Gå til innhold

Lov&Data

3/2024: Artikler
30/09/2024

Harmoniserte standarder:
En ny sentral rettskilde i kommende regulering av kunstig intelligens

Av Lars Arnesen, stipendiat ved Senter for rettsinformatikk (SERI), Universitetet i Oslo. Arnesen har tidligere jobbet som advokat i advokatfirmaet SANDS (2016–2021). Fra 2021 til 2023 har han jobbet som internadvokat i det norske helseteknologiselskapet Dignio, primært med personvern og regulatoriske spørsmål knyttet til medisinsk utstyr. Han jobber nå på et forskningsprosjekt om kunstig intelligens i helsektoren.

Harmoniserte standarder har lenge vært et viktig verktøy i EUs produktlovgivning, og vil komme til å spille en sentral rolle med innføringen av KI-forordningen.(1)Forordning 2024/1689 av 13. juni 2024 (Engelsk: Artificial Intelligence Act, Norsk: KI-forordningen). Europeiske standarder utvikles av europeiske standardiseringsorganisasjoner, og blir «harmonisert» gjennom en godkjenningsprosess administrert av EU-kommisjonen.(2)Forordning 1025/2012 (standardiseringsforordningen). Denne artikkelen forklarer hva harmoniserte standarder er, og peker på noen utfordringer knyttet til bruken av dem som rettskilde, med særlig vekt på regulering av kunstig intelligens.

Harmoniserte standarder er et privat supplement til ordinær lovgivning. Lovgivning fra demokratisk valgte representanter, slik som EU-parlamentet, blir i økende grad supplert av private initiativer.(3)van Gestel, R., & van Lochem, P. J. P. M. (2020). Private standards as a replacement for public lawmaking? DOI: https://doi.org/10.4337/9781788118415.00009. Privatproduserte supplementer til offisielle rettskilder kommer i ulike former.(4) Cafaggi, F. (2011). New Foundations of Transnational Private Regulation. DOI: https://doi.org/10.1111/j.1467-6478.2011.00533.x. Et eksempel er etiske retningslinjer for bruk av kunstig intelligens som private selskaper selv har utarbeidet.(5) For eksempel Microsoft Responsible AI Standard (juni 2022), besøkt 13. juni 2024. URL: https://blogs.microsoft.com/wp-content/uploads/prod/sites/5/2022/06/Microsoft-Responsible-AI-Standard-v2-General-Requirements-3.pdf. Et annet eksempel er standarder utviklet av interessegrupper, bransjeorganisasjoner eller standardiseringsorganisasjoner.

Denne artikkelen forklarer hva harmoniserte standarder er, og peker på noen utfordringer knyttet til bruken av dem som rettskilde, med særlig vekt på regulering av kunstig
intelligens.

Personvernforordningen er et fremtredende eksempel, der forordningen fungerer som et regulatorisk rammeverk som åpner for supplering og spesifisering gjennom atferdsnormer,(6)Personvernforordningen art. 40 sertifisering,(7)Personvernfordningen art. 42 samt anbefalinger og retningslinjer fra blant annet Personvernrådet.(8)Personvernforordningn art. 70 Kravene i personvernforordningen kan derfor formuleres nokså generelt, slik som for eksempel forpliktelsene i artikkel 24, der det følger at behandlingsansvarlig skal «gjennomføre egnede tekniske og organisatoriske tiltak.» Hva «egnede» tiltak innebærer beror på en helhetlig risikovurdering.(9)C-340/21 VB v Natsionalna agentsia za prihodite, avsnitt 42. Støtte til hvordan denne risikovurderingen skal gjøres, og hvilke tiltak som er relevante, finnes i blant annet standarder.

Standarder spiller allerede en viktig rolle i å utfylle de generelle forpliktelsene i personvernforordningen. ISO 27001:2017 er for eksempel en mye brukt standard, som et verktøy for å oppfylle informasjonssikkerhetskravene som følger av personvernforordningen artikkel 32.(10)Denne standarden etterspørres for eksempel i offentlige anbud i tilknytning til personvernforordningen artikkel 32.

