Tekoälyn hallinta heti alusta: pk-yrityksen hinta jälkikäteen rakennetusta vaatimustenmukaisuudesta
Tekoälysääntely lähentyy — EU:n tekoälysäädös (elokuu 2026), Yhdysvaltain osavaltiolait, Aasia. Pk-yritykset, jotka rakentavat hallinnan heti alusta, välttävät GDPR-tyylisen jälkiasennuksen kustannusansan.

Kesäkuussa 2020 eräs 180 hengen brittiläinen tukkuliike, jota kutsumme nimellä Northbridge Trading, maksoi 142 000 puntaa GDPR:n jälkiasentamisesta: käsittelytoimien seloste, kolme tietosuojaa koskevaa vaikutustenarviointia, tietoturvaloukkausten toimintaohje, kuusi toimittajasopimusta ja sisäänrakennetun tietosuojan periaatteella toteutettu CRM-uudistus, jonka samat konsultit olivat hinnoitelleet 28 000 punnaksi, jos se olisi suunniteltu sisään kaksi vuotta aiemmin. Operatiivinen johtaja, joka allekirjoitti nuo laskut, tuijottaa nyt samaa jyrkännettä tekoälyn kanssa.
Jälkiasennuksen lasku, jota kukaan ei suunnitellut
Northbridge Trading on yhdistelmä, koottu neljästä todellisesta toimeksiannosta vuosilta 2019–2021. Vaihdoimme nimet; luvut ovat todellisia. Kuvio merkitsee, koska se on toistumassa.
Toukokuussa 2018 Northbridge toimitti GDPR:n 200 punnan käytäntömallilla ja tunteella, että työ oli tehty. Toukokuussa 2020 saapui ensimmäinen rekisteröidyn pyyntö saada pääsy tietoihinsa; sitä seurasi täpärä tietoturvaloukkaus palkanlaskennan integraatiossa; ICO:n valitus saapui kaksi viikkoa myöhemmin. Vuoden 2020 kolmanteen neljännekseen mennessä yritys oli palkannut ulkopuolisen lakimiehen ja tietosuojainsinöörin rakentamaan käsittelytoimien selosteen, kolme tietosuojaa koskevaa vaikutustenarviointia, häiriöiden hallinnan toimintaohjeen, kuusi toimittajien henkilötietojen käsittelysopimusta sekä CRM-uudistuksen, johon sisäänrakennetun tietosuojan kontrollit jälkiasennettiin jo käytössä oleviin tietovirtoihin. Lasku nousi noin viisinkertaiseksi siihen suunnittele-sisään-perustasoon nähden, jonka sama konsulttitalo oli hinnoitellut vuoden 2017 arkkitehtuuria vasten, ja se maksettiin sääntelypaineen alla.
Kuusi vuotta myöhemmin sama operatiivinen johtaja pyörittää kolmea tekoälytyökalua, jotka otettiin käyttöön vuoden 2025 aikana: ansioluetteloja seulova avustaja, myyntipuheluiden tiivistäjä ja asiakastuen chatbot. Ei tekoälyrekisteriä, ei käyttötapausten riskiluokittelua, ei 26 artiklan dokumentaatiota, ei 4 artiklan lukutaito-ohjelmaa. EU:n tekoälysäädös tuli voimaan 1. elokuuta 2024 [1]; komission aikataulu sijoittaa täyden soveltamisen, mukaan lukien suurin osa suuririskisten järjestelmien velvoitteista, 2. elokuuta 2026 [2]. Ansioluetteloja seulova työkalu on liitteen III mukainen suuririskinen järjestelmä. ICO:n tekoälyohjeistus on sitonut brittiläisiä pk-yrityksiä Britannian GDPR:n nojalla vuodesta 2023 [7]. "Kieltäydyn", hän kertoo meille, "kirjoittamasta sitä shekkiä toista kertaa."
Lähentyminen: miksi 'odotetaan ja katsotaan' lakkasi olemasta järkevää vuonna 2024
'Globaali lähentyminen', joka ajaa suunnittele-sisään-argumenttia, ei ole markkinointislogan. Vuonna 2024 sääntelyn määrästä tuli mitattava ja yhteisestä teknisestä selkärangasta näkyvä.
Luvut, joita sääntelijät eivät halua sinun sivuuttavan
Stanford HAI:n vuoden 2025 AI Index kirjaa 59 yhdysvaltalaista liittovaltion tekoälysäädöstä vuonna 2024, yli kaksinkertaisesti vuoteen 2023 verrattuna, kaksinkertaisessa määrässä virastoja [3]. Yhdysvaltain osavaltiot hyväksyivät 131 tekoälylakia yhden vuoden aikana, kun niitä oli 49 kumulatiivisesti vuoden 2023 loppuun mennessä [3]. Lainsäädännölliset tekoälymaininnat nousivat 21,3 % 75 maassa vuonna 2024 [3]. Operatiiviselle johtajalle, joka päättää toimiako nyt vai odottaa, tuo määrä ei ole taustakohinaa. Se on signaali.
