EU:n tekoälyasetus (AI Act) on maailman ensimmäinen kattava tekoälylaki. Se vaikuttaa jokaiseen yritykseen, joka käyttää tai kehittää tekoälyä EU:ssa.
- • Riskipohjainen lähestymistapa: tekoälyjärjestelmät jaetaan neljään riskiluokkaan
- • Ensimmäiset velvoitteet (kielletyt järjestelmät) tulivat voimaan helmikuussa 2025
- • Korkean riskin järjestelmien vaatimukset astuvat voimaan elokuussa 2026
- • Sakot voivat olla jopa 35 miljoonaa euroa tai 7 % liikevaihdosta
- • Käytännön toimenpiteet jokaiselle AI:ta käyttävälle yritykselle
Mikä on EU AI Act?
EU AI Act (virallisesti Euroopan parlamentin ja neuvoston asetus tekoälystä) on maailman ensimmäinen kattava tekoälylaki. Se hyväksyttiin kesäkuussa 2024 ja sen eri osat tulevat voimaan vaiheittain vuosina 2025–2027. Asetuksen tavoite on selkeä: varmistaa että EU:ssa käytettävät tekoälyjärjestelmät ovat turvallisia, läpinäkyviä ja ihmisoikeuksia kunnioittavia.
Taustani finanssisektorilta – erityisesti rahanpesun estämisen (AML) ja asiakkaan tuntemisen (KYC) parista – on opettanut miten sääntely käytännössä vaikuttaa yritysten toimintaan. Olen nähnyt läheltä miten GDPR muutti datakäytäntöjä, ja AI Act tulee tekemään saman tekoälylle. Suurin ero on, että AI Actin vaikutus on laajempi: se koskettaa kaikkia toimialoja, ei vain datankäsittelyä.
Tämä opas on kirjoitettu käytännön näkökulmasta. En käy läpi jokaista lainkohtaa, vaan keskityn siihen mitä sinun yrityksesi pitää tietää ja tehdä. Jos haluat sukeltaa syvälle lain yksityiskohtiin, linkitän viralliset lähteet oppaan lopussa.
Miksi sääntely tarvitaan?
Tekoälyn käyttö laajenee nopeasti. AI-työkaluja käytetään rekrytointiin, luottopäätösten tekoon, terveydenhuoltoon ja julkiseen hallintoon. Ilman sääntelyä näihin käyttötarkoituksiin liittyy merkittäviä riskejä: syrjintä, läpinäkymättömät päätökset ja vastuukysymykset.
AI Act ei kiellä tekoälyn käyttöä – päinvastoin. Se luo pelisäännöt, joiden avulla yritykset voivat hyödyntää tekoälyä vastuullisesti. Samalla se luo luottamusta: kun asiakkaat ja kumppanit tietävät että noudatat sääntelyä, se on kilpailuetu.
Maksimisakko rikkomuksista
Liikevaihdosta vaihtoehtoisena sakkona
Riskiluokkaa tekoälyjärjestelmille
Täydessä voimassa kaikkien osalta
Tarvitsetko apua AI Act -vaatimusten kartoittamisessa?
Autamme tunnistamaan mitä sääntely tarkoittaa juuri sinun yrityksellesi.
Riskitasot – sääntelyn ydin
AI Actin keskeisin konsepti on riskipohjainen lähestymistapa. Tekoälyjärjestelmät jaetaan neljään riskiluokkaan, ja vaatimukset kiristyvät riskin kasvaessa. Tämä on järkevän sääntelyn perusta: matalan riskin chatbot ei tarvitse samaa dokumentaatiota kuin luottopäätösten tekoäly.