Det er imidlertid en sentral forskjell mellom standarder og harmoniserte standarder. Det er ingen harmoniserte standarder knyttet direkte til personvernforordningen, men det vil komme en rekke nye harmoniserte standarder til den nye KI-forordningen.(11) EU-kommisjonen har en oppdatert oversikt over gjeldende harmoniserte standarder, se «Harmonised Standards», besøkt 13. juni 2024. URL: https://single-market-economy.ec.europa.eu/single-market/european-standards/harmonised-standards_en.

Harmoniserte standarder er direkte knyttet til EUs rettssystem ved at de publiseres av EU-kommisjonen i Den europeiske unions tidende (Official Journal of the European Union).(12)Forordning 1025/2012 (standardiseringsforordningen) art. 10(6). EU-domstolen har derfor avklart, først i 2016 og på nytt i en avgjørelse fra 5. mars 2024, at harmoniserte standarder er en del av EU-retten.(13)C-613/14 James Elliot Construction Limited mot Irish Asphalt Limited, avsnitt 40, og C-588/21 Public.Resource.Org Inc & Right to Know CLG mot Europakommisjonen, avsnitt 70-80.

Dette reiser flere prinsipielle rettslige spørsmål.(14)Se blant annet Traktaten om Den europeiske unions virkemåte (TFEU), artikkel 15(3) og Pakten om grunnleggende rettigheter («Pakten»), artikkel 20, 42 og 47. Ett spørsmål er om harmoniserte standarder i realiteten er ufravikelig og obligatorisk tvingende rett, noe som reiser spørsmålet om alle bør ha fri tilgang til standarden, på lik linje med ordinære, formelle EU-rettskilder. Tilgang til harmoniserte standarder selges i dag av standardiseringsorganisasjonene, typisk til priser som varierer fra noen hundre til flere hundre euro.(15) Prisene varierer betydelig, fra noen hundre til flere hundre euro per standard. Prisene er oppgitt i nettbutikkene til de nasjonale standardiseringsorganisasjonene. Det kan være nødvendig med et sett med standarder for å overholde alle gjeldende produktforskrifter i EU, for eksempel for leketøy, medisinsk utstyr eller KI-systemer.

Det er ikke bare tilgang til de endelige standardene som koster. Deltakelse i standardiseringsarbeidet er også avgiftsbelagt, der de som ønsker å bidra til å utvikle standardene må betale for en plass rundt bordet. Det finnes visse krav fra EU-kommisjonen for å sikre tilgang og deltakelse fra små og mellomstore bedrifter, og fra sivilsamfunnsorganisasjoner. Kravene er likevel formulert som myke juridiske krav, uten sanksjoner. For eksempel skal europeiske standardiseringsorganisasjoner «oppmuntre» små og mellomstore bedrifter til å delta, «for eksempel» ved å gi gratis eller redusert tilgang og deltakelse.(16)Forordning 1025/2012 (standardiseringsforordningen), arrtikkel 5 og 6. Satsene fastsettes imidlertid av dem selv.

Et tredje spørsmål, som særlig knytter seg til regulering av KI-systemer, er de samfunnsmessige problemstillingene som oppstår når KI-systemer tas i bruk. Design, utvikling og bruk av KI-systemer reiser en rekke grunnleggende og komplekse samfunnsspørsmål. Dette kan stille seg annerledes enn for eksempel tekniske krav til heiser, bygningsutstyr eller leker, der harmoniserte standarder har vært fremtredende i en årrekke allerede.

Denne artikkelen vil fortsette med en kort forklaring av hvordan standarder blir harmonisert, etterfulgt av en redegjørelse for to avgjørelser fra EU-domstolen som bekrefter at harmoniserte standarder er en del av EU-retten. Artikkelen avslutter med noen betraktninger rundt implikasjonene av at harmoniserte standarder er innlemmet som en del av EUs rettsystem.

