Forsikring — EU AI Act-overholdelse

EU AI Act-forpligtelser for forsikrings-AI: aktuarmodeller, tegning, skadesopgørelse og prisfastsættelses-AI for fysiske personer. Dækker Annex III kategori 5(b) og interaktion med Solvens II.

Forsikring og EU AI Act — den aktuarielle udfordring

EU AI Act (forordning (EU) 2024/1689) pålægger sin højeste efterlevelsesforpligtelse på AI-systemer, der påvirker fysiske personers adgang til væsentlige tjenesteydelser og finansielle produkter. Forsikring befinder sig i centrum af denne bekymring. AI-systemer, der afgør, om en fysisk person kan tegne motor-, sundheds-, livs- eller ejendomsforsikring — og til hvilken pris — er i mange konfigurationer højrisiko-AI-systemer i henhold til Annex III, punkt 5(b) i loven.

Den afgørende udfordring for forsikringssektoren er aktuariel. I over et århundrede har forsikringsprisfastsættelse været funderet i statistisk modellering af risiko på tværs af befolkningskohort. EU AI Act forbyder ikke aktuariel differentiering, men den pålægger substantielle forpligtelser på de AI-systemer, hvorigennem en sådan differentiering udføres, når disse systemer opererer på niveau med den individuelle fysiske person. Skiftet fra traditionelle pooling-modeller til AI-drevet individuel risikoscoring — muliggjort af telematik, sundhedsdatastrømme og adfærdsanalyse — er præcis det, der udløser lovens højrisikoregime.

Forsikringsselskaber, der opererer i EU, skal derfor gennemføre en systematisk klassificeringsøvelse: hvilke af deres AI-systemer producerer individualiserede output, der fastlægger eller i væsentlig grad påvirker dækningsbeslutninger for fysiske personer? Denne klassificeringsøvelse er ikke blot en formel efterlevelsesprocedure. Dens resultat afgør, om forsikringsselskabet som ansvarlig for anvendelsen i henhold til Art. 26 (eller udbyder i henhold til Art. 16) er forpligtet med hensyn til dataforvaltning, teknisk dokumentation, menneskelig overvågning, overensstemmelsesvurdering og registrering i EU-databasen for højrisiko-AI.

Lovens anvendelse på forsikring kompliceres yderligere af sektorens eksisterende reguleringstæthed. Solvens II-direktivet (2009/138/EF), direktivet om forsikringsdistribution (IDD) (EU) 2016/97, GDPR og EIOPAs principbaserede AI-retningslinjer (2021) pålægger hver for sig krav til aktuariel modellering, kundebehandling og dataanvendelse. Disse rammer overlapper med — men erstatter ikke — EU AI Act-forpligtelserne. Efterlevelsesprogrammer skal adressere alle på samme tid.

Højrisiko-AI-anvendelsestilfælde inden for forsikring

Aktuarielle prisfastsættelsesmodeller for fysiske personer

Annex III, punkt 5(b) i EU AI Act klassificerer som højrisiko ethvert AI-system, der anvendes til at vurdere fysiske personers kreditværdighed eller til at klassificere fysiske personer i forhold til deres risikoprofil med henblik på adgang til forsikringstjenester. Dette dækker aktuarielle AI-systemer, der:

Genererer en individuel risikoscore, der bruges til at fastsætte en motorforsikringspræmie for en navngiven forsikringstager
Klassificerer en fysisk persons helbredstilstand eller dødelighedsrisiko for at afgøre, om livsforsikringsdækning tilbydes, eller hvilken præmie der fastsættes
Producerer en prisfastsættelsesbeslutning for ejendomsforsikring baseret på AI-vurderede risikofaktorer, der kan henføres til en bestemt fysisk person

Den afgørende tærskel er den individuelle fysiske persons påvirkning. Aktuariel AI, der anvendes på juridiske enheder — erhvervsansvar, kommerciel fragt, industriel ejendom — udløser ikke Annex III kat. 5(b), medmindre fysiske personer er berørt på en materielt tilsvarende måde. Forsikringsselskaber, der tegner både personlige og erhvervsmæssige forsikringer, skal klassificere hvert AI-system efter den befolkning, det opererer på.

