollisesti jo vastaavat asetuksen velvoitteisiin
• miten kunnan roolien mukaiset velvoitteet tulee huomioida hankinnoissa ja sopimuksissa
• keiden kunnassa tulee ymmärtää asetuksesta tai tekoälystä ja mitä

Roolit

Asetus määrittelee erilaisia rooleja tekoälyjärjestelmien kanssa toimiville tahoille. Rooleja on valvontaviranomaisten lisäksi tarjoaja, käyttöönottaja, maahantuoja ja jakelija. Kunnat ovat useissa tapauksissa käyttöönottajia (käyttävät valvonnassaan olevaa tekoälyjärjestelmää), elleivät itse kehitä tai kehitytä tekoälyjärjestelmää markkinoille, muokkaa sitä merkittävästi tai ota omalla nimellään järjestelmää käyttöön (tarjoaja), saata EU:n markkinoille (maahantuoja) tai muutoin aseta saatavaksi (jakelija) tekoälyjärjestelmää esimerkiksi Yhdysvalloista. Rooleista on huomioitava, että vaikka kunta ei itse kehittäisi tai myisi tekoälyjärjestelmää, voi se silti päätyä tarjoajan velvollisuuksien piiriin, jos tekoälypohjainen toiminnallisuus on kunnan nimen alla.

Suuririskisyys

Tekoälyasetuksen liite III määrittää käyttötarkoitukset, jolloin tekoälyjärjestelmä lasketaan suuririskiseksi. Näihin lukeutuvat kriittinen infrastruktuuri, koulutus ja ammatillinen koulutus, työllisyys, keskeiset yksityiset ja julkiset palvelut (esim. terveydenhuolto ja pankkitoiminta), tietyt lainvalvonta-, maahanmuutto- ja rajavalvontajärjestelmät sekä oikeudelliset ja demokraattiset prosessit (esim. vaaleihin vaikuttaminen). Suuririskisenä pidetään siten esimerkiksi arviointiprosessia, jossa määritellään henkilön oikeus julkisiin etuihin tai palveluihin. Käyttökohteen lisäksi merkitystä on tekoälyn käyttötavalla, eli kuinka merkittävästi tekoälyjärjestelmän käyttö vaikuttaa päätöksiin. Tekoälyjärjestelmää ei pidetä suuririskisenä, jos se ei aiheuta merkittävää vahingon riskiä luonnollisten henkilöiden terveydelle, turvallisuudelle tai perusoikeuksille, mukaan lukien se, että se ei vaikuta olennaisesti päätöksenteon tulokseen. 

Tästä on kyse, jos tekoälyjärjestelmän tarkoituksena on

1. suorittaa suppea menettelyllinen tehtävä;
2. parantaa aiemmin suoritetun ihmisen toiminnan tulosta;
3. havaita päätöksentekotapoja tai poikkeamia aiemmista päätöksentekotavoista, eikä sen tarkoituksena ole korvata aiemmin tehtyä ihmisen tekemää arviota tai vaikuttaa siihen ilman asianmukaista ihmisen suorittamaa arviota; tai
4. valmistelutehtävä, joka koskee liitteessä III lueteltujen käyttötapausten kannalta merkityksellistä arviointia.

Tekoälyjärjestelmää on aina pidettävä suuririskisenä, jos tekoälyjärjestelmä suorittaa luonnollisten henkilöiden profilointia.

Komissio tulee antamaan määrittelyyn suuntaviivoja, mutta vasta vuosina 2025–2026, joten sitä ennen joudutaan itse tulkitsemaan suuririskisyyttä asetuksen liitteen III ja 6 artiklan 3 kohdan luetteloiden pohjalta.

Kielletyt käytöt

Kuntien tulee olla tietoisia myös tekoälyn kielletyistä käytöistä, jotka on lueteltu tekoälyasetuksen II luvun 5 artiklassa. Ei hyväksyttävissä oleviin riskeihin sisältyvät muun muassa ihmisten käytöksen haittaa aiheuttava manipuloiminen, sosiaalinen pisteytys, biometrinen tunnistaminen ja luokittelu.

Systeeminen riski

Systeemisen riskin sisältäviin tekoälymalleihin sovelletaan tarjoajia koskevia velvoitteita, joita käsitellään 52–55 artikloissa. Kunnissa tulee arvioida yleiskäyttöisten tekoälymallien käytön vaikutukset kuntien kriittisiin palveluihin, kuten energia- tai vesihuoltoon sekä yleiskäyttöisten tekoälymallien potentiaali johtaa laajamittaisiin yksityisyyden loukkauksiin tai yhteiskunnallisiin ongelmiin.