1. Hva er en standard, og hva gjør den harmonisert?

De første standardiseringsorganisasjonene i Europa ble dannet i forbindelse med industrialiseringen på 1800-tallet. Standardisering var nødvendig for produksjon i industriell skala, noe som førte til dannelsen av nasjonale standardiseringsorganisasjoner og senere internasjonale standardiseringsorganisasjoner på 1900-tallet.(17)Standardisering, Wikipedia, besøkt 13.06.2024. URL: https://en.wikipedia.org/wiki/Standardization.

Harmoniserte standarder omhandler typisk svært tekniske emner, som for eksempel grenseverdier for ulike typer kjemiske stoffer som kan brukes i et bestemt produkt. For eksempel avgjørelsen James Elliot v Irish Asphalt (C-613/14), som er nærmere omtalt nedenfor, gjaldt spesifikasjon av hvor mye svovel som skal inngå i asfalt. Spesifikasjonene endres kontinuerlig, basert på den nyeste kunnskapen i bransjen og nye vitenskapelige funn, noe som gjør det utfordrende å gi detaljerte spesifikasjoner gjennom ordinære lovgivningsprosesser.

I dag er det tre europeiske standardiseringsorganisasjoner som har ansvaret for å utarbeide harmoniserte standarder. Disse er European Committee for Standardization (CEN), the European Committee for Electrotechnical Standardization (CENELEC), og European Telecommunications Standards Institute (ETSI). De tre organisasjonene er anerkjent som «europeiske standardiseringsorganisasjoner» etter forordning 1025/2012 (standardiseringsforordningen).

Samordningen mellom standardiseringsorganisasjonene ble først regulert på EU-nivå i 1983.(18) Pelkmans, J. (1987). The New Approach to Technical Harmonization and Standardization.Journal ofcommon Market Studies Volume XXV, No. 3 March 1987 002 1-9886. Rådsdirektivet fra 1983 fastsatte en prosedyre for utveksling av informasjon om standardiserings­prosjekter, noe som sørget for at de ulike nasjonale standardiserings­organisasjonene ble bedre koordinert.(19)Rådsdirektiv av 28. mars 1983 om fastsettelse av en informasjonsprosedyre med hensyn til tekniske standarder og forskrifter (83/189/EØF), artikkel 2. Direktivet sørget også for at det ikke ble utarbeidet nasjonale standarder der det allerede fantes en europeisk standard.(20)Ibid. artikkel 7. På denne tiden fantes det ingen harmoniserte standarder, kun europeiske standarder. De europeiske standardene ble utarbeidet av de europeiske standardiseringsorganisasjonene, men uten at de ble harmonisert og innlemmet i formell EU-lovgivning.

Ideen om harmoniserte standarder ble formelt introdusert to år senere, i 1985, med rådsresolusjonen «on a new approach to technical harmonisation and standards.»(21)Rådets resolusjon av 7. mai 1985 om en ny tilnærming til teknisk harmonisering og standarder (85/C/136/01). Den nye tilnærmingen innebærer et system der EU-­kommisjonen gir de europeiske standardiseringsorganisasjonene mandat til å utarbeide egnede standarder, som deretter vedtas av EU-kommisjonen, forutsatt at standarden oppfyller kravene i mandatet. Vedtatte standarder publiseres som harmoniserte standarder i Den europeiske unions tidende.

Det følger av rådsresolusjonen fra 1985 at standardene vil «maintain their status as voluntary standards.»(22)Ibid, vedlegg II. Den nye metoden med harmonisering av standarder hadde altså ikke til hensikt å gjøre standardene obligatoriske, noe som fortsatt er et grunnleggende prinsipp i europeisk standardisering, nedfelt i fortalepunkt to i standardiseringsforordningen.(23)Pelkman (se n. 20) gir en utførlig redegjørelse for den nye tilnærmingen som ble vedtatt i 1985.

