Skip to content

Tekoälyn hallinta heti alusta: pk-yrityksen hinta jälkikäteen rakennetusta vaatimustenmukaisuudesta

Tekoälysääntely lähentyy — EU:n tekoälysäädös (elokuu 2026), Yhdysvaltain osavaltiolait, Aasia. Pk-yritykset, jotka rakentavat hallinnan heti alusta, välttävät GDPR-tyylisen jälkiasennuksen kustannusansan.

Tekoälyn hallinta heti alusta: pk-yrityksen hinta jälkikäteen rakennetusta vaatimustenmukaisuudesta
Methodology by Daniela PiskackovaCo-founder & AI Audit Lead

Kesäkuussa 2020 eräs 180 hengen brittiläinen tukkuliike, jota kutsumme nimellä Northbridge Trading, maksoi 142 000 puntaa GDPR:n jälkiasentamisesta: käsittelytoimien seloste, kolme tietosuojaa koskevaa vaikutustenarviointia, tietoturvaloukkausten toimintaohje, kuusi toimittajasopimusta ja sisäänrakennetun tietosuojan periaatteella toteutettu CRM-uudistus, jonka samat konsultit olivat hinnoitelleet 28 000 punnaksi, jos se olisi suunniteltu sisään kaksi vuotta aiemmin. Operatiivinen johtaja, joka allekirjoitti nuo laskut, tuijottaa nyt samaa jyrkännettä tekoälyn kanssa.

Jälkiasennuksen lasku, jota kukaan ei suunnitellut

Northbridge Trading on yhdistelmä, koottu neljästä todellisesta toimeksiannosta vuosilta 2019–2021. Vaihdoimme nimet; luvut ovat todellisia. Kuvio merkitsee, koska se on toistumassa.

Toukokuussa 2018 Northbridge toimitti GDPR:n 200 punnan käytäntömallilla ja tunteella, että työ oli tehty. Toukokuussa 2020 saapui ensimmäinen rekisteröidyn pyyntö saada pääsy tietoihinsa; sitä seurasi täpärä tietoturvaloukkaus palkanlaskennan integraatiossa; ICO:n valitus saapui kaksi viikkoa myöhemmin. Vuoden 2020 kolmanteen neljännekseen mennessä yritys oli palkannut ulkopuolisen lakimiehen ja tietosuojainsinöörin rakentamaan käsittelytoimien selosteen, kolme tietosuojaa koskevaa vaikutustenarviointia, häiriöiden hallinnan toimintaohjeen, kuusi toimittajien henkilötietojen käsittelysopimusta sekä CRM-uudistuksen, johon sisäänrakennetun tietosuojan kontrollit jälkiasennettiin jo käytössä oleviin tietovirtoihin. Lasku nousi noin viisinkertaiseksi siihen suunnittele-sisään-perustasoon nähden, jonka sama konsulttitalo oli hinnoitellut vuoden 2017 arkkitehtuuria vasten, ja se maksettiin sääntelypaineen alla.

Kuusi vuotta myöhemmin sama operatiivinen johtaja pyörittää kolmea tekoälytyökalua, jotka otettiin käyttöön vuoden 2025 aikana: ansioluetteloja seulova avustaja, myyntipuheluiden tiivistäjä ja asiakastuen chatbot. Ei tekoälyrekisteriä, ei käyttötapausten riskiluokittelua, ei 26 artiklan dokumentaatiota, ei 4 artiklan lukutaito-ohjelmaa. EU:n tekoälysäädös tuli voimaan 1. elokuuta 2024 [1]; komission aikataulu sijoittaa täyden soveltamisen, mukaan lukien suurin osa suuririskisten järjestelmien velvoitteista, 2. elokuuta 2026 [2]. Ansioluetteloja seulova työkalu on liitteen III mukainen suuririskinen järjestelmä. ICO:n tekoälyohjeistus on sitonut brittiläisiä pk-yrityksiä Britannian GDPR:n nojalla vuodesta 2023 [7]. "Kieltäydyn", hän kertoo meille, "kirjoittamasta sitä shekkiä toista kertaa."

Lähentyminen: miksi 'odotetaan ja katsotaan' lakkasi olemasta järkevää vuonna 2024

'Globaali lähentyminen', joka ajaa suunnittele-sisään-argumenttia, ei ole markkinointislogan. Vuonna 2024 sääntelyn määrästä tuli mitattava ja yhteisestä teknisestä selkärangasta näkyvä.

Luvut, joita sääntelijät eivät halua sinun sivuuttavan

Stanford HAI:n vuoden 2025 AI Index kirjaa 59 yhdysvaltalaista liittovaltion tekoälysäädöstä vuonna 2024, yli kaksinkertaisesti vuoteen 2023 verrattuna, kaksinkertaisessa määrässä virastoja [3]. Yhdysvaltain osavaltiot hyväksyivät 131 tekoälylakia yhden vuoden aikana, kun niitä oli 49 kumulatiivisesti vuoden 2023 loppuun mennessä [3]. Lainsäädännölliset tekoälymaininnat nousivat 21,3 % 75 maassa vuonna 2024 [3]. Operatiiviselle johtajalle, joka päättää toimiako nyt vai odottaa, tuo määrä ei ole taustakohinaa. Se on signaali.

Asetus (EU) 2024/1689 tuli voimaan 1. elokuuta 2024 [1]. Komission vaiheittainen aikataulu on selkein saatavilla oleva julkaistu etenemissuunnitelma: kielletyt käytännöt voimassa 2. helmikuuta 2025 lähtien; yleiskäyttöisen tekoälymallin velvoitteet voimassa 2. elokuuta 2025 lähtien; suuririskisiä järjestelmiä koskeva täysi soveltaminen 2. elokuuta 2026 lähtien; tuotteisiin sulautettujen suuririskisten järjestelmien säännöt pidennettyinä 2. elokuuta 2027 saakka [2]. Se ei ole yksittäinen jyrkänne. Se on portaikko. Pk-yritykset, jotka odottavat ylimmälle askelmalle, ovat jo ohittaneet kaksi.