Asetus (EU) 2024/1689 tuli voimaan 1. elokuuta 2024 [1]. Komission vaiheittainen aikataulu on selkein saatavilla oleva julkaistu etenemissuunnitelma: kielletyt käytännöt voimassa 2. helmikuuta 2025 lähtien; yleiskäyttöisen tekoälymallin velvoitteet voimassa 2. elokuuta 2025 lähtien; suuririskisiä järjestelmiä koskeva täysi soveltaminen 2. elokuuta 2026 lähtien; tuotteisiin sulautettujen suuririskisten järjestelmien säännöt pidennettyinä 2. elokuuta 2027 saakka [2]. Se ei ole yksittäinen jyrkänne. Se on portaikko. Pk-yritykset, jotka odottavat ylimmälle askelmalle, ovat jo ohittaneet kaksi.
Yhteinen ankkuri: OECD, NIST, ISO/IEC 42001
Määrän alla on yhteinen selkäranka, joka tekee varhain sisään suunnitellusta hallinnasta kestävää eri lainkäyttöalueilla. OECD:n tekoälyperiaatteet, päivitetty toukokuussa 2024, on omaksunut 47 tai useampi maa [4]. Ne muodostavat nimenomaisen perustan EU:n, Britannian, Yhdysvaltain ja G7:n yhdenmukaistamiselle. NIST:n tekoälyn riskienhallinnan viitekehys 1.0 järjestää velvoitteet neljän toiminnon ympärille: Govern, Map, Measure ja Manage [5]. EU:n tekoälysäädöksen standardointiohjelma viittaa tuohon ytimeen; Britannian AI Playbook (helmikuu 2025) kodifioi 10 periaatetta julkishallinnon tekoälylle ja viestii vastaavista standardeista toimitusketjulleen [6].
ISO/IEC 42001:stä on tullut hankintatason sertifiointi, jota keskimarkkinaostajat nyt pyytävät. Hallinta, joka on suunniteltu OECD:n periaatteiden, NIST:n toimintojen ja ICO:n vaatimusten leikkauspistettä vasten, kestää minkä tahansa yksittäisen sääntelyjärjestelmän kiristymisen. Yhteinen selkäranka vaimentaa vaihtelun.

Miksi 'toimittaja hoitaa vaatimustenmukaisuuden' romahtaa 26 artiklan alla?
Vaikein lause minkä tahansa toimittajan markkinointisivulle kirjoitettavaksi on: 'Emme voi ulkoistaa käyttöönottajan työtä sinulle.' EU:n tekoälysäädöksessä tarjoajan ja käyttöönottajan välinen raja on nimenomainen, eikä se siirry siksi, että ostit yritystason version.
Jaetun vastuun malli selkokielellä
16 artikla määrittää, mitä tarjoajan on tehtävä: vaatimustenmukaisuuden arviointi, tekninen dokumentaatio, markkinoille saattamisen jälkeinen seuranta [1]. 26 artikla määrittää, mitä käyttöönottajan on tehtävä: käyttää järjestelmää ohjeiden mukaisesti, varmistaa ihmisen suorittama valvonta, pitää syöttötiedot merkityksellisinä, kirjata suuririskinen käyttö vähintään kuusi kuukautta ja tiedottaa työntekijöille ja asiakkaille [1]. 4 artikla lisää tekoälyn lukutaitovelvoitteen jokaiselle tekoälyä käyttävälle työntekijälle, suhteutettuna hänen rooliinsa, riippumatta siitä mikä malli on taustalla [1]. 50 artikla edellyttää, että käyttäjät tietävät olevansa vuorovaikutuksessa tekoälyn kanssa kaikilla riskitasoilla [1].
Nuo neljä artiklaa kuvaavat velvoitteita, jotka kuuluvat pk-yritykselle. Toimittajan allekirjoittama DPA ei siirrä niitä pois.
Mitä ChatGPT Enterprise ja Copilot eivät ulkoista
Sillä hetkellä, kun brittiläinen pk-yritys liittää ansioluettelon ChatGPT:hen seuloakseen hakijoita, siitä tulee liitteen III mukainen suuririskinen käyttöönottaja [1]. Tuo käyttötapauksen luokittelu on käyttöönottajan päätös. OpenAI:n Enterprise Privacy -sivu kattaa mallipuolen takuut: ei koulutusta yritysdatalla, salaus, kirjausketjut. Se ei luokittele sinun käyttötapaustasi, kirjoita sinun valvontaprotokollaasi, kouluta henkilöstöäsi tai ylläpidä sinun 26 artiklan 6 kohdan käyttöönottajakirjauksiasi. 40 hengen pk-yrityksellä, joka pyörittää ansioluetteloja seulovaa tekoälyä, on samat 26 artiklan velvoitteet kuin FTSE 100 -työnantajalla. Yrityksen koko ei sisälly luokittelusääntöön.