Standardiseringsforordningen fastsetter den gjeldende prosedyren for harmonisering av standarder. EU-kommisjonen kan, i henhold til artikkel 10, anmode en eller flere europeiske standardiseringsorganisasjoner om å utarbeide standarder som skal harmoniseres med en eller flere produktreguleringer. Harmoniserte standarder kan for eksempel brukes i forbindelse med regulering av leketøy, medisinsk utstyr, og nå også snart KI-systemer. Kommisjonen vil offentliggjøre standarder som oppfyller kravene i mandatet i Den europeiske unions tidende.(24)Standardiseringsforordningen, art. 10(6). Europaparlamentet eller medlemslandene kan protestere mot harmoniserte standarder, med den begrunnelse at standardene ikke oppfyller kravene i mandatet. Standardene kan da enten trekkes tilbake eller opprettholdes med begrensninger.(25)Ibid, art. 11(1).

2. Kan harmoniserte standarder være både frivillige og obligatoriske på samme tid?

EU-domstolen har i nyere tid behandlet to saker om harmoniserte standarders rettslige og frivillige karakter. I den første saken, James Elliot v Irish Asphalt (C-613/14), kom EU-domstolen til at harmoniserte standarder utgjør en del av EU-retten, når harmoniserte standarder er brukt på en måte som skaper bindende rettsvirkninger.(26)James Elliot, avsnitt 40-42. Saken gjaldt en kontraktsmessig tvist om den avtalte kvaliteten på asfalt. Asfalten oppfylte ikke de tekniske spesifikasjonene i standarden EN 1342:2002, særlig med hensyn til svovelinnholdet. Irlands høyesterett anmodet EU-domstolen om en prejudisiell avgjørelse for å avklare om EU-domstolen har kompetanse til å tolke den harmoniserte standarden i henhold til TFEU artikkel 267.

EU-domstolen kom til at den aktuelle harmoniserte standarden er en del av EU-retten fordi overholdelse av den skaper en presumsjon for overholdelse av byggevaredirektivet (direktiv 89/106).(27)Ibid. Det er dermed en direkte forbindelse mellom den harmoniserte standarden og de ufravikelige lovkravene i byggevaredirektivet. For å utfordre presumsjonen må standarden tolkes av EU-domstolen, og følgelig utgjør standarden en del av EU-retten.

I den andre saken, Public.Resource.Org and Right to Know v. European Commission, gjentar domstolen at harmoniserte standarder som har rettsvirkninger, er en del av EU-retten.(28)Public.Resource.Org., avsnitt 70. Saken gjaldt fri tilgang til fire harmoniserte standarder for leketøy. De fire aktuelle standardene har rettsvirkninger, ettersom overholdelse av de fire standardene forutsetter overholdelse av leketøysdirektivet (direktiv 2009/48).(29)Ibid., avsnitt 70-80.

I sin begrunnelse i Public.Resource.Org-saken påpekte domstolen at det ikke finnes noen realistiske alternativer til bruk av harmoniserte standarder. Domstolen mente at «it may prove difficult, or even impossible, for economic operators to have recourse to a procedure other than that of compliance with such standards, such as an individual expert report, in the light of the administrative difficulties and additional costs arising therefrom .»(30)Ibid., avsnitt 75. På dette grunnlaget konkluderte domstolen med at selv om de fire standardene i saken formelt sett var frivillige, var standardene i realiteten «manifestly mandatory» for å overholde regelverket om leketøysikkerhet.(31)Ibid., avsnitt 79.

Domstolen påpekte at enhver person som ønsker å utfordre presumsjonen om at lovkravene er oppfylt må ha tilgang til de aktuelle harmoniserte standardene. Domstolen la til grunn at en «harmonised standard may specify the rights conferred on individuals as well as their obligations and those specifications may be necessary for them to verify whether a given product or service actually complies with the requirements of such legislation»(32)Ibid., avsnitt 82. Det er ikke bare virksomheter som er underlagt lovkrav som kan ha en interesse, men også privatpersoner kan ha en legitim interesse i å utfordre presumsjonen om at lovkravene er oppfylt. For eksempel kan en familie som har blitt eksponert for farlige leker ønske å konsultere standardene, for å vurdere om produsenten faktisk har overholdt de relevante lovkravene.(33)Et annet eksempel er standardenes rolle i den franske brystimplantatsaken, forklart i van Gestel, R., & van Lochem, P. J. P. M. (2020). Private standarder som erstatning for offentlig lovgivning? DOI: https://doi.org/10.4337/9781788118415.00009.