Yhteinen ankkuri: OECD, NIST, ISO/IEC 42001

Määrän alla on yhteinen selkäranka, joka tekee varhain sisään suunnitellusta hallinnasta kestävää eri lainkäyttöalueilla. OECD:n tekoälyperiaatteet, päivitetty toukokuussa 2024, on omaksunut 47 tai useampi maa [4]. Ne muodostavat nimenomaisen perustan EU:n, Britannian, Yhdysvaltain ja G7:n yhdenmukaistamiselle. NIST:n tekoälyn riskienhallinnan viitekehys 1.0 järjestää velvoitteet neljän toiminnon ympärille: Govern, Map, Measure ja Manage [5]. EU:n tekoälysäädöksen standardointiohjelma viittaa tuohon ytimeen; Britannian AI Playbook (helmikuu 2025) kodifioi 10 periaatetta julkishallinnon tekoälylle ja viestii vastaavista standardeista toimitusketjulleen [6].

ISO/IEC 42001:stä on tullut hankintatason sertifiointi, jota keskimarkkinaostajat nyt pyytävät. Hallinta, joka on suunniteltu OECD:n periaatteiden, NIST:n toimintojen ja ICO:n vaatimusten leikkauspistettä vasten, kestää minkä tahansa yksittäisen sääntelyjärjestelmän kiristymisen. Yhteinen selkäranka vaimentaa vaihtelun.

EU:n tekoälysäädöksen aikajana: voimaantulo elokuu 2024; kielletyt käytännöt ja tekoälyn lukutaitovelvoitteet helmikuu 2025; yleiskäyttöisen tekoälyn säännöt elokuu 2025; suuririskisten järjestelmien täydet velvoitteet elokuu 2026; tuotteisiin sulautetut suuririskiset tuotteet elokuu 2027.
EU:n tekoälysäädöksen aikajana voimaantulosta suuririskisten järjestelmien täysiin velvoitteisiin elokuussa 2026.

Miksi 'toimittaja hoitaa vaatimustenmukaisuuden' romahtaa 26 artiklan alla?

Vaikein lause minkä tahansa toimittajan markkinointisivulle kirjoitettavaksi on: 'Emme voi ulkoistaa käyttöönottajan työtä sinulle.' EU:n tekoälysäädöksessä tarjoajan ja käyttöönottajan välinen raja on nimenomainen, eikä se siirry siksi, että ostit yritystason version.

Jaetun vastuun malli selkokielellä

16 artikla määrittää, mitä tarjoajan on tehtävä: vaatimustenmukaisuuden arviointi, tekninen dokumentaatio, markkinoille saattamisen jälkeinen seuranta [1]. 26 artikla määrittää, mitä käyttöönottajan on tehtävä: käyttää järjestelmää ohjeiden mukaisesti, varmistaa ihmisen suorittama valvonta, pitää syöttötiedot merkityksellisinä, kirjata suuririskinen käyttö vähintään kuusi kuukautta ja tiedottaa työntekijöille ja asiakkaille [1]. 4 artikla lisää tekoälyn lukutaitovelvoitteen jokaiselle tekoälyä käyttävälle työntekijälle, suhteutettuna hänen rooliinsa, riippumatta siitä mikä malli on taustalla [1]. 50 artikla edellyttää, että käyttäjät tietävät olevansa vuorovaikutuksessa tekoälyn kanssa kaikilla riskitasoilla [1].

Nuo neljä artiklaa kuvaavat velvoitteita, jotka kuuluvat pk-yritykselle. Toimittajan allekirjoittama DPA ei siirrä niitä pois.

Mitä ChatGPT Enterprise ja Copilot eivät ulkoista

Sillä hetkellä, kun brittiläinen pk-yritys liittää ansioluettelon ChatGPT:hen seuloakseen hakijoita, siitä tulee liitteen III mukainen suuririskinen käyttöönottaja [1]. Tuo käyttötapauksen luokittelu on käyttöönottajan päätös. OpenAI:n Enterprise Privacy -sivu kattaa mallipuolen takuut: ei koulutusta yritysdatalla, salaus, kirjausketjut. Se ei luokittele sinun käyttötapaustasi, kirjoita sinun valvontaprotokollaasi, kouluta henkilöstöäsi tai ylläpidä sinun 26 artiklan 6 kohdan käyttöönottajakirjauksiasi. 40 hengen pk-yrityksellä, joka pyörittää ansioluetteloja seulovaa tekoälyä, on samat 26 artiklan velvoitteet kuin FTSE 100 -työnantajalla. Yrityksen koko ei sisälly luokittelusääntöön.

Britannian GDPR:n nojalla rekisterinpitäjäsuhde noudattaa samaa logiikkaa. Kehotteessa olevat henkilötiedot tekevät pk-yrityksestä rekisterinpitäjän. Rekisteröidyn oikeuksia ei voi delegoida toimittajalle.

ICO on ollut selkeä vuodesta 2023

ICO:n tekoälyohjeistus kattaa sen, miten Britannian GDPR:n periaatteita sovelletaan henkilötietoja käsittelevään tekoälyyn, mukaan lukien vaikutustenarvioinnin vaatimukset, vinouman lieventämisen ja automaattisen päätöksenteon [7]. Ohjeistus on uudelleenarvioinnissa Data (Use and Access) Act 2025 -lain seurauksena, joka tuli voimaan 19. kesäkuuta 2025 [7]. ICO:n tekoälyn auditointityökalupakki tarjoaa konkreettisia tarkistuslistoja hallinnan, osoitusvelvollisuuden, läpinäkyvyyden ja yksilön oikeuksien osalta [8]. Nuo tarkistuslistat kuvaavat, mitä käyttöönottaja tarvitsee ennen ICO:n vierailua, ei sen jälkeen. Northbridgen kolmella työkalulla ei ole niistä mitään. Toimittajan DPA kattaa toimittajan. Aukko kuuluu käyttöönottajalle.

