Elokuun toisena päivänä 2026 astuu voimaan merkittävä muutos: EU:n tekoälyasetus alkaa vaatia korkeariskisiltä tekoälysovelluksilta dokumentaatiota, riskiarviointeja ja läpinäkyvyyttä. Jos yrityksesi käyttää tekoälyä rekrytoinnissa, luottopäätöksissä tai terveydenhuollon diagnostiikassa, nyt on viimeistään aika tarkistaa, missä mennään. Seuraamusmaksut voivat olla jopa 35 miljoonaa euroa – tai seitsemän prosenttia koko vuoden liikevaihdosta.
Mistä oikein on kyse?
EU:n tekoälyasetus (AI Act) tuli voimaan elokuussa 2024, mutta sen vaatimukset ovat astuneet voimaan vaiheistettuna. Ensimmäisenä kiellettiin kaikkein vaarallisimmat tekoälyjärjestelmät jo helmikuussa 2025. Nyt edessä on seuraava iso vaihe: korkeariskisten tekoälyjärjestelmien velvoitteet tulevat voimaan 2. elokuuta 2026.
Kyse ei ole pienestä byrokratialisäyksestä. Asetus muuttaa sen, miten yritykset voivat käyttää tekoälyä tilanteissa, joissa se vaikuttaa ihmisten elämään merkittävästi.
Mitä tarkoittaa korkeariskinen tekoäly?
Korkeariskinen tekoäly ei tarkoita tekoälyä, joka kirjoittaa sähköpostiluonnoksia tai ehdottaa Spotifyssä uusia kappaleita. Se tarkoittaa järjestelmiä, jotka tekevät tai avustavat päätöksiä, joilla on iso merkitys jollekin ihmiselle.
Konkreettisia esimerkkejä:
Rekrytointi. Jos käytät ohjelmistoa, joka pisteyttää hakemuksia, seuloo CV:itä tai analysoi videopuheluita haastatteluissa, kyse on korkeariskisestä tekoälystä. Järjestelmältä vaaditaan dokumentaatio siitä, miten se toimii, ja käyttäjällä pitää olla mahdollisuus ihmisarviointiin.
Luottopäätökset. Pankit ja luottolaitokset, jotka käyttävät algoritmeja laina- tai luottopäätösten tekemiseen, kuuluvat sääntelyn piiriin. Sama koskee vakuutushinnoittelua, kun se perustuu tekoälyarviointiin.
Terveydenhuollon diagnostiikka. Lääketieteelliset kuva-analyysijärjestelmät, hoitosuositukset tekoälyavusteisesti tai laitteet, jotka ohjaavat hoitoa – kaikki nämä ovat korkeariskisiä.
Listan voi tiivistää näin: jos tekoäly vaikuttaa siihen, saatko työtä, lainaa tai hoitoa, se kuuluu sääntelyn piiriin.
Mitä yritykseltä vaaditaan?
Elokuusta alkaen korkeariskisen tekoälyn käyttö edellyttää neljää asiaa.
Dokumentaatio. Yrityksellä pitää olla kirjallinen kuvaus siitä, mitä järjestelmä tekee, miten se on koulutettu ja millä datalla. Tämä ei tarkoita, että pitää ymmärtää algoritmien matematiikka – mutta ostamasi ohjelmiston toimittajan pitää pystyä kertomaan nämä asiat, ja sinun pitää vaatia ne.
Riskiarviointi. Ennen käyttöönottoa tai käytön jatkamista pitää arvioida, millaisia riskejä järjestelmä voi aiheuttaa. Millä todennäköisyydellä se voi syrjiä tiettyjä ryhmiä? Miten virheet havaitaan?
Läpinäkyvyys. Jos tekoäly tekee tai avustaa päätöksessä, joka koskee henkilöä – työnhakijaa, lainanhakijaa, potilasta – tällä henkilöllä on oikeus tietää se. Täysin automatisoituihin päätöksiin pitää olla oikeus saada ihmisarviointi.