Rajoitetun riskin tekoälyjärjestelmät, yleiskäyttöiset tekoälymallit ja avoimuusvelvoite

Tekoälyasetuksen 50 artiklassa säädetään tiettyjen tekoälyjärjestelmien tarjoajia ja käyttöönottajia koskevista avoimuusvelvoitteista, jotka koskettavat muun muassa kuntien ja kaupunkien chatbotteja.  Avoimuusvelvoitteessa oleellista on, että kuntalaisen tulee olla tietoinen, jos hän asioi tekoälyn kanssa tai tekoäly on luonut esimerkiksi kunnan tiedotteiden sisällön. Kuntien on annettava tietoa tekoälyjärjestelmistä, niiden käyttötarkoituksesta sekä siitä, miten se vaikuttaa kansalaisiin. Tekoälyjärjestelmän avulla tehtyihin päätöksiin liittyen kansalaisilla on oltava mahdollisuus haastaa päätökset ja saada ne tarkistettua ihmisen toimesta.

Suomessa chatbottien sääntelyyn liittyy myös digipalvelulain 6 a §, jossa säädetään palveluautomaation käytöstä neuvonnassa. Tämä kokonaisuus tarkentuu ja kehittyy vuoden aikana, kun valtiovarainministeriön Digitalisaation ja tiedon liikkuvuuden esteiden purkamisen hankkeen työryhmässä tarkastellaan chatbot-kysymystä sääntelyn näkökulmasta laajasti. Tekoälyasetus ei yksin ratkaise kaikkea, mitä tulee tässä kontekstissa pohtia.

Muut vähäisen riskin järjestelmät

Jos käyttö ei ole kielletty, ei lasketa suuririskiseksi tai avoimuusvaatimuksen alaiseksi, eikä ole systeemistä riskiä, niin silloin kyseessä on vähäisen riskin tekoälyjärjestelmä, jota asetus ei sääntele. Tällaisia ovat esimerkiksi roskapostisuodattimet, tekstinmuokkausohjelmat ja käännöstyökalut sekä kuljetusreitin optimointi.
 

Tekoälyasetuksen 4 artikla kehottaa toteuttamaan toimenpiteitä, joilla varmistetaan henkilöstön ja toimijan puolesta tekoälyjärjestelmien toiminnasta vastaavien henkilöiden riittävä tekoälylukutaito. Tällä tarkoitetaan heidän teknisen tietämyksensä, kokemuksensa, koulutuksensa ja tekoälyjärjestelmien käyttöyhteyden sekä henkilöiden tai henkilöryhmien, joihin tekoälyjärjestelmiä on määrä käyttää, huomioimista tekoälyosaamisen edistämisessä. 

Tekoälylukutaidon edistämistä ei asetuksessa sen tarkemmin määritellä, mutta kohta koskee myös kuntia. Käytännössä artikla ohjaa kuntia jollakin tavalla toiminnassaan varmistamaan niiden henkilöiden tekoälyosaaminen ja -ymmärrys, jotka ovat työssään tekemisissä tekoälyjärjestelmien kanssa. Artiklan muotoilun avoimuuden vuoksi se on lähinnä tavoitteellinen ja ohjaava, eikä seuraamuksia tai valvontaa ole määritetty.

Kunnissa ajankohtaisena esimerkkinä tekoälylukutaidon edistämisestä on Opetushallituksen sekä Opetus- ja kulttuuriministeriön vielä vuoden 2024 aikana julkaistavat suositukset tekoälyn käytölle varhaiskasvatuksessa, perusopetuksessa, vapaassa sivistystyössä ja toisella asteella. 

Tekoälyasetuksen yhteydessä Euroopan komissio on perustanut tekoälytoimiston, joka luotsaa yhteisten käytännesääntöjen luomista tekoälyn kehittämiseen ja käyttöön EU:n alueella. Käytännesäännöissä luodaan ohjeistuksia muun muassa siihen, miten pitää tekoäly ajan tasalla, miten kuvailla tekoälyn koulutukseen käytettyä dataa, miten tunnistaa riskejä sekä miten toimia riskien suhteen. Käytännesääntöjen tarkoitus on siis yhtenäistää toimintatapoja ja toimia ohjeena tekoälymallien kehittäjille. Käytännesääntöjen tulee olla valmiita toukokuun 2025 alussa ja ne tulevat voimaan elokuussa 2025. 