Britannian GDPR:n nojalla rekisterinpitäjäsuhde noudattaa samaa logiikkaa. Kehotteessa olevat henkilötiedot tekevät pk-yrityksestä rekisterinpitäjän. Rekisteröidyn oikeuksia ei voi delegoida toimittajalle.
ICO on ollut selkeä vuodesta 2023
ICO:n tekoälyohjeistus kattaa sen, miten Britannian GDPR:n periaatteita sovelletaan henkilötietoja käsittelevään tekoälyyn, mukaan lukien vaikutustenarvioinnin vaatimukset, vinouman lieventämisen ja automaattisen päätöksenteon [7]. Ohjeistus on uudelleenarvioinnissa Data (Use and Access) Act 2025 -lain seurauksena, joka tuli voimaan 19. kesäkuuta 2025 [7]. ICO:n tekoälyn auditointityökalupakki tarjoaa konkreettisia tarkistuslistoja hallinnan, osoitusvelvollisuuden, läpinäkyvyyden ja yksilön oikeuksien osalta [8]. Nuo tarkistuslistat kuvaavat, mitä käyttöönottaja tarvitsee ennen ICO:n vierailua, ei sen jälkeen. Northbridgen kolmella työkalulla ei ole niistä mitään. Toimittajan DPA kattaa toimittajan. Aukko kuuluu käyttöönottajalle.
GDPR-jälkiasennuksen kustannusnäyttö: mitä tiedämme empiirisesti
Empiirinen perustelu hallinnan varhaiselle sisään suunnittelulle ei rakennu intuitiolle. Se rakentuu sille, mitä tapahtui EU-yrityksille, jotka kohtelivat GDPR:ää jälkikäteen tehtävänä asiana vuonna 2018.
MIT Sloan / Bessen ym. — ainoa laajan otoksen jälkiasennustutkimus, joka meillä on
MIT Sloanin / Bessenin, Janßenin, Peukertin ja Seamansin tutkimus vertaili EU- ja EU:n ulkopuolisia yrityksiä sen jälkeen, kun valvonta alkoi toukokuussa 2018. Havainnot ovat suoria: EU-yritykset leikkasivat tallennettua dataa 26 % ja laskennan käyttöä 15 % suhteessa EU:n ulkopuolisiin verrokkeihin [9]. Vähennys keskittyi ryhmään, joka ei ollut suunnitellut tietosuojaa alusta alkaen, eli jälkiasennusryhmään. Nämä eivät olleet sakkoja tai oikeudenkäyntikuluja. Ne olivat operatiivisia häiriöitä: lopetettuja tuotteita, tyhjennettyjä markkinointidatajoukkoja, alusta uudelleen rakennettuja integraatioita. Yritykset, jotka olivat suunnitelleet tietosuojan sisään vuodesta 2016, sopeutuivat samaan sääntelyyn ilman noita leikkauksia.
Northbridge Trading kulki jälkiasennuksen polkua. Se toimitti GDPR-vaatimustenmukaisuuden vuonna 2018 200 punnan käytäntömallilla ja löysi todellisen kustannuksen kaksi vuotta myöhemmin. MIT Sloanin data kuvaa täsmälleen sitä, mistä se maksoi: arkkitehtuurin uudelleenrakentamisen, joka tulee, kun vedät vaatimustenmukaisuuden velvoitteet järjestelmään, jota ei ollut suunniteltu kantamaan niitä.
2,4-kertainen jälkiasennuskerroin
Toimialan jälkiasennuksen kustannusvertailut päätyvät samaan johtopäätökseen kustannuspuolelta: myöhään liikkeelle lähteneet pk-yritykset maksoivat noin 2,4 kertaa sen, mitä suunnittele-sisään-kilpailijat maksoivat, kattaen käsittelytoimien selosteen, vaikutustenarvioinnit, käsittelyperusterekisterit, tietoturvaloukkausprosessit, DPA-uudelleenneuvottelut ja CRM-uudistuksen.
Jokainen näistä GDPR-kategorioista kytkeytyy suoraan tekoälysäädöksen vastineeseen. Tekoälyrekisteri korvaa käsittelytoimien selosteen. 27 artiklan mukainen perusoikeuksiin kohdistuvien vaikutusten arviointi korvaa GDPR:n tietosuojaa koskevan vaikutustenarvioinnin. 26 artiklan 6 kohdan käyttöönottajan kirjaaminen korvaa tietoturvaloukkauslokin. Kategoriat ovat samat; kietoutuminen on syvempää. Tekoälymallit, kehotteet ja työnkulut ovat arkkitehtonisesti kytköksissä tavoilla, joilla tietovirrat eivät olleet. Kirjaamiskoukkujen tai valvontakontrollien vetäminen ulos käyttöönotetusta tekoälyputkesta on tekninen uudelleenkirjoitus, ei käytäntödokumentti. Tästä syystä Northbridgen noin viisinkertainen kerroin asettuu hyvin toimialan datan ennustamalle vaihteluvälille valvontapaineen alla.