GDPR-jälkiasennuksen kustannusnäyttö: mitä tiedämme empiirisesti

Empiirinen perustelu hallinnan varhaiselle sisään suunnittelulle ei rakennu intuitiolle. Se rakentuu sille, mitä tapahtui EU-yrityksille, jotka kohtelivat GDPR:ää jälkikäteen tehtävänä asiana vuonna 2018.

MIT Sloan / Bessen ym. — ainoa laajan otoksen jälkiasennustutkimus, joka meillä on

MIT Sloanin / Bessenin, Janßenin, Peukertin ja Seamansin tutkimus vertaili EU- ja EU:n ulkopuolisia yrityksiä sen jälkeen, kun valvonta alkoi toukokuussa 2018. Havainnot ovat suoria: EU-yritykset leikkasivat tallennettua dataa 26 % ja laskennan käyttöä 15 % suhteessa EU:n ulkopuolisiin verrokkeihin [9]. Vähennys keskittyi ryhmään, joka ei ollut suunnitellut tietosuojaa alusta alkaen, eli jälkiasennusryhmään. Nämä eivät olleet sakkoja tai oikeudenkäyntikuluja. Ne olivat operatiivisia häiriöitä: lopetettuja tuotteita, tyhjennettyjä markkinointidatajoukkoja, alusta uudelleen rakennettuja integraatioita. Yritykset, jotka olivat suunnitelleet tietosuojan sisään vuodesta 2016, sopeutuivat samaan sääntelyyn ilman noita leikkauksia.

Northbridge Trading kulki jälkiasennuksen polkua. Se toimitti GDPR-vaatimustenmukaisuuden vuonna 2018 200 punnan käytäntömallilla ja löysi todellisen kustannuksen kaksi vuotta myöhemmin. MIT Sloanin data kuvaa täsmälleen sitä, mistä se maksoi: arkkitehtuurin uudelleenrakentamisen, joka tulee, kun vedät vaatimustenmukaisuuden velvoitteet järjestelmään, jota ei ollut suunniteltu kantamaan niitä.

2,4-kertainen jälkiasennuskerroin

Toimialan jälkiasennuksen kustannusvertailut päätyvät samaan johtopäätökseen kustannuspuolelta: myöhään liikkeelle lähteneet pk-yritykset maksoivat noin 2,4 kertaa sen, mitä suunnittele-sisään-kilpailijat maksoivat, kattaen käsittelytoimien selosteen, vaikutustenarvioinnit, käsittelyperusterekisterit, tietoturvaloukkausprosessit, DPA-uudelleenneuvottelut ja CRM-uudistuksen.

Jokainen näistä GDPR-kategorioista kytkeytyy suoraan tekoälysäädöksen vastineeseen. Tekoälyrekisteri korvaa käsittelytoimien selosteen. 27 artiklan mukainen perusoikeuksiin kohdistuvien vaikutusten arviointi korvaa GDPR:n tietosuojaa koskevan vaikutustenarvioinnin. 26 artiklan 6 kohdan käyttöönottajan kirjaaminen korvaa tietoturvaloukkauslokin. Kategoriat ovat samat; kietoutuminen on syvempää. Tekoälymallit, kehotteet ja työnkulut ovat arkkitehtonisesti kytköksissä tavoilla, joilla tietovirrat eivät olleet. Kirjaamiskoukkujen tai valvontakontrollien vetäminen ulos käyttöönotetusta tekoälyputkesta on tekninen uudelleenkirjoitus, ei käytäntödokumentti. Tästä syystä Northbridgen noin viisinkertainen kerroin asettuu hyvin toimialan datan ennustamalle vaihteluvälille valvontapaineen alla.

Pk-yrityksen kustannuslaskenta: suunnittele sisään vs. jälkiasennus, rivi riviltä

Jälkiasennuskerroin ja MIT Sloanin operatiivinen data ovat hyödyllisiä ankkureita, mutta operatiivinen johtaja tarvitsee luvut, jotka hän voi laittaa hallituksen esitykseen. Tässä on laskenta 180 hengen pk-yritykselle, joka pyörittää kolmea tekoälytyökalua.

Suunnittele-sisään-perustaso 180 hengen pk-yritykselle, jolla on 3 tekoälytyökalua

Tekoälyn hallinnan suunnittelu sisään heti alusta, jaettuna kahdelletoista viikolle, maksaa toimeksiantokokemuksemme perusteella:

  • Tekoälyrekisteri ja käyttötapausten riskiluokittelu: 4–6 päivää sisäistä työtä plus 2 000–4 000 punnan konsulttiarvio
  • 4 artiklan lukutaito-ohjelma (90 minuutin perustaso koko henkilöstölle; koko päivä tekoälyn omistajille): 3 000–5 000 puntaa
  • Valvontaprotokolla ja 26 artiklan 6 kohdan kirjaaminen rakennettuna arkkitehtuuriin: 4 000–6 000 puntaa tekniikkaa plus 2 päivän oikeudellinen arvio
  • Toimittajien due diligence -paketti, joka kattaa DPA:t, mallikortit ja yleiskäyttöisen tekoälymallin julkistusketjun: 2 000–3 000 puntaa

Suuntaa antava kokonaiskustannus suunnittele-sisään: 18 000–32 000 puntaa kahdentoista viikon aikana.