Käytännesääntöjen noudattaminen ei ole pakollista, vaan ne on tarkoitettu lähinnä tekoälyjärjestelmien kehittäjien itsesääntelyyn. Ajatus on, että käytännesääntöjä noudattamalla tulee täyttäneeksi myös asetuksen velvoitteet. Vaikka kunta ei itse kehittäisi tekoälymalleja tai ottaisi käytännesääntöjä käyttöön, kuntien kannattaa pitää niiden valmistelua silmällä ja antaa näiden järjestelmien hyödyntäjien näkökulmaa tarpeista ja huomioista esimerkiksi henkilötietojen käsittelyyn liittyen. Käytännesääntöjen muotoilulla voi olla vaikutusta tekoälyasetuksen tulkintoihin ja soveltamiseen. 

Käytännesäännöistä järjestetään lausuntokierroksia, joiden kautta kunnat voivat tuoda omaa näkökulmaansa esiin. 
 

Tekoälyasetus on lähtökohtaisesti markkinavalvontaa, joten kansalliset valvontaviranomaiset koostuvat pitkälti markkinavalvontaviranomaisista. Kansallisten viranomaisten tehtävänä on paitsi valvoa, niin myös neuvoa lain tulkinnassa ja toteutuksessa. Jäsenvaltioiden tulee elokuuhun 2025 mennessä nimetä kansalliset viranomaiset ja kertoa, miten niihin voi olla yhteydessä. Keskeisiä markkinavalvontaviranomaisia tulevat olemaan ainakin Tietosuojavaltuutettu, Traficom ja Tukes, mutta valvontavastuita on tulossa myös muille viranomaisille. Hallituksen esitys kansallisista valvontaviranomaisista menee lausuntokierrokselle syksyllä 2024 sisältäen tarkemman ehdotuksen siitä, keitä valvontaviranomaiset Suomen osalta olisivat.

Suurin osa asetuksen velvoitteista tulee voimaan vasta elokuun 2025 jälkeen, joten lakisääteisiä velvoitteita ei ennen viranomaisten nimeämistä ole koko asetuksen painolla, mutta kunnat tarvitsevat tietysti jo ennen sitä neuvoja lain tulkintaan. Euroopan komissio on perustanut tekoälyneuvoston, mutta se neuvoo lähinnä unionin tasolla, joten siitä ei liene kuntien tarpeisiin juurikaan apua. Tekoälyneuvostolla on kuitenkin olemassa erilaisiin kokonaisuuksiin keskittyviä alaryhmiä. Jos kunnille syntyy tarve perustaa kuntia ja julkisen hallinnon toimijoita palveleva alaryhmä, tulee tätä ajatusta viedä kansallisen toimeenpanoryhmän kautta neuvostolle harkittavaksi. Suomessa tekoälyasetuksen kansallisen toimeenpanon työryhmä sekä Työ- ja elinkeinoministeriö (TEM) voivat tarvittaessa neuvoa asetuksen soveltamisessa, kunnes valvontaviranomaiset nimetty. Euroopan komissiolta on odotettavissa vielä vuoden 2024 aikana suuntaviivoja muun muassa tekoälyjärjestelmän määrittelyyn sekä kieltojen soveltamiseen.

Tällä hetkellä ei ole selkeää kansallista tekoälystrategiaa julkiselle hallinnolle tai Suomelle. Tekoälyyn liittyen on olemassa monenlaisia yleisohjeistuksia ja eettisiä periaatteita, mutta erityisesti kuntanäkökulmaa tekoälyasetuksen tulkintaan on toistaiseksi vähänlaisesti. Eettisiä ohjeistuksia on saatavilla esimerkiksi Digi- ja väestötietoviraston, Euroopan komission sekä valtiovarainministeriön koostamina. Osa kunnista, kuten Tampere ja Helsinki ovat itsekin luoneet tekoälyn käytölle eettiset periaatteet. 

Kuten aiemmin mainittu, tiedonhallintaan liittyvät vaatimukset, tietosuoja-asetus ja hyvän hallinnon periaatteet luovat myös tekoälyasetuksen vaatimusten noudattamiseen vahvan pohjan. Tekoälytoimisto tulee laatimaan mallipohjat perusoikeusvaikutustenarviointiin ja tekniseen dokumentaatioon. Myös Digi- ja väestötietovirastolla on valmisteilla hankintoihin ja vaikutustenarviointeihin liittyviä mallipohjia. Linkitämme jatkossa tietoomme tulevia julkaistuja malleja ”Hyödyllisiä linkkejä” -osioon.

Jäsenvaltioiden tulee varmistaa, että kansallisella tasolla tarjotaan tosielämää mukaileva tekoälyn sääntelyn testiympäristö elokuuhun 2026 mennessä tekoälyasetuksen 57 artiklan mukaisesti. Testiympäristöt koskevat käytännesääntöjen tapaan lähinnä tekoälymallien kehittäjiä, mutta kunnilla voi olla oleellinen rooli esimerkiksi datan, kuten kuntalaisten henkilötietojen, tarjoajana. Testauksista toimitetaan loppuraportti komissiolle ja tekoälyneuvostolle, joiden kautta kunnat voivat neuvoston tietoalustan kautta saada tietoja testiympäristöjen opeista ja haasteista myös sellaisten testausten osalta, joissa eivät itse ole olleet osallisina.