EU-domstolen bekrefter gjennom de to sakene at harmoniserte standarder er gjenstand for obligatorisk håndhevelse, ettersom domstolene kan anvende dem for å avgjøre om EU-retten er overholdt.

Til tross for disse avklaringene er det fortsatt flere uavklarte spørsmål, knyttet til statusen harmoniserte standarder har som rettskilde sammenlignet med konvensjonelle EU-rettskilder. EU-domstolen har kun løst spørsmålet om tilgang til standardene basert på et spesifikt rettslig grunnlag, som de europeiske standardiseringsorganisasjonene ikke er underlagt. Det rettslige grunnlaget for innsyn, som brukes i Public.Resource.Org, er forordning 1049/2001, som omhandler offentlighet i dokumenter fra Europaparlamentet, Rådet og Kommisjonen. Enhver kan be om innsyn i harmoniserte standarder fra EU-institusjonene, men ikke fra de europeiske standardiseringsorganisasjonene.

Opphavsretten til de harmoniserte standardene er ikke opphevet. De europeiske standardiseringsorganisasjonene kan fortsatt påberope seg opphavsrett og begrense tilgangen i henhold til sine egne vilkår og betingelser. Harmoniserte standarder, inkludert de fire standardene som behandles i Public.Resource.Org, tilbys fortsatt for salg til en pris på 250 til 380 euro per stykk, noe som utgjør mer enn 1000 euro for å få tilgang til alle standardene.

EU-domstolen gir gjennom sin avgjørelse i Public.Resource.Org en mulighet til å omgå betalingsmuren til de europeiske standardiseringsorganisasjonene, ved å få gratis tilgang til standardene direkte fra EU-institusjonene. Veien til tilgang kan likevel være lang og byrdefull. Public.Resource.Org presiserer kun at det var en «overriding public interest» i å gi tilgang til de fire harmoniserte standardene om leker. Dette reiser spørsmålet om hvorvidt en slik «overriding public interest» gjelder generelt for alle harmoniserte standarder, noe som foreløpig ikke er avklart.

Et spesielt og begrensende faktum i Public.Resource.Org er at det i forordning 1907/2006, spesifikt fremgår at bruken av nikkel i leketøy er regulert av en av standardene, og at det følger av dette at «the standards adopted by CEN are to be used as test methods for demonstrating the conformity of the products»(34)Public.Resource.Org, avsnitt 79. For å verifisere samsvar er det derfor ikke noe annet valg enn å gå til den relevante standarden, noe som gjør det åpenbart at standarden er obligatorisk. Det er ikke alle harmoniserte standarder som det henvises til i EU-regelverket på denne måten. Men bortsett fra standarden om terskelverdier for nikkel, la EU-domstolen til grunn at alle harmoniserte standarder som brukes for å skape en presumsjon om etterevelse, i realiteten er en del av EU-retten, noe som i utgangspunktet skulle kunne gi en «overriding public interest» til fri tilgang til den aktuelle standarden.

Likevel, EU-domstolen har, gjennom Public.Resource.Org, opprettholdt en todelt tilnærming der harmoniserte standarder delvis er tilgjengelige på grunn av tvingende allmenne hensyn, og delvis begrenset på bakgrunn av opphavsrettslig beskyttelse. Dette sprikende resultatet er et tydelig symptom på implikasjonene ved å innlemme privatproduserte og opphavsbeskyttede kilder i EUs formelle lovgivning.

Konvensjonelle rettskilder, som ordinære lover og rettspraksis, er fritt tilgjengelige på nettet, uten at det er nødvendig å be om tilgang. Etter EU-domstolens avgjørelser er harmoniserte standarder formelt sett tilgjengelige, men ikke like enkelt som andre rettskilder. Dette reiser spørsmålet om det er lovlig, i henhold til de grunnleggende rettighetene som er nedfelt i TFEU og Charteret,(35)Traktaten om Den europeiske unions virkemåte (TFEU), artikkel 15(3) og Pakten om grunnleggende rettigheter («Pakten»), artikkel 20, 42 og 47 (på engelsk «Charter of Fundamental Rights»). å begrense tilgangen til harmoniserte standarder, slik EU-kommisjonens praksis er i dag.