Pk-yrityksen kustannuslaskenta: suunnittele sisään vs. jälkiasennus, rivi riviltä
Jälkiasennuskerroin ja MIT Sloanin operatiivinen data ovat hyödyllisiä ankkureita, mutta operatiivinen johtaja tarvitsee luvut, jotka hän voi laittaa hallituksen esitykseen. Tässä on laskenta 180 hengen pk-yritykselle, joka pyörittää kolmea tekoälytyökalua.
Suunnittele-sisään-perustaso 180 hengen pk-yritykselle, jolla on 3 tekoälytyökalua
Tekoälyn hallinnan suunnittelu sisään heti alusta, jaettuna kahdelletoista viikolle, maksaa toimeksiantokokemuksemme perusteella:
- Tekoälyrekisteri ja käyttötapausten riskiluokittelu: 4–6 päivää sisäistä työtä plus 2 000–4 000 punnan konsulttiarvio
- 4 artiklan lukutaito-ohjelma (90 minuutin perustaso koko henkilöstölle; koko päivä tekoälyn omistajille): 3 000–5 000 puntaa
- Valvontaprotokolla ja 26 artiklan 6 kohdan kirjaaminen rakennettuna arkkitehtuuriin: 4 000–6 000 puntaa tekniikkaa plus 2 päivän oikeudellinen arvio
- Toimittajien due diligence -paketti, joka kattaa DPA:t, mallikortit ja yleiskäyttöisen tekoälymallin julkistusketjun: 2 000–3 000 puntaa
Suuntaa antava kokonaiskustannus suunnittele-sisään: 18 000–32 000 puntaa kahdentoista viikon aikana.
Jälkiasennusbudjetti valvontapaineen alla (vuoden 2026 kolmas neljännes)
Saman kokonaisuuden jälkiasennus vuoden 2026 kolmannen neljänneksen paineessa maksaa huomattavasti enemmän:
- Ulkopuolinen lakimies kartoittamassa Annex III -altistumista poikkeaman jälkeen: 15 000–25 000 puntaa
- FRIA (27 artikla) ja vaikutustenarvioinnin päivitys kolmeen jo käyttöönotettuun työkaluun: 20 000–35 000 puntaa
- Kirjaamisen jälkiasennus ja ihmisen suorittaman valvonnan työnkulun uudelleenrakentaminen: 40 000–70 000 puntaa
- Työntekijöiden kuuleminen, läpinäkyvyysilmoitukset ja asiakasjulkistukset: 8 000–12 000 puntaa
Suuntaa antava kokonaiskustannus jälkiasennus: 85 000–145 000 puntaa kuudessa–kahdessatoista viikossa tiivistettyä korjaustyötä. Suhde kulkee noin 2,7-kertaisesta 5,1-kertaiseen toistaen toimialan vertailuluvun alarajan ja saavuttaen Northbridgen ylärajan.
Miksi kerroin on pahempi kuin GDPR:ssä
Kolme rakenteellista syytä nostaa tekoälyn jälkiasennuskertoimen GDPR-luvun yläpuolelle. Ensinnäkin tekoälytyönkulut ovat kietoutuneita: kehotteet, malliversiot ja jatkokäsittelyn automaattiset toimet on kytketty toisiinsa suunnittelusta lähtien, joten refaktorointipinta on suurempi kuin tietovirtojen uudelleenkytkentä. Toiseksi hankintauudistukset kulkevat sääntelijän määräajan rinnalla. Pk-yritys, joka häviää tarjouskilpailuja korjaustyön kuluessa, maksaa molemmat kustannukset samanaikaisesti. Kolmanneksi sanktiokatto on korkeampi. 99 artikla asettaa sakot enintään 7 prosenttiin maailmanlaajuisesta vuosittaisesta liikevaihdosta tai 35 miljoonaan euroon kiellettyjen käytäntöjen osalta [1]. Tekoälyvastuudirektiivi lisää siviilioikeudellisen vaateen altistumisen, jota GDPR ei synnyttänyt.
Brittiläiselle pk-yritykselle, jonka vuosittainen liikevaihto on 25 miljoonaa puntaa, varovainen peruslaskelma (ennen pk-yritysten alennuksia) yltää 750 000 euroon [1]. Suunnittele-sisään-kustannus ei ole vaatimustenmukaisuuden yleiskulu. Se on suojaus sakkoa vastaan, joka on moninkertainen siihen nähden.

Mitkä seitsemän tuotosta muodostavat heti alusta rakennetun tekoälyn hallinnan?
Heti alusta rakennettu tekoälyn hallinta 50–500 työntekijän pk-yritykselle ei ole abstraktia. Se on seitsemän tuotosta, jotka saat pystyyn kahdessa viikossa.