AI Actin riskiluokat
| Riskiluokka | Esimerkki | Vaatimukset | Voimaan |
|---|---|---|---|
| Kielletty | Sosiaalinen pisteytys, manipulaatio | Täysin kielletty | 2/2025 |
| Korkea riski | Rekrytointi-AI, luottopisteet, diagnostiikka | Laaja dokumentaatio, auditointi, ihmisvalvonta | 8/2026 |
| Rajallinen riski | Chatbotit, deepfake-generaattorit | Läpinäkyvyysvelvoite (käyttäjän informointi) | 8/2026 |
| Matala riski | Spamfiltterit, pelit, suosittelualgoritmit | Ei erityisvaatimuksia | Ei määräaikaa |
Kielletyt järjestelmät
Ensimmäiset kiellot tulivat voimaan helmikuussa 2025. Täysin kiellettyä on:
- Sosiaalinen pisteytys
Ihmisten luokittelu käyttäytymisen perusteella viranomais- tai yrityskäytössä
- Manipulointi
Tekoäly, joka käyttää hyväksi haavoittuvuuksia (lapset, vanhukset, vammaiset)
- Biometrinen reaaliaikainen tunnistaminen
Kasvojentunnistus julkisilla paikoilla (lukuun ottamatta tiettyjä poikkeuksia)
- Tunnetilojen tunnistaminen
Työpaikoilla ja oppilaitoksissa (pois lukien turvallisuussyyt)
Korkean riskin AI-järjestelmät
Korkean riskin luokka on se, joka vaikuttaa useimpiin yrityksiin. Järjestelmä kuuluu korkeaan riskiin jos se tekee merkittäviä päätöksiä ihmisten elämästä. Esimerkkejä:
Rekrytointi
CV-seulonta, haastatteluanalyysit, suoritusarvioinnit
Luottopäätökset
Luottokelpoisuusarvioinnit, vakuutushinnoittelu
Terveydenhuolto
Diagnostiikka-avustajat, hoitopäätöstuki
Koulutus
Automaattinen arviointi, opiskelijavalinnat
Lainvalvonta
Riskiarvioinnit, todistusaineiston analysointi
Infrastruktuuri
Kriittisen infran hallinta (energia, liikenne, vesi)
Korkean riskin järjestelmiltä vaaditaan muun muassa: riskienhallintajärjestelmä, tekninen dokumentaatio, datan laadunhallinta, läpinäkyvyys käyttäjille, ihmisen tekemä valvonta ja jatkuva seuranta. Nämä vaatimukset astuvat voimaan elokuussa 2026.
Onko sinun järjestelmäsi korkean riskin?
Rajallisen riskin järjestelmät
Rajallisen riskin luokkaan kuuluvat järjestelmät, joilla on läpinäkyvyysvelvoite. Käytännössä tämä tarkoittaa:
Chatbotit: Käyttäjälle pitää kertoa että hän keskustelee tekoälyn kanssa, ei ihmisen. Tämä koskee kaikkia AI-chatbotteja asiakaspalvelussa. Deepfaket: AI-generoidut kuvat, videot ja ääni pitää merkitä selkeästi. Tunnepohjainen sisältö: Jos AI tunnistaa tunteita, siitä pitää informoida.
Suurin osa yritysten päivittäisistä AI-työkaluista – ChatGPT, Claude, Copilot – kuuluu tähän luokkaan kun niitä käytetään yleisiin työtehtäviin. Läpinäkyvyysvelvoite on helppo täyttää: kerro käyttäjille että sisältö on AI-avusteista.
Matalan riskin järjestelmät
Suurin osa tekoälyjärjestelmistä kuuluu matalan riskin luokkaan: spamfiltterit, suosittelualgoritmit, pelit, hakukoneiden rankingit. Näihin ei kohdistu erityisvaatimuksia AI Actin nojalla, mutta yleinen EU-lainsäädäntö (GDPR, kuluttajansuoja) pätee edelleen.
Aikataulu ja velvoitteet
AI Act tulee voimaan vaiheittain. Tämä on tärkeää ymmärtää, koska eri vaatimukset koskevat eri yrityksiä eri aikoina.
EU AI Act – voimaantulo vaiheittain
| Ajankohta | Mitä tapahtuu | Ketä koskee |
|---|---|---|
| Helmikuu 2025 | Kielletyt järjestelmät poistetaan käytöstä | Kaikki yritykset EU:ssa |
| Elokuu 2025 | AI-lukutaitovelvoite, yleiskäyttöisten mallien säännöt | Kaikki AI:ta käyttävät org. |
| Elokuu 2026 | Korkean riskin järjestelmien vaatimukset | Korkean riskin AI:n tarjoajat ja käyttäjät |
| Elokuu 2027 | Kaikki säännöt voimassa | Kaikki AI-järjestelmät EU:ssa |
Elokuun 2025 AI-lukutaitovelvoite
AI Act -valmistautuminen kannattaa aloittaa nyt
Autamme kartoittamaan vaatimukset ja luomaan toimintasuunnitelman.