Det reiser også spørsmålet om begrensede rettskilder, som harmoniserte standarder, er egnet til å regulere svært komplekse områder som reiser flere grunnleggende samfunnsspørsmål, slik som reguleringen av KI-systemer.

3. Bruk av harmoniserte standarder for å regulere KI-systemer

Ti standarder er under utvikling for å gi detaljerte regler for design, utvikling og bruk av KI-systemer. Standardene handler ikke bare om produktsikkerhet, men også om overholdelse av grunnleggende rettigheter. KI-systemer er i høyeste grad tekniske, men bruken av KI-systemer reiser samtidig en rekke samfunnsmessige spørsmål om personvern, diskriminering, sikkerhet med mer. I EU-kommisjonens anmodning om standardisering i tilknytning til KI-forordningen, som ble utstedt av 22. mai 2023, fremkommer det at «standards are important instruments to support the implementation of Union policies and legislation and to ensure a high level of protection of safety and fundamental rights for all persons in the Union.»(36)EU-kommusjonenens gjennomføringsbeslutning (Commission Implementing Decision), 22. mai 2023, C(2023)3215 final, fortalepunkt nr. 3

Hensynet til grunnleggende rettigheter var ikke til stede da den nye tilnærmingen til harmonisering av standarder ble innført i 1985. Den gang var det utelukkende produktsikkerhet som sto i fokus. Så langt finnes det ingen harmoniserte standarder der hensynet til grunnleggende rettigheter spiller en dominerende rolle. De ti standardene som skal innføres for KI-systemer, vil derimot alle ha grunnleggende rettigheter som et vesentlig og overordnet hensyn. Standardene forventes å foreligge innen 30. april 2025.(37)Ibid. artikkel 1.

KI-forordningen trådte i kraft 1. august 2024. KI-forordningen definerer tre produkter som skal være underlagt harmoniserte standarder: høyrisiko-KI-systemer, generative KI-modeller og generative KI-modeller med systemisk risiko. Mandatet som ble gitt til de europeiske standardiseringsorganisasjonene 22. mai 2023, gjelder bare høyrisikosystemer for kunstig intelligens, fordi de to sistnevnte kategoriene ble inkludert i KI-forordningen på et senere tidspunkt.(38)EU-kommusjonenens gjennomføringsbeslutning (Commission Implementing Decision), 22. mai 2023, C(2023)3215 final.

Det er ti krav til høyrisiko-­KI-systemer, og det forventes mer detaljerte spesifikasjoner i standardene. De ti kravene er risikostyring, data og datastyring, åpenhet, menneskelig tilsyn, nøyaktighet, robusthet, cybersikkerhet, kvalitetsstyringssystem og samsvarsvurdering. Hensynet til grunnleggende rettigheter er nedfelt i alle kravene. For eksempel, fra kravet om risikohåndtering følger det at risiko skal identifiseres, inkludert risikoer som KI-systemet «can pose to health, safety or fundamental rights when the high-risk AI system is used in accordance with its intended purpose.»(39) KI-forordningen, artikkel 9(2)a).

Et vanlig argument for tekniske standarder som supplement til lovgivning er behovet for den nyeste tekniske ekspertisen. Når det gjelder KI-systemer, er det imidlertid også et behov for samfunnsmessig bevissthet, ikke bare teknologiske ferdigheter, men også kunnskap om hvordan teknologien påvirker og påvirker samfunnet. Overholdelse av grunnleggende rettigheter krever nøye avveininger mellom til tider motstridende rettigheter og interesser.