1–3: Inventointi ja luokittelu
Tuotos 1 — tekoälyrekisteri. Yhden sivun skeema: järjestelmän nimi, toimittaja, malli, käyttötapaus, dataluokat, riskitaso, omistaja, valvontaprotokolla ja tarkasteluajankohta. Sen rakentaminen ei vaadi konsulttia; sen ylläpito vaatii kurinalaisuutta.
Tuotos 2 — käyttötapausten riskiluokittelun päätöspuu. Kytketty Annex III -kategorioihin: työllistämisseulonta, luottopisteytys, koulutuksen saatavuus, biometrinen tunnistaminen ja kriittinen infrastruktuuri [1]. Jos työkalu koskettaa jotakin näistä työnkuluista, se laukaisee suuririskiset velvoitteet.
Tuotos 3 — toimittajien due diligence -paketti. Henkilötietojen käsittelysopimus, mallikortti, yleiskäyttöisen tekoälymallin julkistus, vaatimustenmukaisuuden arvioinnin yhteenveto ja alihankkijoiden lista. Taustalla olevan tarjoajan GPAI Code of Practice -allekirjoittajastatus merkitsee tässä [13].
4–5: Operoi ja suojaa
Tuotos 4 — valvontaprotokolla. 26 artiklan 5 kohta edellyttää nimettyä ihmistä, joka voi tarkastella ja kumota minkä tahansa automaattisen päätöksen [1]. Protokolla määrittää, kuka tämä henkilö on, kumoamistyönkulun, eskalointikriteerit ja tarkastelutahdin.
Tuotos 5 — 4 artiklan tekoälyn lukutaito-ohjelma. 90 minuutin perustaso koko henkilöstölle, puoli päivää tehokäyttäjille ja koko päivä tekoälyn omistajille, päivitettynä vuosittain [1]. 4 artikla koskee kaikkia käyttöönottajia toimittajasta riippumatta, ja suhteellisuus skaalautuu roolin, ei henkilöstömäärän mukaan.
6–7: Dokumentoi ja reagoi
Tuotos 6 — kirjaamis- ja poikkeamaprosessi. 26 artiklan 6 kohdan käyttöönottajakirjaukset, mallin ajautumisen seuranta sekä tietoturvan elinkaarikontrollit NCSC:n Guidelines for Secure AI System Development -ohjeesta, joka on yhteinen CISA:n ja 21 kansainvälisen kybervirastojen kanssa [10]. Rakenna loki arkkitehtuuriin; käytäntödokumentit ilman teknisiä koukkuja epäonnistuvat auditoinnissa.
Tuotos 7 — läpinäkyvyys- ja työntekijätietopaketti. 50 artiklan käyttäjäilmoitukset asiakaskohtaiselle tekoälylle, 26 artiklan 7 kohdan työntekijätieto mille tahansa työntekijöitä valvovalle tekoälylle ja selkeä valitusreitti [1].
Ankkuroitu sääntelijän siunaamiin viitekehyksiin
Jokainen tuotos kytkeytyy ICO:n tekoälyn auditointiviitekehyksen hallinnan ja osoitusvelvollisuuden tarkistuslistoihin [8] sekä NIST:n tekoälyn riskienhallinnan viitekehyksen ytimeen: Govern, Map, Measure ja Manage [5]. ISO/IEC 42001 kytkeytyy samaan seitsemän tuotoksen kokonaisuuteen. Rakenna nämä kerran, ja ne täyttävät useita sääntelyjärjestelmiä samanaikaisesti.
Hankinta on valvontamekanismi, jonka asiakkaasi toivat aikaistettuna
Jokainen hakutulos kehystää tekoälysäädöksen valvonnan sääntelijän sakkojen linssin kautta. Yksikään ei mainitse sitä, mitä keskimarkkinaan ja suuryrityksiin myyvät brittiläiset pk-yritykset jo havaitsevat vuonna 2026: ostajan kyselylomake ehti ensin.
Mitä keskisuuret yritykset ja suuryritysostajat nyt pyytävät
Toimittajakyselyt brittiläisten tarjouskilpailujen myöhäisvaiheissa viittaavat nyt ISO/IEC 42001 -kontrolliperheisiin ja NIST:n tekoälyn riskienhallinnan neljän toiminnon ytimeen [5]. Ne pyytävät näyttöä tekoälyrekisteristä ja käyttötapausten riskiluokittelusta, dokumentoidusta valvontaprotokollasta 26 artiklan 5 kohtaa vasten [1] sekä alihankkijoiden julkistusta yleiskäyttöisen tekoälymallin alkuperäketjuineen: mikä perusmalli, mikä tarjoaja, mikä Code of Practice -allekirjoittaja [13]. Hankintatiimit eivät odota valvontaohjeistusta. Ne suojaavat omia toimitusketjujaan vastuuta vastaan, joka virtaa ylävirtaan, kun toimittajan tekoälytyökalu laukaisee poikkeaman.
Edellisen osion seitsemän tuotosta ovat täsmälleen sitä, mitä Section 9 -toimittajakysely pyytää.
