Strukturen i AI Act i 2026

AI Act er verdens første helhetlige horisontale regulering av kunstig intelligens. Dens risikobaserte arkitektur er nøkkelen til å forstå hvilke forpliktelser som gjelder for hvilke systemer.

Risikonivåene

Forordningen deler AI-systemer inn i fire nivåer basert på risikoen de utgjør:

• Forbudte systemer — praksiser som er helt forbudt, inkludert manipulative underbevisste teknikker, utnyttelse av sårbarheter, sosial scoring utført av offentlige myndigheter, og visse former for biometrisk kategorisering og emosjonsgjenkjenning
• Høyrisikosystemer — systemer som brukes i spesifiserte kontekster med høy innsats, underlagt hoveddelen av forordningens materielle forpliktelser inkludert risikostyring, datastyring, åpenhet, menneskelig tilsyn og nøyaktighetskrav
• Systemer med begrenset risiko — systemer med spesifikke åpenhetsforpliktelser, inkludert de fleste AI-drevne innholdsanbefalere og chatboter som samhandler direkte med brukere
• Systemer med minimal risiko — alt annet, underlagt kun generelle frivillige atferdskodekser

Hvor annonsering og anbefalingssystemer plasseres

Mesteparten av AI rettet mot annonsering — publikumsscoring, optimalisering av programmatisk budgivning, innholdsanbefalere, personaliseringsmotorer — ligger i nivået med begrenset risiko snarere enn i høyrisikonivået. Dette høres ut som en lettelse, men nivået med begrenset risiko medfører fortsatt betydelige åpenhetsforpliktelser, og flere grensetilfeller skyver spesifikke systemer opp i høyere nivåer. Kritisk nok kan reglene om forbudte praksiser nå annonseringssystemer hvis de krysser over i manipulasjons- eller utnyttelsesterritorium, og EDPB har signalisert vilje til å tolke disse bestemmelsene bredt.

Innfasingen

2026-kalenderen betyr noe: høyrisikoforpliktelsene for nye systemer trer i kraft i august 2026, høyrisikoforpliktelsene for systemer som allerede er på markedet trer i kraft i 2027, og forpliktelsene for leverandører av generell AI er allerede i kraft. Utgivere og annonsører bør kartlegge sitt AI-inventar mot denne kalenderen for å vite hvilke forpliktelser som gjelder når.

Hvordan AI Act legger seg oppå GDPR

AI Act erstatter ikke GDPR. Den legger seg oppå den. Et system som behandler personopplysninger for å produsere AI-drevne utdata må oppfylle begge regimer, og forpliktelsene er additive snarere enn alternative.

GDPR-laget

GDPR fortsetter å regulere lovligheten av behandling av personopplysninger. Samtykke for annonseprofilering, rettslig grunnlag for måling, klyngen av den registrertes rettigheter, forpliktelsene ved overføringer over landegrensene — alt dette fortsetter å gjelde uendret.

AI Act-laget

På toppen av GDPR legger AI Act til forpliktelser spesifikt om selve AI-systemet: hvordan det ble trent, hvilke data som gikk inn i treningen, hvordan utdataene er dokumentert, hvilke tilsynsmekanismer som eksisterer, hvilken åpenhet brukeren mottar. Disse forpliktelsene fester seg til AI-systemet uavhengig av om den underliggende databehandlingen er samtykkebasert, kontraktsbasert eller har et annet rettslig grunnlag.

Den praktiske implikasjonen

En utgiver som kjører en innholdsanbefaler på personopplysninger trenger både et gyldig rettslig grunnlag etter GDPR for databehandlingen og en samsvarlig åpenhetsopplysning under AI Act. Ingen av delene alene er tilstrekkelig. Samsvarsflaten er nå genuint todimensjonal, og dokumentasjonskjeden må dekke begge aksene.

Forbudte praksiser og annonsering

Forordningens liste over forbudte praksiser er kort, men viktig, og flere punkter har implikasjoner for annonsedesign.