Jälkiasennusbudjetti valvontapaineen alla (vuoden 2026 kolmas neljännes)

Saman kokonaisuuden jälkiasennus vuoden 2026 kolmannen neljänneksen paineessa maksaa huomattavasti enemmän:

  • Ulkopuolinen lakimies kartoittamassa Annex III -altistumista poikkeaman jälkeen: 15 000–25 000 puntaa
  • FRIA (27 artikla) ja vaikutustenarvioinnin päivitys kolmeen jo käyttöönotettuun työkaluun: 20 000–35 000 puntaa
  • Kirjaamisen jälkiasennus ja ihmisen suorittaman valvonnan työnkulun uudelleenrakentaminen: 40 000–70 000 puntaa
  • Työntekijöiden kuuleminen, läpinäkyvyysilmoitukset ja asiakasjulkistukset: 8 000–12 000 puntaa

Suuntaa antava kokonaiskustannus jälkiasennus: 85 000–145 000 puntaa kuudessa–kahdessatoista viikossa tiivistettyä korjaustyötä. Suhde kulkee noin 2,7-kertaisesta 5,1-kertaiseen toistaen toimialan vertailuluvun alarajan ja saavuttaen Northbridgen ylärajan.

Miksi kerroin on pahempi kuin GDPR:ssä

Kolme rakenteellista syytä nostaa tekoälyn jälkiasennuskertoimen GDPR-luvun yläpuolelle. Ensinnäkin tekoälytyönkulut ovat kietoutuneita: kehotteet, malliversiot ja jatkokäsittelyn automaattiset toimet on kytketty toisiinsa suunnittelusta lähtien, joten refaktorointipinta on suurempi kuin tietovirtojen uudelleenkytkentä. Toiseksi hankintauudistukset kulkevat sääntelijän määräajan rinnalla. Pk-yritys, joka häviää tarjouskilpailuja korjaustyön kuluessa, maksaa molemmat kustannukset samanaikaisesti. Kolmanneksi sanktiokatto on korkeampi. 99 artikla asettaa sakot enintään 7 prosenttiin maailmanlaajuisesta vuosittaisesta liikevaihdosta tai 35 miljoonaan euroon kiellettyjen käytäntöjen osalta [1]. Tekoälyvastuudirektiivi lisää siviilioikeudellisen vaateen altistumisen, jota GDPR ei synnyttänyt.

Brittiläiselle pk-yritykselle, jonka vuosittainen liikevaihto on 25 miljoonaa puntaa, varovainen peruslaskelma (ennen pk-yritysten alennuksia) yltää 750 000 euroon [1]. Suunnittele-sisään-kustannus ei ole vaatimustenmukaisuuden yleiskulu. Se on suojaus sakkoa vastaan, joka on moninkertainen siihen nähden.

Hallinnan suunnittelu sisään heti alusta maksaa havainnollistavasti 18 000–32 000 puntaa 12 viikon aikana; sen jälkiasentaminen myöhemmin maksaa 85 000–145 000 puntaa, eli kerroin on noin 2,7–5,1.
Hallinnan suunnittelu sisään vs. sen jälkiasentaminen myöhemmin, havainnollistava 2,7–5,1-kertainen kustannuskerroin.

Mitkä seitsemän tuotosta muodostavat heti alusta rakennetun tekoälyn hallinnan?

Heti alusta rakennettu tekoälyn hallinta 50–500 työntekijän pk-yritykselle ei ole abstraktia. Se on seitsemän tuotosta, jotka saat pystyyn kahdessa viikossa.

1–3: Inventointi ja luokittelu

Tuotos 1 — tekoälyrekisteri. Yhden sivun skeema: järjestelmän nimi, toimittaja, malli, käyttötapaus, dataluokat, riskitaso, omistaja, valvontaprotokolla ja tarkasteluajankohta. Sen rakentaminen ei vaadi konsulttia; sen ylläpito vaatii kurinalaisuutta.

Tuotos 2 — käyttötapausten riskiluokittelun päätöspuu. Kytketty Annex III -kategorioihin: työllistämisseulonta, luottopisteytys, koulutuksen saatavuus, biometrinen tunnistaminen ja kriittinen infrastruktuuri [1]. Jos työkalu koskettaa jotakin näistä työnkuluista, se laukaisee suuririskiset velvoitteet.

Tuotos 3 — toimittajien due diligence -paketti. Henkilötietojen käsittelysopimus, mallikortti, yleiskäyttöisen tekoälymallin julkistus, vaatimustenmukaisuuden arvioinnin yhteenveto ja alihankkijoiden lista. Taustalla olevan tarjoajan GPAI Code of Practice -allekirjoittajastatus merkitsee tässä [13].

4–5: Operoi ja suojaa

Tuotos 4 — valvontaprotokolla. 26 artiklan 5 kohta edellyttää nimettyä ihmistä, joka voi tarkastella ja kumota minkä tahansa automaattisen päätöksen [1]. Protokolla määrittää, kuka tämä henkilö on, kumoamistyönkulun, eskalointikriteerit ja tarkastelutahdin.

Tuotos 5 — 4 artiklan tekoälyn lukutaito-ohjelma. 90 minuutin perustaso koko henkilöstölle, puoli päivää tehokäyttäjille ja koko päivä tekoälyn omistajille, päivitettynä vuosittain [1]. 4 artikla koskee kaikkia käyttöönottajia toimittajasta riippumatta, ja suhteellisuus skaalautuu roolin, ei henkilöstömäärän mukaan.

6–7: Dokumentoi ja reagoi

Tuotos 6 — kirjaamis- ja poikkeamaprosessi. 26 artiklan 6 kohdan käyttöönottajakirjaukset, mallin ajautumisen seuranta sekä tietoturvan elinkaarikontrollit NCSC:n Guidelines for Secure AI System Development -ohjeesta, joka on yhteinen CISA:n ja 21 kansainvälisen kybervirastojen kanssa [10]. Rakenna loki arkkitehtuuriin; käytäntödokumentit ilman teknisiä koukkuja epäonnistuvat auditoinnissa.