Northbridge häviää tarjouskilpailun vuoden 2026 toisella neljänneksellä
Northbridge Trading osallistui tarjouskilpailuun 420 000 punnan kolmivuotisesta sopimuksesta säännellyn keskimarkkina-asiakkaan kanssa vuoden 2026 toisella neljänneksellä. Section 9 kuului: 'Ylläpidä tekoälyrekisteriä, FRIA-prosessia ja valvontaprotokollaa — toimita näyttö.' Northbridge ei kyennyt vastaamaan. Sopimus meni kilpailijalle, jolla oli yhden sivun rekisteri ja NIST-muotoinen käytäntöpino. Hankinnan ajama uudelleenrakentaminen istuu nyt sääntelijän määräajan päällä. Molemmat kellot käyvät.
Julkisen sektorin periytyminen
Julkishallinnolle myyvät brittiläiset pk-yritykset kohtaavat saman standardin eri kanavan kautta. Helmikuussa 2025 julkaistu julkishallinnon AI Playbook esittää 10 periaatetta, jotka kattavat eettisen käytön, osoitusvelvollisuuden, läpinäkyvyyden ja elinkaarihallinnan, ja toimittajat perivät ne sopimusehtoina [6]. DSIT:n AI Opportunities Action Plan, joka hyväksyttiin kokonaisuudessaan tammikuussa 2025, vahvistaa vastuullisen tekoälyn käyttöönoton toimitusketjun odotuksena [11]. CMA:n AI Foundation Models Initial Report lisää kuluttajansuojan ja kilpailun linssin, joka asettuu minkä tahansa perusmallin käyttöönoton päälle [12].
Sääntelijän tutkan alle jääminen ei pelasta sinua ostajan kyselylomakkeelta. Northbridge sai sen selville kalliilla tavalla.
Mitä Digital Omnibus lykkää — ja mitä se EI lykkää
Marraskuun 2025 Digital Omnibus -otsikko ('EU lykkää tekoälysäädöstä') ei kestä varsinaisen ehdotuksen huolellista lukemista. Sekaannus on ymmärrettävä. Otsikko ei ole paikkansapitävä.
Mikä on jo voimassa ja liikkumatta
Neljä velvoitetta on jo voimassa, eikä mikään Omnibuksen lopputulos kosketa niitä. Kiellettyjen käytäntöjen kielto on ollut voimassa 2. helmikuuta 2025 lähtien [2]. 4 artiklan tekoälyn lukutaitovelvoite on ollut voimassa 2. helmikuuta 2025 lähtien [1]. Yleiskäyttöisen tekoälymallin tarjoajan velvoitteet ja Code of Practice -järjestelmä tulivat voimaan 2. elokuuta 2025 [2]. Ja Britannian GDPR sitoo jo jokaista henkilötietoja käsittelevää brittiläistä organisaatiota, pk-yritykset mukaan lukien; ICO:n tekoäly- ja tietosuojaohjeistus on sääntelijän tulkinta siitä, miten tuo säädös soveltuu tekoälyjärjestelmiin — ei lakisääteinen menettelysäännöstö, vaan käytännön vaatimustenmukaisuuden perustaso, jota vasten ICO arvioi [7].
Mitä Digital Omnibus tosiasiassa ehdottaa
Omnibus ehdottaa kapeaa lykkäystä Annex III -suuririskisten järjestelmien vaatimustenmukaisuuden arviointijärjestelmälle sekä teknisen dokumentaation ja EU-tietokantaan rekisteröinnin vaatimuksille tiettyjen suuririskisten tekoälyjärjestelmäkategorioiden tarjoajille. Se ei ehdota 26 artiklan käyttöönottajan velvoitteiden, 50 artiklan läpinäkyvyysvaatimusten, 4 artiklan lukutaitovelvoitteiden tai perusoikeuksiin kohdistuvien vaikutusten arvioinnin dokumentoinnin lykkäämistä. Nuo velvoitteet pysyvät julkaistussa aikataulussa.
Trilogi jumiutui 28. huhtikuuta 2026. Uudelleenaikataulutus oli vireillä tätä kirjoitettaessa. Komission julkaisema määräaika pysyy siksi oikeudellisesti voimassa olevana lähtökohtana [2]. Pk-yritykset, jotka lukivat 'lykätty vuoteen 2027' ja viivyttivät hallinnan suunnittelua tuon tulkinnan perusteella, ovat jo jäljessä käyttöönottajapuolen velvoitteista, jotka eivät koskaan siirtyneet.
Vakaa ydin, jota mikään Omnibuksen lopputulos ei kosketa
Hallinta, joka on suunniteltu vakaata ydintä vasten (riskiluokittelu käyttötapauksen mukaan, ihmisen suorittama valvonta, käyttöönottajan kirjaaminen, FRIA- ja vaikutustenarvioinnin dokumentointi, tekoälyn lukutaitokoulutus, läpinäkyvyysjulkistus), kestää minkä tahansa Omnibus-version, joka lopulta tulee voimaan. Se mikä muuttuu Omnibus-versioiden välillä, on se missä liitteessä käyttötapaus sijaitsee, ei se tarvitseeko pk-yritys rekisterin, valvontaprotokollan ja poikkeamaprosessin. "Meillä on aikaa vuoteen 2027" ei ole tulkinta, jota teksti tukee.