Ihmisen valvonta. Järjestelmässä pitää olla mekanismi, jolla ihminen pystyy puuttumaan tilanteeseen ja tarvittaessa keskeyttämään tekoälyn toiminnan.
Mitä tapahtuu, jos ei toimi?
Seuraamusmaksut ovat eurooppalaisittain kovat: enimmillään 35 miljoonaa euroa tai seitsemän prosenttia yrityksen koko vuoden maailmanlaajuisesta liikevaihdosta. Isompi näistä kahdesta määrää tason.
Suomessa valvontaa hoitaa usea viranomainen. Liikenne- ja viestintävirasto Traficom toimii pääasiallisena markkinavalvontaviranomaisena. Sen lisäksi valvontavastuuta on jaettu useammalle sektorin viranomaiselle – finanssisektorilla Finanssivalvonnalle, terveydenhuollossa Valviralle ja niin edelleen. Hallitus on perustanut seuraamusmaksulautakunnan määräämään hallinnollisia seuraamuksia. Viranomaisten toimivaltuudet astuivat voimaan tammikuun alussa 2026.
Mitä yritysten kannattaa tehdä nyt?
Ei tarvitse panikoida, mutta kannattaa liikehtiä. Käytännön toimet ovat suoraviivaiset.
Kartoita ensin. Listaa, missä yrityksesi käyttää tekoälyä. Erityisesti HR:ssä, päätöksenteossa ja asiakaspalvelussa. Tämä ei vaadi IT-asiantuntijaa – kysymys on yksinkertainen: mitä ohjelmistoja käytetään, ja mihin?
Kysy toimittajilta. Jos ostat ohjelmiston kolmannelta osapuolelta, toimittajan pitää pystyä kertomaan, onko järjestelmä korkeariskinen ja millainen dokumentaatio sillä on. Vaadi tämä tieto. Jos toimittaja ei pysty vastaamaan, se on itsessään punainen lippu.
Tarkista sopimukset. Monessa ohjelmistosopimuksessa vastuunjako asetuksen noudattamisesta on epäselvä. Selvitä, kenellä on vastuu – järjestelmän kehittäjällä vai sinulla käyttäjänä. Usein vastuu jakautuu molemmille.
Kouluta henkilöstöä. Asetuksessa oli alun perin velvollisuus varmistaa henkilöstön riittävä tekoälylukutaito. Vaikka tätä velvoitetta ollaan keventämässä Digital Omnibus -ehdotuksessa, periaate pysyy: ihmisten pitää ymmärtää, mitä tekoäly tekee heidän puolestaan.
Tekoäly on hyvä renki
Uskomme toimituksessa, että tekoäly tekee työelämästä parempaa – nopeampaa, tasapuolisempaa ja inhimillisempää, kun se toimii oikein. Tämä asetus on osa sitä kehitystä, ei sen jarru.
Kyse ei ole byrokraattisesta hidasteesta vaan perusasiasta: kun tekoäly vaikuttaa siihen, saatko töitä tai lainaa, sinulla on oikeus tietää se. Yrityksillä on oikeus tietää, mitä ohjelmisto tekee heidän nimissään. Asetus pakottaa toimittajat läpinäkyvyyteen, ja se on hyvä asia.
Elokuun takaraja lähestyy. Neljä kuukautta on vielä aikaa. Se riittää, jos aloittaa nyt.
Lähteet
- EU:n tekoälyasetus: toteutuksen aikataulu – artificialintelligenceact.eu
- EU:n tekoälyasetuksen kansallinen valvonta alkaa – Valtioneuvosto
- EU AI Act – opas kirjanpitäjille ja yrityksille 2026 – Procountor
- EU:n tekoälyasetus ja Digital Omnibus: tärkeimmät muutokset – FAIR eDIH
- Korkean riskin tekoälyjärjestelmät, liite III – artificialintelligenceact.eu
- Tekoälyn käytön valvonta – Finanssivalvonta