Telematik til motorforsikring og pay-as-you-drive-systemer

Telematikbaserede forsikringsprisfastsættelsessystemer, der indsamler data om kørselsmønstre — hastighed, acceleration, bremseadfærd, kørselstidspunkter — og anvender AI-modeller til at generere en individuel præmie for en navngiven fysisk person, er det paradigmatiske eksempel på højrisiko-AI-brug inden for forsikring. Disse systemer opfylder alle elementer i Annex III kat. 5(b): de vurderer individuelle fysiske personer, de producerer output, der fastlægger adgang til og prisfastsættelse af forsikring, og den AI-drevne individualisering er præcis det, der adskiller dem fra traditionel aktuariel pooling.

Udbydere af telematik-scoringssystemer — hvad enten de er udviklet internt eller licenseret fra en tredjeparts leverandør — skal overholde Art. 9 (risikostyring), Art. 10 (dataforvaltning for trænings- og valideringsdatasæt), Art. 11 sammenholdt med Annex IV (teknisk dokumentation), Art. 12 (logning), Art. 13 (gennemsigtighed), Art. 14 (menneskelig overvågning) og Art. 15 (nøjagtighed, robusthed, cybersikkerhed).

AI til tegning af livs- og sygeforsikring

AI-systemer, der anvendes i livsforsikringstegning til at vurdere levetid eller dødelighedsrisiko for individuelle ansøgere — og som afgør, om dækning tilbydes, og til hvilken præmie — er højrisiko i henhold til Annex III kat. 5(b), når de producerer individualiserede vurderinger for fysiske personer. Dette omfatter AI-systemer, der behandler svar på sundhedsspørgeskemaer, lægejournaler (hvor lovligt tilgængelige) eller datastrømme fra bærbare enheder med henblik på at generere en risikoscore, der påvirker tegningsbeslutninger.

AI til sygeforsikring, der segmenterer individuelle ansøgere efter sundhedsrisikoprofil med henblik på prisfastsættelse eller vurdering af berettigelse, er underlagt samme klassificering. Forsikringsselskaber skal være opmærksomme på skæringspunktet mellem GDPR Art. 9 (helbredsoplysninger som følsomme personoplysninger) og AI Actens Art. 10 om dataforvaltning: træningsdatasæt, der indeholder helbredsoplysninger, kræver et eksplicit retsgrundlag i henhold til GDPR Art. 9(2), og dette retsgrundlag skal dokumenteres i den tekniske dokumentation, som kræves af Annex IV.

AI til skadesopgørelse og -afregning

Klassificeringen af skades-AI afhænger af dens funktionelle rolle i sagsgangen for skadesbeslutninger. To scenarier skal skelnes fra hinanden:

AI, der i væsentlig grad påvirker resultatet af en skadessag for en fysisk person: Når et AI-system vurderer en skade, og dets output direkte medfører reduktion, afvisning eller betinget udbetaling af en forsikringsydelse til en fysisk person — selv om den nominelt er gennemgået af et menneske — er systemet sandsynligvis højrisiko i henhold til Annex III kat. 5(b), fordi det reelt afgør den fysiske persons adgang til forsikringsydelser.
AI, der markerer skader til menneskelig efterforskning: Når AI-outputtet er ét input blandt flere, som en skadebehandler overvejer, og som fører til en selvstændig og substantiel beslutning, og behandleren har myndighedsbeføjelse og information til at afvige fra AI'ens vurdering, er systemet muligvis ikke højrisiko. Denne sondring skal dokumenteres og være operationelt reel, ikke blot nominel.