Mitä yritysten pitää tehdä?
Käytäntö ratkaisee. Olen nähnyt että suurin ongelma ei ole tiedon puute vaan toiminnan puute. Monet yritykset odottavat "että katsotaan sitten kun tulee pakko" – mutta AI Actin kanssa myöhästyminen voi tarkoittaa merkittäviä sakkoja. Tässä konkreettinen kolmivaiheinen suunnitelma.
Vaihe 1: Kartoita AI-järjestelmäsi
Ensimmäinen askel on yksinkertainen mutta usein unohtuu: listaa kaikki tekoälyjärjestelmät, joita organisaatiosi käyttää. Tämä sisältää paitsi itse rakennetut järjestelmät, myös kolmannen osapuolen palvelut.
- Sisäiset järjestelmät
Itse rakennetut ML-mallit, automaatiot, AI-agentit
- SaaS-palvelut
ChatGPT, Claude, Copilot, Salesforce Einstein, HubSpot AI...
- Upotettu AI
Ohjelmistoissa piilossa oleva AI (CRM-suosittelut, hakutulosten rankkaus)
- Automaatiot
n8n, Zapier tai muut alustat, jotka käyttävät AI-malleja
Vaihe 2: Luokittele riskit
Kun järjestelmät on kartoitettu, luokittele ne AI Actin riskiluokkiin. Suurin osa tavallisten yritysten AI-työkaluista kuuluu matalan tai rajallisen riskin luokkaan. Mutta jos käytät tekoälyä rekrytointiin, luottopäätösten tekoon tai asiakkaiden pisteyttämiseen, olet todennäköisesti korkean riskin alueella.
Tämä vaihe vaatii usein juridista asiantuntemusta. Suosittelemme tekemään luokittelun yhdessä lakimiehen kanssa – erityisesti jos epäilet että järjestelmäsi kuuluu korkeaan riskiin. Tiimimme auttaa teknisessä arvioinnissa, mutta juridinen vastuu on aina organisaatiolla itsellään.
Vaihe 3: Toteuta vaatimukset
Matalan ja rajallisen riskin järjestelmille vaatimukset ovat kevyitä: läpinäkyvyysilmoitukset, käyttäjien informointi ja perustason dokumentaatio. Korkean riskin järjestelmille vaatimukset ovat merkittäviä:
Riskienhallintajärjestelmä
Jatkuva prosessi riskien tunnistamiseen, arviointiin ja pienentämiseen
Tekninen dokumentaatio
Järjestelmän toiminnan, rajoitusten ja suorituskyvyn kuvaus
Datan laadunhallinta
Koulutusdatan laatu, edustavuus ja harhojen arviointi
Ihmisvalvonta
Ihminen pitää pystyä valvomaan tai kumoamaan AI:n päätökset
Tarkkuus ja robustisuus
Järjestelmän suorituskyvyn testaus ja validointi
Kyberturvallisuus
Suojaus manipulaatiota, datamyrkytystä ja hyökkäyksiä vastaan
Vaikutus AI-työkalujen käyttöön
Käytännön kysymys, jonka kuulen usein: "Voinko edelleen käyttää ChatGPT:tä ja Claudea työssäni?" Lyhyt vastaus: kyllä. Pidempi vastaus vaatii kontekstia.
ChatGPT, Claude ja Gemini
Yleiset AI-chatbotit kuten ChatGPT, Claude ja Gemini kuuluvat rajallisen riskin luokkaan kun niitä käytetään yleisiin työtehtäviin: kirjoittamiseen, ideointiin, koodin kirjoittamiseen, tutkimukseen. Vaatimus on läpinäkyvyys – kerro että sisältö on AI-avusteista.
Tilanne muuttuu jos käytät näitä työkaluja korkean riskin päätöksiin. Jos esimerkiksi käytät ChatGPT:tä työnhakemusten seulontaan tai luottokelpoisuuden arviointiin, järjestelmä siirtyy korkean riskin luokkaan ja vaatimukset kiristyvät merkittävästi. Työkalu ei määritä riskiluokkaa – käyttötarkoitus määrittää.