Testiympäristöjen suunnittelu alkaa Työ- ja elinkeinoministeriössä vuoden 2024 lopulla. Testiympäristöihin liittyvä lausuntokierros on suunnitteilla vuoden 2025 keväälle.

Tekoälyasetuksessa määritellään yrityksille sakkoseuraamuksia asetuksen velvoitteiden laiminlyönnistä yrityksen koosta ja liikevaihdosta riippuen. Seuraamuksista julkishallinnon tahoille ei ole vielä säädetty ja asetuksen osalta tähän on jätetty kansallista liikkumavaraa. Lähtökohtana kansallisessa toimeenpanon työryhmässä on, että viranomaisille ei tästä tulisi seuraamuksia, koskien siten myös kuntia. 

Julkishallinnon seuraamuksista täytyy kansallisella tasolla julkistaa päätös viimeistään elokuussa 2025. Ensiasteen seuraamus on vakiintuneesti varoitus tai huomautus ja mahdollisuus korjata toimintaa. Ajatuksena on tällä hetkellä, että seuraamukset toimisivat samalla tavoin, kuin tietosuoja-asetuksen suhteen. 

Tällä hetkellä seuraamusmaksua ei voi Suomessa määrätä tietosuoja-asetuksen nojalla julkisen sektorin toimijoille. Seuraamusmaksujen ulottaminen myös julkiselle sektorille on kuitenkin kirjattu nykyiseen hallitusohjelmaan. Muissa Pohjoismaissa on säädetty mahdollisuus antaa tietosuoja-asetuksen nojalla sakkoja myös julkisen sektorin toimijoille.

Kuntaliitossa on vuoteen 2025 kestävä EU:n digi- ja datalainsäädäntö kuntasektorilla selvittävä projekti käynnistynyt. Tekoälyasetus oli ensimmäinen, joka käytiin yhdessä ministeriön edustajan kanssa läpi.

Projektissa tuotetaan jatkossa myös muista lainsäädännöistä sivustolle selkeytys, mitä kukin EU:n digi- ja datalainsäädäntö tarkoittaa kunnille. Tämän lisäksi järjestetään syksyllä 2024 kuntasektorille haastatteluja ja työpajoja asian tiimoilta. Jos kunnassa tai kaupungissasi on pohdintoja samojen asioiden äärellä, tervetuloa mukaan projektin aikaiseen verkostoon. 

Ohjeet ja lisätietoa löydät sivulta EU digi- ja datalainsäädäntö kuntasektorille.

Tietoturva

Digi- ja väestötietoviraston VAHTI-verkostoon kuuluu digitaalisen turvallisuuden kehittämisestä ja ohjauksesta vastaavien organisaatioiden johtoa sekä digiturvasta vastaavia asiantuntijoita.

Tekoälylukutaito ja -osaaminen

• KT:n koonti ”Generatiivisen tekoälyn hyödyntäminen kunta- ja hyvinvointialalla - yli 50 vinkkiä hyvään tekoälytartuntaan”.
• Linkki uutiseen Tampereen laatimista eettisistä periaatteista.
• Tampereen kaupunki linjasi eettiset periaatteet tekoälyn käytölle (Tampereen kaupunki)
• Helsinki laati periaatteet datan ja tekoälyn eettiselle käytölle (Helsingin kaupunki)
• Tekoälyn vastuullinen hyödyntäminen (Digi- ja väestötietovirasto)
• Ethics-guidelines-AI_FI.pdf (europa.eu). Euroopan komission eettiset ohjeet.
• Tekoälyn eettinen ohjeistus - Valtiovarainministeriö (vm.fi). Valtiovarainministeriön eettinen ohjeistus.

Tekoälyasetuksesta

• https://artificialintelligenceact.eu/ Kattavaa koontia ja tiivistelmiä asetuksesta englanniksi.
• Asetus - EU - 2024/1689 - EN - EUR-Lex (europa.eu). Suora linkki lakitekstiin.
• Tekoälyn kansallisen toimeenpanon työryhmän tiedot
• Euroopan tekoälytoimisto | Shaping Europe’s digital future (europa.eu). Tekoälytoimiston verkkosivusto

Muita linkkejä

• ICT-hankintojen pelikirja (vm.fi). Valtiovarainministeriön vuonna 2023 julkaisemia ohjeita ICT-hankintoihin.