Svingeldetektering i forsikring

AI-systemer, der anvendes til at opdage potentielt svigagtige skader, befinder sig i et vigtigt grænsetilfælde. Når svingeldetekterings-AI'en udløser en automatisk negativ foranstaltning — suspension af udbetaling, opsigelse af police — der berører en fysisk person uden reel menneskelig gennemgang, er den sandsynligvis højrisiko. Når AI'en alene genererer et flag for svingelrisiko, der derefter undersøges af en specialiseret sagsbehandler med fuld beslutningskompetence, er den muligvis ikke det. Forsikringsselskaber bør detaljeret dokumentere svingeldetekterings-AI-workflowet og vurdere, om den operationelle menneskelige overvågning er substantiel eller blot nominel.

Udbyder versus ansvarlig for anvendelsen i forsikring

Sondring mellem rollerne

EU AI Act pålægger forskellige forpligtelsessæt afhængig af, om en organisation er en udbyder (udvikler og bringer AI i omsætning) eller en ansvarlig for anvendelsen (anvender et tredjeparts AI-system i en professionel sammenhæng). For forsikringsselskaber er denne sondring kommercielt betydningsfuld:

Et forsikringsselskab, der udvikler sit eget telematik-scoringssystem eller aktuarielle prisfastsættelses-AI, er en udbyder i henhold til Art. 3(3) og bærer de fulde udbyderforpligtelser i henhold til Art. 16: kvalitetsstyringssystem, teknisk dokumentation, EU-overensstemmelseserklæring, CE-mærkning, registrering i EU-databasen og overvågning efter markedsføring.
Et forsikringsselskab, der licenserer aktuariel AI-software fra en leverandør, er en ansvarlig for anvendelsen i henhold til Art. 3(4) og bærer forpligtelserne for ansvarlige for anvendelsen i henhold til Art. 26: implementering i overensstemmelse med udbyderens vejledning, menneskelig overvågning, logvedligeholdelse og hændelsesrapportering.
Et forsikringsselskab, der modificerer et licenseret AI-system på måder, der ændrer dets tilsigtede formål — for eksempel ved at anvende en telematikmodel på en forsikringstagerpopulation uden for det validerede anvendelsesområde — kan omklassificeres som udbyder i henhold til Art. 25(1) med de fulde udbyderforpligtelser.

Ansvarlig for anvendelsens due diligence vedrørende aktuariel leverandør-AI

Forsikringsselskaber, der anvender tredjeparts aktuarielle AI-systemer, skal gennemføre struktureret due diligence før og efter idriftsættelse:

Før idriftsættelse: Verificer, at AI-systemet er registreret i EU-databasen for højrisiko-AI i henhold til Art. 49, bærer et CE-mærke og er ledsaget af en EU-overensstemmelseserklæring. Anmod om og gennemgå resuméet af den tekniske dokumentation, herunder nøjagtigheds- og biasmålinger, det validerede anvendelsesområde og erklæringen om det tilsigtede formål.

Kontraktmæssige beskyttelser: Indkøbskontrakter med AI-leverandører bør præcisere: leverandørens forpligtelse til at underrette forsikringsselskabet om væsentlige opdateringer eller omvurderinger; leverandørens forpligtelse til at fremlægge opdaterede data fra overvågning efter markedsføring efter anmodning; og grænserne for det tilladte anvendelsesomfang — med en klar mekanisme for forsikringsselskabet til at anmode om en vurdering af en udvidelse af anvendelsesomfanget frem for at handle ensidigt.

Løbende overvågning: I henhold til Art. 26(5) skal ansvarlige for anvendelsen overvåge ydeevnen af højrisiko-AI-systemer i deres operationelle sammenhæng. For aktuariel AI betyder dette overvågning af modelydeevne op imod faktiske skaderesultater, overvågning af distributionsskift mellem træningspopulationen og den aktive forsikringstagerpopulation samt eskalering af væsentlige afvigelser til leverandøren til undersøgelse.