Nyrkkisääntö riskiluokalle
Copilot ja yritystyökalut
Microsoft Copilot 365, Google Gemini Workspace ja vastaavat yritystyökalut ovat suunniteltu compliance-vaatimusten mukaisesti. Microsoft ja Google vastaavat oman osuutensa sääntelyvaatimuksista mallintarjoajina (provider). Yrityksen vastuulle jää käyttöönoton asianmukaisuus: oikeat käyttöoikeudet, tietoturva ja käyttäjien koulutus.
Avoimet mallit kuten Llama 4 ja Mistral tuovat lisäulottuvuuden. Jos ajat mallia omilla palvelimillasi, olet käytännössä sekä tarjoaja että käyttäjä – ja molemmat velvoitteet koskevat sinua. Eurooppalainen Mistral on tässä mielenkiintoinen vaihtoehto, koska se on lähtökohtaisesti suunniteltu EU-sääntelyn huomioiden.
Usein kysytyt kysymykset
Koskeeko AI Act minun yritystäni?
Todennäköisesti kyllä. AI Act koskee kaikkia yrityksiä, jotka käyttävät tai tarjoavat tekoälyjärjestelmiä EU:ssa – riippumatta siitä onko yritys EU-maassa vai ei. Jo pelkkä ChatGPT:n tai Copilotin käyttö työtehtävissä tekee yrityksestäsi "deployer"-osapuolen.
Millaisia sakkoja AI Actista voi tulla?
Kiellettyjen järjestelmien käytöstä jopa 35 miljoonaa euroa tai 7 % maailmanlaajuisesta liikevaihdosta. Korkean riskin vaatimusten rikkomisesta 15 miljoonaa euroa tai 3 %. Väärän tiedon antamisesta viranomaisille 7.5 miljoonaa euroa tai 1.5 %. PK-yrityksille sakot ovat pienempiä.
Mitä on AI-lukutaitovelvoite?
Elokuusta 2025 alkaen kaikkien AI:ta käyttävien organisaatioiden on varmistettava henkilöstönsä riittävä AI-lukutaito. Käytännössä tämä tarkoittaa koulutusta siitä mitä tekoäly on, miten sitä käytetään vastuullisesti, mitkä ovat riskit ja miten AI Act vaikuttaa omaan työhön.
Onko ChatGPT:n käyttö EU:ssa laillista?
Kyllä. ChatGPT ja muut yleiset AI-chatbotit ovat laillisia ja kuuluvat yleensä rajallisen riskin luokkaan. Sinun pitää vain kertoa käyttäjille/asiakkaille että sisältö on AI-avusteista (läpinäkyvyysvelvoite). Käyttötarkoitus määrittää riskiluokan – ei työkalu itsessään.
Miten AI Act eroaa GDPR:stä?
GDPR sääntelee henkilötietojen käsittelyä. AI Act sääntelee tekoälyjärjestelmien kehittämistä ja käyttöä. Ne täydentävät toisiaan: jos AI-järjestelmäsi käsittelee henkilötietoja (lähes aina), molemmat säännöt pätevät samanaikaisesti.
Mitä tarkoittaa korkean riskin AI-järjestelmä?
Korkean riskin järjestelmä tekee tai avustaa merkittäviä päätöksiä ihmisten elämästä: rekrytointi, luottopisteet, terveydenhuolto, koulutus, lainvalvonta, kriittinen infrastruktuuri. Näihin kohdistuu tiukat vaatimukset: dokumentaatio, auditointi, riskienhallinta ja ihmisvalvonta.
Tärkeimmät opit
- AI Act on maailman ensimmäinen kattava tekoälylaki – ja se koskee todennäköisesti sinun yritystäsi
- Riskipohjainen lähestymistapa: 4 tasoa kielletystä matalaan riskiin
- Kielletyt järjestelmät poistettu käytöstä helmikuussa 2025
- AI-lukutaitovelvoite kaikille organisaatioille elokuusta 2025
- Korkean riskin vaatimukset voimaan elokuussa 2026 – valmistautuminen nyt
- Käyttötarkoitus määrittää riskiluokan, ei työkalu
- Suurin osa tavallisista AI-työkaluista (ChatGPT, Claude, Copilot) on rajallista riskiä
- Sakot ovat merkittäviä: jopa 35M euroa tai 7 % liikevaihdosta