Manipulative teknikker

Forordningen forbyr AI-systemer som bruker underbevisste teknikker, manipulative praksiser eller utnytter sårbarheter til spesifikke grupper på måter som sannsynligvis vil forårsake betydelig skade. De fleste annonsedesign nærmer seg ikke denne grensen — men annonsering som retter seg mot identifiserte sårbarheter (økonomiske vansker, psykisk helsetilstand, avhengighetsmønstre) ved hjelp av AI-drevet profilering kan krysse den. EDPB har flagget dette i tidlig veiledning.

Biometrisk kategorisering

Forordningen forbyr biometrisk kategorisering som utleder sensitive egenskaper som rase, politisk oppfatning, fagforeningsmedlemskap, religiøs tro, seksualliv eller seksuell orientering. Publikumssegmenter bygget fra biometriske data som utleder disse egenskapene er nå i forbudt territorium.

Emosjonsgjenkjenning i spesifikke kontekster

Emosjonsgjenkjenning er forbudt i arbeidsplass- og utdanningskontekster. Bruksområder for emosjonsdeteksjon i annonsering utenfor disse kontekstene kan fortsatt være tillatt, men møter skjerpet granskning.

Åpenhetsforpliktelser for begrenset risiko

Det er her hoveddelen av samsvarsarbeidet for utgivere og annonsører under AI Act ligger i 2026.

Opplysningen om anbefalingssystem

Innholdsanbefalere som personaliserer det brukere ser — enten på en utgivers hjemmeside, i en in-app-feed eller i en programmatisk annonseplassering — faller inn under nivået med begrenset risiko. Brukere må informeres om at de samhandler med et AI-system, og systemet må være utformet slik at AI-naturen av interaksjonen er tydelig.

Chatbot-opplysningen

Ethvert AI-system som samhandler direkte med brukere i samtaleform må opplyse om sin AI-natur. Utgivere og annonsører som kjører AI-chat-grensesnitt — for kundestøtte, innholdsoppdagelse eller andre formål — må oppfylle denne grunnstandarden.

Opplysningen om syntetisk innhold

AI-generert bilde-, lyd-, video- og tekstinnhold må merkes som sådan. Utgivere som bruker AI-generert visuelt materiale eller tekst i redaksjonelt innhold, annonsekreativ eller produktbilder må anvende merkeforpliktelsene. Implementeringsveiledningen for 2026 har klargjort de tekniske spesifikasjonene for merking, inkludert standarder for vannmerking av visuelt innhold.

Den kombinerte samtykkeflaten i 2026

CMP-en og personvernerklæringen må nå gjøre arbeid for begge regimene. Utgiver-CMP-en i 2026 ser betydelig mer omfattende ut enn forgjengeren fra 2024.

Granulære samtykkeformål

CMP-en eksponerer samtykkeformål som skiller mellom generell annonsering, profilering for annonsering, automatisert beslutningstaking og anbefalingspersonalisering. Hver enkelt samsvarer med en spesifikk AI Act- og GDPR-grense, og hver krever sitt eget bekreftende samtykke.

Opplysninger om AI-systemer

Personvernerklæringen eller et medfølgende AI-opplysningsdokument beskriver AI-systemene som er i bruk, deres formål, kategoriene av inndata, den overordnede logikken i utdataene og de menneskelige tilsynsmekanismene som er på plass. Dette er mer enn GDPR artikkel 22-opplysningen om automatisert beslutningstaking — det er en mer komplett AI-åpenhetshistorie.

Retten til å protestere

GDPRs rett til å protestere mot profilering fortsetter å gjelde, og AI Act legger til ytterligere brukerrettigheter rundt AI-drevet anbefalingspersonalisering. Brukere kan velge bort anbefalingspersonalisering uten å miste tilgang til den underliggende tjenesten, og avmeldingen må være minst like enkel som påmeldingen.

Operasjonelle mønstre som fungerer i 2026

Utgivere og annonsører som kjører modne 2026-programmer konvergerer mot noen få operasjonelle mønstre.

AI-inventaret

Vedlikehold et levende inventar over hvert AI-system som er i bruk på tvers av utgiver- eller annonsørstakken: systemet, dets risikonivå under forordningen, personopplysningene det behandler, dets rettslige grunnlag under GDPR, åpenhetsopplysningene som anvendes på det, og det menneskelige tilsynet på plass. Dette er det grunnleggende samsvarsartefaktet og er hva tilsynsmyndighetene vil be om å se først.