Tuotos 7 — läpinäkyvyys- ja työntekijätietopaketti. 50 artiklan käyttäjäilmoitukset asiakaskohtaiselle tekoälylle, 26 artiklan 7 kohdan työntekijätieto mille tahansa työntekijöitä valvovalle tekoälylle ja selkeä valitusreitti [1].

Ankkuroitu sääntelijän siunaamiin viitekehyksiin

Jokainen tuotos kytkeytyy ICO:n tekoälyn auditointiviitekehyksen hallinnan ja osoitusvelvollisuuden tarkistuslistoihin [8] sekä NIST:n tekoälyn riskienhallinnan viitekehyksen ytimeen: Govern, Map, Measure ja Manage [5]. ISO/IEC 42001 kytkeytyy samaan seitsemän tuotoksen kokonaisuuteen. Rakenna nämä kerran, ja ne täyttävät useita sääntelyjärjestelmiä samanaikaisesti.

Hankinta on valvontamekanismi, jonka asiakkaasi toivat aikaistettuna

Jokainen hakutulos kehystää tekoälysäädöksen valvonnan sääntelijän sakkojen linssin kautta. Yksikään ei mainitse sitä, mitä keskimarkkinaan ja suuryrityksiin myyvät brittiläiset pk-yritykset jo havaitsevat vuonna 2026: ostajan kyselylomake ehti ensin.

Mitä keskisuuret yritykset ja suuryritysostajat nyt pyytävät

Toimittajakyselyt brittiläisten tarjouskilpailujen myöhäisvaiheissa viittaavat nyt ISO/IEC 42001 -kontrolliperheisiin ja NIST:n tekoälyn riskienhallinnan neljän toiminnon ytimeen [5]. Ne pyytävät näyttöä tekoälyrekisteristä ja käyttötapausten riskiluokittelusta, dokumentoidusta valvontaprotokollasta 26 artiklan 5 kohtaa vasten [1] sekä alihankkijoiden julkistusta yleiskäyttöisen tekoälymallin alkuperäketjuineen: mikä perusmalli, mikä tarjoaja, mikä Code of Practice -allekirjoittaja [13]. Hankintatiimit eivät odota valvontaohjeistusta. Ne suojaavat omia toimitusketjujaan vastuuta vastaan, joka virtaa ylävirtaan, kun toimittajan tekoälytyökalu laukaisee poikkeaman.

Edellisen osion seitsemän tuotosta ovat täsmälleen sitä, mitä Section 9 -toimittajakysely pyytää.

Northbridge häviää tarjouskilpailun vuoden 2026 toisella neljänneksellä

Northbridge Trading osallistui tarjouskilpailuun 420 000 punnan kolmivuotisesta sopimuksesta säännellyn keskimarkkina-asiakkaan kanssa vuoden 2026 toisella neljänneksellä. Section 9 kuului: 'Ylläpidä tekoälyrekisteriä, FRIA-prosessia ja valvontaprotokollaa — toimita näyttö.' Northbridge ei kyennyt vastaamaan. Sopimus meni kilpailijalle, jolla oli yhden sivun rekisteri ja NIST-muotoinen käytäntöpino. Hankinnan ajama uudelleenrakentaminen istuu nyt sääntelijän määräajan päällä. Molemmat kellot käyvät.

Julkisen sektorin periytyminen

Julkishallinnolle myyvät brittiläiset pk-yritykset kohtaavat saman standardin eri kanavan kautta. Helmikuussa 2025 julkaistu julkishallinnon AI Playbook esittää 10 periaatetta, jotka kattavat eettisen käytön, osoitusvelvollisuuden, läpinäkyvyyden ja elinkaarihallinnan, ja toimittajat perivät ne sopimusehtoina [6]. DSIT:n AI Opportunities Action Plan, joka hyväksyttiin kokonaisuudessaan tammikuussa 2025, vahvistaa vastuullisen tekoälyn käyttöönoton toimitusketjun odotuksena [11]. CMA:n AI Foundation Models Initial Report lisää kuluttajansuojan ja kilpailun linssin, joka asettuu minkä tahansa perusmallin käyttöönoton päälle [12].

Sääntelijän tutkan alle jääminen ei pelasta sinua ostajan kyselylomakkeelta. Northbridge sai sen selville kalliilla tavalla.

Mitä Digital Omnibus lykkää — ja mitä se EI lykkää

Marraskuun 2025 Digital Omnibus -otsikko ('EU lykkää tekoälysäädöstä') ei kestä varsinaisen ehdotuksen huolellista lukemista. Sekaannus on ymmärrettävä. Otsikko ei ole paikkansapitävä.

Mikä on jo voimassa ja liikkumatta

Neljä velvoitetta on jo voimassa, eikä mikään Omnibuksen lopputulos kosketa niitä. Kiellettyjen käytäntöjen kielto on ollut voimassa 2. helmikuuta 2025 lähtien [2]. 4 artiklan tekoälyn lukutaitovelvoite on ollut voimassa 2. helmikuuta 2025 lähtien [1]. Yleiskäyttöisen tekoälymallin tarjoajan velvoitteet ja Code of Practice -järjestelmä tulivat voimaan 2. elokuuta 2025 [2]. Ja Britannian GDPR sitoo jo jokaista henkilötietoja käsittelevää brittiläistä organisaatiota, pk-yritykset mukaan lukien; ICO:n tekoäly- ja tietosuojaohjeistus on sääntelijän tulkinta siitä, miten tuo säädös soveltuu tekoälyjärjestelmiin — ei lakisääteinen menettelysäännöstö, vaan käytännön vaatimustenmukaisuuden perustaso, jota vasten ICO arvioi [7].