Miten pk-yritys voi rakentaa tekoälyn hallinnan 90 päivässä?
Kaksitoista viikkoa riittää heti alusta sisään suunnitellun hallinnan toimittamiseen, jos työ on vaiheistettu. Tässä on viikko viikolta -suunnitelma 50–500 työntekijän pk-yritykselle, joka aloittaa nollasta.
Viikot 1–3 — Inventoi ja luokittele
Löydä jokainen käytössä oleva tekoälytyökalu, mukaan lukien varjotekoäly: Microsoft 365:een sulautettu Copilot, selainlaajennusten tekoäly, niche-SaaS-moduulit tekoälyominaisuuksineen, joita hankintatiimisi ei koskaan nimenomaisesti arvioinut. Pystytä tekoälyrekisteri ja osoita omistaja jokaiselle järjestelmälle. Aja käyttötapausten riskiluokittelupuu Annex III:a vasten ja merkitse mikä tahansa altistuminen HR-seulonnassa, luottopisteytyksessä, koulutuksessa, biometrisessä tunnistamisessa tai kriittisessä infrastruktuurissa [1]. Tee nopea oikeusperustan arviointi Britannian GDPR:n nojalla jokaiselle henkilötietoja käsittelevälle järjestelmälle [7].
Viikot 4–7 — Operoi ja dokumentoi
Laadi valvontaprotokolla jokaiselle suuririskiselle ja rajoitetun riskin järjestelmälle: nimetty ihminen, kumoamistyönkulku, eskalointikriteerit, tarkastelutahti (tuotos 4). Toteuta 26 artiklan 6 kohdan kirjaaminen kaikkialla, missä alusta sen tukee; rakenna käyttöönottajapuolen loki muutoin. Älä jätä tätä käytäntödokumenttien varaan [8]. Aja 4 artiklan tekoälyn lukutaito-ohjelma: ensin 90 minuutin koko henkilöstön perustaso, sitten tehokäyttäjien ja tekoälyn omistajien syventävät istunnot [1]. Päivitä vaikutustenarvioinnit ja FRIA:t ICO:n työkalupakkia vasten jokaiselle suuririskiselle järjestelmälle [8].
Viikot 8–12 — Hankintavalmis ja tarkastelu
Rakenna toimittajien due diligence -paketti: DPA:t, mallikortit, yleiskäyttöisen tekoälymallin alkuperäketju, alihankkijoiden listat ja Code of Practice -allekirjoittajastatus jokaiselle perusmallin tarjoajalle [13]. Julkaise 50 artiklan läpinäkyvyysilmoitukset asiakaskohtaiselle tekoälylle; perehdytä asianomaiset työntekijät 26 artiklan 7 kohdan nojalla [1]. Kytke seitsemän tuotosta hankintakyselylomakkeen muotoon, jota keskisuuret yritykset lähettävät: ISO/IEC 42001 -kontrolliperheet ja NIST:n tekoälyn riskienhallinnan toiminnot [5]. Aikatauluta ensimmäinen neljännesvuosittainen hallinnan tarkastelu ja nimeä ylimmän johdon vastuullinen omistaja ICO:n työkalupakin vaatimuksen mukaisesti [8].
Kaksi vältettävää antikuviota
Ensimmäinen: 40 000 punnan työkalutilauksen ostaminen ennen kuin rekisteri on täytetty. Työkalu ilman hallinnan laajuutta on teatteria. Työkalu nostaa esiin riskejä, joita pk-yritys ei ole vielä määritellyt.
Toinen: 4 artiklan lukutaidon kohteleminen kertaluonteisena webinaarina. Velvoite on jatkuva ja suhteutettu rooliin [1]. 90 minuutin aloitusistunto täyttää perustason; se ei täytä vuosittaista päivitystä tai tekoälyn omistajien syvempiä istuntoja. Arkkitehtuurin uudelleenkirjoitus, josta GDPR-jälkiasentajat maksoivat, johtui siitä, että käytäntödokumentit kirjoitettiin ja tekniikka ohitettiin. Sama kuvio tekoälyyn sovellettuna tuottaa saman tuloksen.
Opittu läksy
Läksy, josta Northbridge jo maksoi
Kesäkuussa 2020 Northbridgen operatiivinen johtaja allekirjoitti 142 000 punnan laskut GDPR:n jälkiasentamisesta 28 000 punnan suunnittele-sisään-perustasoa vasten. Se ei ollut hankintaepäonnistuminen. Se oli sitä, mitä tapahtuu, kun pätevä toimija kohtelee vaatimustenmukaisuutta jonakin, joka kerrostetaan päälle, kun tuote toimii. MIT Sloanin data muuttaa tuon kokemuksen kuvioksi: EU-yritykset leikkasivat tallennettua dataa 26 % ja laskentaa 15 % vuoden 2018 jälkeen, vaikutuksen ollessa raskain niiden yritysten parissa, jotka eivät olleet rakentaneet tietosuojaa sisään heti alusta [9]. Tekoälysäädös on opettamassa tuon läksyn toista kertaa.