Den kombinerte personvernerklæringen>

En enkelt kombinert personvern- og AI-åpenhetserklæring — portugisisk, tysk, fransk eller hvilket som helst språk som er passende for publikum — som tar for seg både GDPR- og AI Act-forpliktelsene i en sammenhengende fortelling. Å forsøke å opprettholde to separate opplysninger inviterer til motsigelser og leserforvirring.

Leverandørens AI-revisjon

For hver annonse- eller analyseleverandør som behandler AI-drevne utdata på utgiverens vegne, må kontrakten ta for seg AI Act-fordeling av forpliktelser, tilgang til teknisk dokumentasjon og varsling om hendelser. Standard databehandleravtaler fra 2023 tar ikke for seg AI Act og må oppdateres.

Sanksjoner og håndhevelsesposisjon

AI Act innfører et trinndelt sanksjonsregime med administrative bøter som kan overstige GDPRs maksimumsbeløp.

Sanksjonsnivåene

• Opptil EUR 35 millioner eller 7 prosent av global årlig omsetning for brudd på forbudte praksiser
• Opptil EUR 15 millioner eller 3 prosent for de fleste andre materielle brudd
• Opptil EUR 7,5 millioner eller 1 prosent for å levere uriktig informasjon

Håndhevelsesarkitekturen

Hver medlemsstat utpeker nasjonale kompetente myndigheter for håndhevelse av AI Act, og det europeiske AI-kontoret koordinerer tilsynet med generelle AI-modeller. Håndhevelse mot utgivere og annonsører vil primært gå gjennom de nasjonale myndighetene, ofte i nært samarbeid med de eksisterende datatilsynsmyndighetene. De første betydelige håndhevelsestiltakene under AI Act forventes gjennom 2026 etter hvert som høyrisikoforpliktelsene trer fullt i kraft.

Revisjonssjekkliste for AI-drevet annonsering i 2026

• Levende inventar over hvert AI-system i stakken med klassifisering av risikonivå
• GDPR-rettslig grunnlag dokumentert for hvert AI-system som behandler personopplysninger
• AI Act-åpenhetsopplysninger anvendt på hvert system med begrenset risiko, inkludert anbefalingspersonalisering og chatboter
• Merking av syntetisk innhold anvendt på AI-generert kreativ, bilder, lyd og video
• Kombinert personvern- og AI-åpenhetserklæring på det relevante lokale språket
• CMP-en eksponerer profilering, automatisert beslutningstaking og anbefalingspersonalisering som separat-samtykkebare formål
• Publikumssegmenter er gjennomgått mot listen over forbudt biometrisk kategorisering
• Leverandørkontrakter oppdatert for å ta for seg AI Act-fordeling av forpliktelser
• Menneskelige tilsynsmekanismer dokumentert for ethvert system som nærmer seg høyrisikogrensen
• Arbeidsflyt for den registrertes og AI Act-brukerrettigheter kan respondere på avmeldings-, forklarings- og menneskelig gjennomgangsforespørsler innen gjeldende responsvinduer

Utsiktene for 2026

AI Act erstatter ikke GDPR — den stables oppå den, og den kombinerte flaten er betydelig mer omfattende enn hvert av regimene alene. For utgivere og annonsører som kjører AI-drevet personalisering, profilering, anbefalingssystemer eller generativt innhold, er 2026 året da samsvarsarkitekturen må modnes utover en ren GDPR-posisjon. De som behandler AI Act som en fremtidig bekymring vil oppdage at fremtiden kommer raskere enn forventet, med nasjonale myndigheter som utsteder sine første håndhevelsestiltak gjennom 2026 og inn i 2027. De som bygger kombinert samsvar fra starten vil oppdage at arkitekturen lønner seg: AI Acts åpenhetsforpliktelser, godt implementert, styrker også GDPR-samtykke- og tillitshistorien, og den operasjonelle disiplinen med å opprettholde et levende AI-inventar viser seg å være nyttig langt utover regulatorisk samsvar.