Mitä Digital Omnibus tosiasiassa ehdottaa

Omnibus ehdottaa kapeaa lykkäystä Annex III -suuririskisten järjestelmien vaatimustenmukaisuuden arviointijärjestelmälle sekä teknisen dokumentaation ja EU-tietokantaan rekisteröinnin vaatimuksille tiettyjen suuririskisten tekoälyjärjestelmäkategorioiden tarjoajille. Se ei ehdota 26 artiklan käyttöönottajan velvoitteiden, 50 artiklan läpinäkyvyysvaatimusten, 4 artiklan lukutaitovelvoitteiden tai perusoikeuksiin kohdistuvien vaikutusten arvioinnin dokumentoinnin lykkäämistä. Nuo velvoitteet pysyvät julkaistussa aikataulussa.

Trilogi jumiutui 28. huhtikuuta 2026. Uudelleenaikataulutus oli vireillä tätä kirjoitettaessa. Komission julkaisema määräaika pysyy siksi oikeudellisesti voimassa olevana lähtökohtana [2]. Pk-yritykset, jotka lukivat 'lykätty vuoteen 2027' ja viivyttivät hallinnan suunnittelua tuon tulkinnan perusteella, ovat jo jäljessä käyttöönottajapuolen velvoitteista, jotka eivät koskaan siirtyneet.

Vakaa ydin, jota mikään Omnibuksen lopputulos ei kosketa

Hallinta, joka on suunniteltu vakaata ydintä vasten (riskiluokittelu käyttötapauksen mukaan, ihmisen suorittama valvonta, käyttöönottajan kirjaaminen, FRIA- ja vaikutustenarvioinnin dokumentointi, tekoälyn lukutaitokoulutus, läpinäkyvyysjulkistus), kestää minkä tahansa Omnibus-version, joka lopulta tulee voimaan. Se mikä muuttuu Omnibus-versioiden välillä, on se missä liitteessä käyttötapaus sijaitsee, ei se tarvitseeko pk-yritys rekisterin, valvontaprotokollan ja poikkeamaprosessin. "Meillä on aikaa vuoteen 2027" ei ole tulkinta, jota teksti tukee.

Miten pk-yritys voi rakentaa tekoälyn hallinnan 90 päivässä?

Kaksitoista viikkoa riittää heti alusta sisään suunnitellun hallinnan toimittamiseen, jos työ on vaiheistettu. Tässä on viikko viikolta -suunnitelma 50–500 työntekijän pk-yritykselle, joka aloittaa nollasta.

Viikot 1–3 — Inventoi ja luokittele

Löydä jokainen käytössä oleva tekoälytyökalu, mukaan lukien varjotekoäly: Microsoft 365:een sulautettu Copilot, selainlaajennusten tekoäly, niche-SaaS-moduulit tekoälyominaisuuksineen, joita hankintatiimisi ei koskaan nimenomaisesti arvioinut. Pystytä tekoälyrekisteri ja osoita omistaja jokaiselle järjestelmälle. Aja käyttötapausten riskiluokittelupuu Annex III:a vasten ja merkitse mikä tahansa altistuminen HR-seulonnassa, luottopisteytyksessä, koulutuksessa, biometrisessä tunnistamisessa tai kriittisessä infrastruktuurissa [1]. Tee nopea oikeusperustan arviointi Britannian GDPR:n nojalla jokaiselle henkilötietoja käsittelevälle järjestelmälle [7].

Viikot 4–7 — Operoi ja dokumentoi

Laadi valvontaprotokolla jokaiselle suuririskiselle ja rajoitetun riskin järjestelmälle: nimetty ihminen, kumoamistyönkulku, eskalointikriteerit, tarkastelutahti (tuotos 4). Toteuta 26 artiklan 6 kohdan kirjaaminen kaikkialla, missä alusta sen tukee; rakenna käyttöönottajapuolen loki muutoin. Älä jätä tätä käytäntödokumenttien varaan [8]. Aja 4 artiklan tekoälyn lukutaito-ohjelma: ensin 90 minuutin koko henkilöstön perustaso, sitten tehokäyttäjien ja tekoälyn omistajien syventävät istunnot [1]. Päivitä vaikutustenarvioinnit ja FRIA:t ICO:n työkalupakkia vasten jokaiselle suuririskiselle järjestelmälle [8].

Viikot 8–12 — Hankintavalmis ja tarkastelu

Rakenna toimittajien due diligence -paketti: DPA:t, mallikortit, yleiskäyttöisen tekoälymallin alkuperäketju, alihankkijoiden listat ja Code of Practice -allekirjoittajastatus jokaiselle perusmallin tarjoajalle [13]. Julkaise 50 artiklan läpinäkyvyysilmoitukset asiakaskohtaiselle tekoälylle; perehdytä asianomaiset työntekijät 26 artiklan 7 kohdan nojalla [1]. Kytke seitsemän tuotosta hankintakyselylomakkeen muotoon, jota keskisuuret yritykset lähettävät: ISO/IEC 42001 -kontrolliperheet ja NIST:n tekoälyn riskienhallinnan toiminnot [5]. Aikatauluta ensimmäinen neljännesvuosittainen hallinnan tarkastelu ja nimeä ylimmän johdon vastuullinen omistaja ICO:n työkalupakin vaatimuksen mukaisesti [8].

Kaksi vältettävää antikuviota

Ensimmäinen: 40 000 punnan työkalutilauksen ostaminen ennen kuin rekisteri on täytetty. Työkalu ilman hallinnan laajuutta on teatteria. Työkalu nostaa esiin riskejä, joita pk-yritys ei ole vielä määritellyt.