Som påpekt av Martin Ebers,(40) Martin Ebers, Standardizing AI - The Case of the European Commission’s Proposal for an Artificial Intelligence Act, i: Larry A. DiMatteo/Michel Cannarsa/Cristina Poncibò (red.), The Cambridge Handbook of Artificial Intelligence: Global Perspectives on Law and Ethics, under utgivelse, 22 sider, Cambridge University Press 2022. er ikke harmoniserte standarder gjennomgått av offentlige organer. I «Blue Guide» om produktregulering utarbeidet av EU-kommisjonen i 2016 følger det at: «Union harmonisation legislation for products do not foresee a procedure under which public authorities would systematically verify or approve either at Union or national level the contents of harmonised standards».(41) Europakommisjonen, «The ‘Blue Guide’ on the implementation of EU products rules 2016,» EUT 2016 C 272/1, 41, 45.

Det er uklart hvorfor offentlige myndigheter ikke kunne vært mer involvert. Sterkere involvering fra offentlige organer kan bidra til å skape større bevissthet rundt hvor grensen mellom formell lovgivning og standarder bør trekkes. Harmoniserte standarder bør i utgangspunktet angi konkrete og tekniske spesifikasjoner som knytter seg til krav angitt i formell lov. Bredere involvering vil også bidra til at avveingen av grunnleggende rettigheter blir bedre forankret. Disse avveiningene bør ikke ligge til standardiseringsorganisasjonene alene.

4. Harmoniserte standarder kan være nyttig, så lenge alle har tilgang til dem

Uten harmoniserte standarder ville det fortsatt eksistert standarder. Det finnes mange standarder som virksomheter velger å følge frivillig, uten at det er lovpålagt.

Integrasjon mellom det private initiativer og formell lovgivning har flere fordeler. Harmonisering sikrer enhetlige europeiske standarder som er direkte knyttet til lovkrav. Ved å følge loven, inkludert de harmoniserte standardene, får virksomheter smidig tilgang til hele det indre markedet. I tillegg gir harmoniseringssystemet obligatorisk håndheving gjennom EU-domstolen og nasjonale domstoler. Dette kan være en bedre løsning enn å basere seg på frivillige, private standarder som lever sitt eget liv utenfor EUs offisielle rettssystem.

Personvernforordningen er et fremtredende eksempel på dette. Ingen harmoniserte standarder er knyttet til sikkerhetskravene i artikkel 32 i personvernforordningen, men det er vanlig å bruke ikke-harmoniserte standarder for å overholde kravene, slik som ISO27001:2017. Denne standarden etterspørres ofte i offentlige anbud.

Fortsatt bruk av harmoniserte standarder krever imidlertid visse forbedringer av den nåværende praksisen. For det første bør det gjøres helt klart at grunnleggende rettsstatsprinsipper trumfer opphavsretten. Tilgang til loven er en grunnleggende og absolutt rettighet som må respekteres, uavhengig av kommersielle interesser. For det andre bør det åpnes for deltakelse i private lovgivningsprosedyrer, med obligatorisk deltakelse fra offentlige organer. Selv om private organisasjoner er involvert, bør det aldri være tvil om at det er de offentlige EU-institusjonene og medlemslandene som er ansvarlige for å sikre at grunnleggende rettigheter blir respektert.