Tekoälyn hallinnan jälkiasennukset menevät pahemmin, koska kirjaaminen, ihmisen suorittama valvonta ja kehotteet ovat kietoutuneet työnkulun arkkitehtuuriin. Hankinta panee säädöstä täytäntöön ennen kuin sääntelijät tekevät sen. Seitsemän tuotoksen suunnittelu sisään maksaa 18 000–32 000 puntaa; niiden jälkiasentaminen maksaa 85 000–145 000 puntaa valvonta- ja hankintapaineen yhdessä. Laskutoimitus ei ole hienovarainen.
Yhteenveto
AI governance from day one — why retrofitting costs more │ ├─ The retrofit trap │ ├─ GDPR precedent — one SMB paid ~5x to bolt it on late │ ├─ AI Act is worse — prompts & logs entangle with workflow │ └─ The numbers — design-in £18-32k vs retrofit £85-145k │ ├─ You can't outsource it │ ├─ Article 26 — the deployer's job stays with the SMB │ └─ Buying Copilot — vendor covers the model, not your use case │ └─ Act now, not in 2027 ├─ Procurement first — RFP questionnaires enforce before fines ├─ Omnibus myth — it defers providers, not deployer duties └─ Seven artefacts — register, oversight, logging, literacy
Aiheeseen liittyvät artikkelit
- Paikallinen LLM vs. pilvi-LLM ja datan turvallisuus: väärä kysymys (2026)EN — datan luokittelun ja DLP-kontrollien kokonaisuus, jonka seitsemän hallintatuotosta olettavat jo olevan paikallaan.
- Human-in-the-Loop ei ole valvontaa. Se on suunnittelukuri. — miten 26 artiklan ihmisen suorittaman valvonnan velvoitteesta tulee toimiva kynnysjärjestelmä eikä hyväksyntärituaali.
- 50 kysymystä ennen tekoälyn käyttöönottoa: pk-ostajan opasEN — ostovaiheen due diligence, joka nostaa esiin hallintatuotosten aukot ennen hankinnan allekirjoitusta, ei sen jälkeen.
Frequently Asked Questions
Milloin EU:n tekoälysäädös tulee voimaan brittiläisille pk-yrityksille, ja mitkä velvoitteet ovat jo voimassa?
Paljonko 180 hengen pk-yritykselle maksaa tekoälyn hallinnan jälkiasentaminen verrattuna sen suunnitteluun heti sisään?
Siirtääkö ChatGPT Enterprisen tai Microsoft Copilotin ostaminen EU:n tekoälysäädöksen vaatimustenmukaisuuden toimittajalle?
Miltä pk-yrityksen heti alusta rakennettu tekoälyn hallinta käytännössä näyttää?
Lykkääkö marraskuun 2025 Digital Omnibus EU:n tekoälysäädöstä riittävästi, jotta pk-yritys voi odottaa?
Mikä on EU:n tekoälysäädöksen 27 artiklan mukainen perusoikeuksiin kohdistuvien vaikutusten arviointi (FRIA), ja kenen on tehtävä se?
Auttaako ISO 42001 -sertifiointi EU:n tekoälysäädökseen valmistautumisessa, vai ovatko ne erillisiä vaatimustenmukaisuuden polkuja?
Sources
- 1.Regulation (EU) 2024/1689 — Artificial Intelligence Act — European Parliament and of the Council · 2024
- 2.Regulatory Framework on AI — European Commission · 2024
- 3.2025 AI Index Report — Chapter 6: Policy and Governance — Stanford Institute for Human-Centered AI (HAI) · 2025
- 4.AI Principles (revised May 2024) — OECD · 2024
- 5.Artificial Intelligence Risk Management Framework (AI RMF 1.0) — NIST · 2023
- 6.Artificial Intelligence Playbook for the UK Government — UK Government Digital Service / DSIT · 2025
- 7.Guidance on AI and Data Protection — Information Commissioner's Office (ICO) · 2023
- 8.AI and Data Protection Risk Toolkit / AI Auditing Framework — Information Commissioner's Office (ICO) · 2023
- 9.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans) — MIT Sloan · 2022
- 10.Guidelines for Secure AI System Development — National Cyber Security Centre (NCSC) · 2023
- 11.AI Opportunities Action Plan — UK Department for Science, Innovation and Technology (DSIT) · 2025
- 12.AI Foundation Models: Initial Report — Competition and Markets Authority (CMA) · 2023
- 13.Guidelines for Providers of General-Purpose AI Models — European Commission · 2024
Want this run on your business?
AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.
You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.