Toinen: 4 artiklan lukutaidon kohteleminen kertaluonteisena webinaarina. Velvoite on jatkuva ja suhteutettu rooliin [1]. 90 minuutin aloitusistunto täyttää perustason; se ei täytä vuosittaista päivitystä tai tekoälyn omistajien syvempiä istuntoja. Arkkitehtuurin uudelleenkirjoitus, josta GDPR-jälkiasentajat maksoivat, johtui siitä, että käytäntödokumentit kirjoitettiin ja tekniikka ohitettiin. Sama kuvio tekoälyyn sovellettuna tuottaa saman tuloksen.

Opittu läksy

Läksy, josta Northbridge jo maksoi

Kesäkuussa 2020 Northbridgen operatiivinen johtaja allekirjoitti 142 000 punnan laskut GDPR:n jälkiasentamisesta 28 000 punnan suunnittele-sisään-perustasoa vasten. Se ei ollut hankintaepäonnistuminen. Se oli sitä, mitä tapahtuu, kun pätevä toimija kohtelee vaatimustenmukaisuutta jonakin, joka kerrostetaan päälle, kun tuote toimii. MIT Sloanin data muuttaa tuon kokemuksen kuvioksi: EU-yritykset leikkasivat tallennettua dataa 26 % ja laskentaa 15 % vuoden 2018 jälkeen, vaikutuksen ollessa raskain niiden yritysten parissa, jotka eivät olleet rakentaneet tietosuojaa sisään heti alusta [9]. Tekoälysäädös on opettamassa tuon läksyn toista kertaa.

Tekoälyn hallinnan jälkiasennukset menevät pahemmin, koska kirjaaminen, ihmisen suorittama valvonta ja kehotteet ovat kietoutuneet työnkulun arkkitehtuuriin. Hankinta panee säädöstä täytäntöön ennen kuin sääntelijät tekevät sen. Seitsemän tuotoksen suunnittelu sisään maksaa 18 000–32 000 puntaa; niiden jälkiasentaminen maksaa 85 000–145 000 puntaa valvonta- ja hankintapaineen yhdessä. Laskutoimitus ei ole hienovarainen.

Yhteenveto

AI governance from day one — why retrofitting costs more
│
├─ The retrofit trap
│   ├─ GDPR precedent — one SMB paid ~5x to bolt it on late
│   ├─ AI Act is worse — prompts & logs entangle with workflow
│   └─ The numbers — design-in £18-32k vs retrofit £85-145k
│
├─ You can't outsource it
│   ├─ Article 26 — the deployer's job stays with the SMB
│   └─ Buying Copilot — vendor covers the model, not your use case
│
└─ Act now, not in 2027
    ├─ Procurement first — RFP questionnaires enforce before fines
    ├─ Omnibus myth — it defers providers, not deployer duties
    └─ Seven artefacts — register, oversight, logging, literacy