Noter

  1. Forordning 2024/1689 av 13. juni 2024 (Engelsk: Artificial Intelligence Act, Norsk: KI-forordningen).
  2. Forordning 1025/2012 (standardiseringsforordningen).
  3. van Gestel, R., & van Lochem, P. J. P. M. (2020). Private standards as a replacement for public lawmaking? DOI: https://doi.org/10.4337/9781788118415.00009.
  4. Cafaggi, F. (2011). New Foundations of Transnational Private Regulation. DOI: https://doi.org/10.1111/j.1467-6478.2011.00533.x.
  5. For eksempel Microsoft Responsible AI Standard (juni 2022), besøkt 13. juni 2024. URL: https://blogs.microsoft.com/wp-content/uploads/prod/sites/5/2022/06/Microsoft-Responsible-AI-Standard-v2-General-Requirements-3.pdf.
  6. Personvernforordningen art. 40
  7. Personvernfordningen art. 42
  8. Personvernforordningn art. 70
  9. C-340/21 VB v Natsionalna agentsia za prihodite, avsnitt 42.
  10. Denne standarden etterspørres for eksempel i offentlige anbud i tilknytning til personvernforordningen artikkel 32.
  11. EU-kommisjonen har en oppdatert oversikt over gjeldende harmoniserte standarder, se «Harmonised Standards», besøkt 13. juni 2024. URL: https://single-market-economy.ec.europa.eu/single-market/european-standards/harmonised-standards_en.
  12. Forordning 1025/2012 (standardiseringsforordningen) art. 10(6).
  13. C-613/14 James Elliot Construction Limited mot Irish Asphalt Limited, avsnitt 40, og C-588/21 Public.Resource.Org Inc & Right to Know CLG mot Europakommisjonen, avsnitt 70-80.
  14. Se blant annet Traktaten om Den europeiske unions virkemåte (TFEU), artikkel 15(3) og Pakten om grunnleggende rettigheter («Pakten»), artikkel 20, 42 og 47.
  15. Prisene varierer betydelig, fra noen hundre til flere hundre euro per standard. Prisene er oppgitt i nettbutikkene til de nasjonale standardiseringsorganisasjonene. Det kan være nødvendig med et sett med standarder for å overholde alle gjeldende produktforskrifter i EU, for eksempel for leketøy, medisinsk utstyr eller KI-systemer.
  16. Forordning 1025/2012 (standardiseringsforordningen), arrtikkel 5 og 6.
  17. Standardisering, Wikipedia, besøkt 13.06.2024. URL: https://en.wikipedia.org/wiki/Standardization.
  18. Pelkmans, J. (1987). The New Approach to Technical Harmonization and Standardization.Journal ofcommon Market Studies Volume XXV, No. 3 March 1987 002 1-9886.
  19. Rådsdirektiv av 28. mars 1983 om fastsettelse av en informasjonsprosedyre med hensyn til tekniske standarder og forskrifter (83/189/EØF), artikkel 2.
  20. Ibid. artikkel 7.
  21. Rådets resolusjon av 7. mai 1985 om en ny tilnærming til teknisk harmonisering og standarder (85/C/136/01).
  22. Ibid, vedlegg II.
  23. Pelkman (se n. 20) gir en utførlig redegjørelse for den nye tilnærmingen som ble vedtatt i 1985.
  24. Standardiseringsforordningen, art. 10(6).
  25. Ibid, art. 11(1).
  26. James Elliot, avsnitt 40-42.
  27. Ibid.
  28. Public.Resource.Org., avsnitt 70.
  29. Ibid., avsnitt 70-80.
  30. Ibid., avsnitt 75.
  31. Ibid., avsnitt 79.
  32. Ibid., avsnitt 82.
  33. Et annet eksempel er standardenes rolle i den franske brystimplantatsaken, forklart i van Gestel, R., & van Lochem, P. J. P. M. (2020). Private standarder som erstatning for offentlig lovgivning? DOI: https://doi.org/10.4337/9781788118415.00009.
  34. Public.Resource.Org, avsnitt 79.
  35. Traktaten om Den europeiske unions virkemåte (TFEU), artikkel 15(3) og Pakten om grunnleggende rettigheter («Pakten»), artikkel 20, 42 og 47 (på engelsk «Charter of Fundamental Rights»).
  36. EU-kommusjonenens gjennomføringsbeslutning (Commission Implementing Decision), 22. mai 2023, C(2023)3215 final, fortalepunkt nr. 3
  37. Ibid. artikkel 1.
  38. EU-kommusjonenens gjennomføringsbeslutning (Commission Implementing Decision), 22. mai 2023, C(2023)3215 final.
  39. KI-forordningen, artikkel 9(2)a).
  40. Martin Ebers, Standardizing AI - The Case of the European Commission’s Proposal for an Artificial Intelligence Act, i: Larry A. DiMatteo/Michel Cannarsa/Cristina Poncibò (red.), The Cambridge Handbook of Artificial Intelligence: Global Perspectives on Law and Ethics, under utgivelse, 22 sider, Cambridge University Press 2022.
  41. Europakommisjonen, «The ‘Blue Guide’ on the implementation of EU products rules 2016,» EUT 2016 C 272/1, 41, 45.
Lars Arnesen