Aiheeseen liittyvät artikkelit

Frequently Asked Questions

Milloin EU:n tekoälysäädös tulee voimaan brittiläisille pk-yrityksille, ja mitkä velvoitteet ovat jo voimassa?
Kyseessä on portaikko, ei yksittäinen jyrkänne. Säädös tuli voimaan 1. elokuuta 2024. Kielletyt käytännöt ovat olleet voimassa 2. helmikuuta 2025 lähtien; 4 artiklan tekoälyn lukutaitovelvoitteet samasta päivästä; yleiskäyttöisen tekoälymallin tarjoajan velvoitteet 2. elokuuta 2025 lähtien; suuririskisiä järjestelmiä koskeva täysi soveltaminen alkaa 2. elokuuta 2026; tuotteisiin sulautettujen suuririskisten järjestelmien säännöt 2. elokuuta 2027. EU-asiakkaita palvelevat brittiläiset pk-yritykset kuuluvat soveltamisalaan alueen ulkopuolelta, ja ICO:n tekoälyohjeistus on sitonut Britannian GDPR:n nojalla vuodesta 2023.
Paljonko 180 hengen pk-yritykselle maksaa tekoälyn hallinnan jälkiasentaminen verrattuna sen suunnitteluun heti sisään?
Suunnittelu sisään kahdentoista viikon aikana maksaa 18 000–32 000 puntaa: tekoälyrekisteri, 4 artiklan lukutaito-ohjelma, 26 artiklan 6 kohdan kirjaamisen sisältävä valvontaprotokolla, toimittajien due diligence -paketti. Saman kokonaisuuden jälkiasennus vuoden 2026 kolmannen neljänneksen valvonta- ja hankintapaineessa maksaa 85 000–145 000 puntaa kuudessa–kahdessatoista tiivistetyssä viikossa, eli kerroin on 2,7–5,1. Northbridgen GDPR-ennakkotapaus maksoi noin viisinkertaisesti, ja MIT Sloan havaitsi EU-yritysten leikanneen tallennettua dataa 26 % ja laskentaa 15 % vuoden 2018 jälkeen — keskittyneenä jälkiasennusryhmään.
Siirtääkö ChatGPT Enterprisen tai Microsoft Copilotin ostaminen EU:n tekoälysäädöksen vaatimustenmukaisuuden toimittajalle?
Ei. 16 artikla määrittää, mitä tarjoajan on tehtävä: vaatimustenmukaisuuden arviointi, tekninen dokumentaatio, markkinoille saattamisen jälkeinen seuranta. 26 artikla määrittää, mitä käyttöönottajan on tehtävä: käyttää järjestelmää ohjeiden mukaisesti, varmistaa ihmisen suorittama valvonta, pitää syöttötiedot merkityksellisinä, kirjata suuririskinen käyttö vähintään kuusi kuukautta, tiedottaa työntekijöille ja asiakkaille. Sillä hetkellä, kun brittiläinen pk-yritys liittää ansioluettelon ChatGPT:hen seuloakseen hakijoita, siitä tulee liitteen III mukainen suuririskinen käyttöönottaja. Yrityksen koko ei sisälly luokittelusääntöön.
Miltä pk-yrityksen heti alusta rakennettu tekoälyn hallinta käytännössä näyttää?
Seitsemän tuotosta, jotka saat pystyyn kahdessa viikossa: tekoälyrekisteri, jossa luetellaan jokainen järjestelmä toimittajineen, malleineen, käyttötapauksineen, riskitasoineen ja omistajineen; Annex III -kategorioihin kytketty käyttötapausten riskiluokittelupuu; toimittajien due diligence -paketti, joka kattaa DPA:n, mallikortin ja yleiskäyttöisen tekoälymallin alkuperäketjun; valvontaprotokolla, joka nimeää 26 artiklan 5 kohdan vastuuhenkilön; 4 artiklan lukutaito-ohjelma; 26 artiklan 6 kohdan mukainen kirjaamis- ja poikkeamaprosessi; läpinäkyvyysilmoitukset asiakaskohtaiselle tekoälylle ja työntekijöiden tietopaketit.
Lykkääkö marraskuun 2025 Digital Omnibus EU:n tekoälysäädöstä riittävästi, jotta pk-yritys voi odottaa?
Ei. Omnibus ehdottaa kapeaa lykkäystä Annex III -suuririskisten järjestelmien vaatimustenmukaisuuden arviointijärjestelmälle tarjoajien osalta. Se ei lykkää 26 artiklan käyttöönottajan velvoitteita, 50 artiklan läpinäkyvyysvaatimuksia, 4 artiklan lukutaitovelvoitteita eikä perusoikeuksiin kohdistuvien vaikutusten arvioinnin dokumentointia. Kielletyt käytännöt, yleiskäyttöisen tekoälymallin velvoitteet ja ICO:n ohjeistus Britannian GDPR:n nojalla ovat jo voimassa eivätkä siirtyneet. Trilogi jumiutui 28. huhtikuuta 2026, joten komission julkaisema määräaika pysyy oikeudellisesti voimassa olevana lähtökohtana. "Meillä on aikaa vuoteen 2027" ei ole tulkinta, jota teksti tukee.
Mikä on EU:n tekoälysäädöksen 27 artiklan mukainen perusoikeuksiin kohdistuvien vaikutusten arviointi (FRIA), ja kenen on tehtävä se?
FRIA on 27 artiklan velvoite. Sen on tehtävä tietyt käyttöönottajat: julkisyhteisöt sekä yksityiset toimijat, jotka käyttävät Annex III -suuririskisiä järjestelmiä säännellyissä toiminnoissa kuten luottokelpoisuuden pisteytyksessä ja vakuutushinnoittelussa. Perusoikeusvaikutukset arvioidaan ennen ensimmäistä käyttöä ja arvio päivitetään olennaisten muutosten yhteydessä. Se kattaa asianomaiset henkilöt, käytön tiheyden ja keston, haittatyypit, ihmisen suorittaman valvonnan ja valitusmekanismit. EU-asiakkaita palvelevat brittiläiset pk-yritykset kuuluvat soveltamisalaan alueen ulkopuolelta. Digital Omnibus ei lykkää FRIA:a; sen suunnittelu rekisterin rinnalla välttää jälkiasennuskertoimen.
Auttaako ISO 42001 -sertifiointi EU:n tekoälysäädökseen valmistautumisessa, vai ovatko ne erillisiä vaatimustenmukaisuuden polkuja?
ISO 42001 ja EU:n tekoälysäädös täydentävät toisiaan, eivät ole päällekkäisiä. ISO 42001 määrittää tekoälyn hallintajärjestelmän — hallintaroolit, tekoälyrekisterin, riskien tunnistamisen, sisäisen auditoinnin — mikä nopeuttaa suoraan suunnittele-sisään-polkua: tekoälyrekisteri, toimittajien due diligence -paketti, 4 artiklan lukutaito-ohjelma, 26 artiklan 6 kohdan kirjaaminen. Se ei yksinään täytä 16 artiklan tarjoajan vaatimustenmukaisuuden arviointia, 27 artiklan FRIA:a eikä 50 artiklan läpinäkyvyyttä. Kohtele ISO 42001:tä hallinnan selkärankana ja säädöstä oikeudellisena pintana; molempia tarvitaan.

Sources

  1. 1.Regulation (EU) 2024/1689 — Artificial Intelligence ActEuropean Parliament and of the Council · 2024
  2. 2.Regulatory Framework on AIEuropean Commission · 2024
  3. 3.2025 AI Index Report — Chapter 6: Policy and GovernanceStanford Institute for Human-Centered AI (HAI) · 2025
  4. 4.AI Principles (revised May 2024)OECD · 2024
  5. 5.Artificial Intelligence Risk Management Framework (AI RMF 1.0)NIST · 2023
  6. 6.Artificial Intelligence Playbook for the UK GovernmentUK Government Digital Service / DSIT · 2025
  7. 7.Guidance on AI and Data ProtectionInformation Commissioner's Office (ICO) · 2023
  8. 8.AI and Data Protection Risk Toolkit / AI Auditing FrameworkInformation Commissioner's Office (ICO) · 2023
  9. 9.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans)MIT Sloan · 2022
  10. 10.Guidelines for Secure AI System DevelopmentNational Cyber Security Centre (NCSC) · 2023
  11. 11.AI Opportunities Action PlanUK Department for Science, Innovation and Technology (DSIT) · 2025
  12. 12.AI Foundation Models: Initial ReportCompetition and Markets Authority (CMA) · 2023
  13. 13.Guidelines for Providers of General-Purpose AI ModelsEuropean Commission · 2024

Want this run on your business?

AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.

Start your audit

You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.