Samspil med Solvens II, IDD og GDPR

Solvens II — Governance-system og ORSA

Solvens II-direktivets Søjle II-krav etablerer et Governance-system for aktuarielle og risikostyringsfunktioner. Own Risk and Solvency Assessment (ORSA) kræver dokumenteret risikoidentifikation, stresstest og intern modelledelse. Disse krav overlapper i væsentlig grad med EU AI Actens Art. 9 om risikostyringssystem og modelvalideringskomponenterne i Annex IV's tekniske dokumentation.

Forsikringsselskaber bør gennemføre en struktureret gap-analyse for at identificere, hvilke Solvens II-governance-artefakter der kan anvendes til AI Act-overholdelse, og hvilke mangler der fortsat er. Typiske mangler omfatter: AI-specifik bias-testning og vurdering af retfærdighed (der ikke er adresseret i Solvens II); Art. 10 datasætdokumentation for trænings- og valideringsdata (som rækker ud over Solvens II's modelvalideringsomfang); Art. 12 automatisk logning af AI-systemets drift; og udformning af mekanismer for menneskelig overvågning i henhold til Art. 14. Hvor en intern model, godkendt i henhold til Solvens II, inkorporerer AI-komponenter, skal governance-rammen for denne model udvides for at opfylde AI Act-forpligtelserne, inden systemet lovligt kan idriftsættes under højrisikoregime.

Direktivet om forsikringsdistribution — retfærdighed og gennemsigtighed

IDD (EU) 2016/97 kræver, at forsikringsdistribution sker i kundens bedste interesse, med information præsenteret på en forståelig måde. Når AI anvendes i distributionsprocessen — for eksempel på en digital platform, der genererer personaliserede produktanbefalinger eller præmietilbud — er IDD's forpligtelser om retfærdighed og oplysning i overensstemmelse med EU AI Actens Art. 13 om gennemsigtighedskrav. Forsikringsselskaber bør integrere AI Act-oplysningsforpligtelser i IDD-produktoplysningsdokumenter (IPID'er) og centrale informationsdokumenter og sikre, at AI'ens rolle i distributions- eller prisfastsættelsesbeslutningen kommunikeres i et sprog, der er tilgængeligt for forsikringstageren.

GDPR — Følsomme personoplysninger og automatiseret beslutningstagning

GDPR Art. 9 klassificerer helbredsoplysninger, genetiske oplysninger og oplysninger om en persons fysiske eller psykiske helbredstilstand som følsomme personoplysninger, hvis behandling er forbudt uden en specifik undtagelse. Livs- og sygeforsikringsselskaber, der anvender sådanne oplysninger i AI-træning eller scoring, skal identificere og dokumentere et gyldigt retsgrundlag i henhold til Art. 9(2) — oftest udtrykkeligt samtykke i henhold til Art. 9(2)(a) eller en medlemsstatsretlig undtagelse i henhold til Art. 9(2)(b) — for hver datakategori og hvert behandlingsformål.

GDPR Art. 22 begrænser udelukkende automatiserede beslutninger, der producerer juridiske eller tilsvarende væsentlige virkninger for fysiske personer. En AI-tegningsbeslutning, der automatisk afviser en ansøgning om dækning, eller en AI-skadesbeslutning, der automatisk reducerer en ydelsesudmåling, uden menneskelig involvering udgør udelukkende automatiseret beslutningstagning i henhold til Art. 22. Den registrerede har ret til: menneskelig gennemgang af beslutningen; en forklaring på de vigtigste faktorer, der påvirker den automatiserede beslutning; og ret til at anfægte resultatet. Forsikringsselskaber skal indlejre disse rettigheder i deres kunderelaterede processer og sikre, at de interne gengangsmekanismer er substantielt funktionsdygtige.

EIOPAs AI-retningslinjer

EIOPAs principbaserede retningslinjer om AI-brug i forsikring (2021) etablerede sektorforventninger vedrørende gennemsigtighed, ikke-diskrimination, datakvalitet og modelforklarbarhed forud for AI Actens ikrafttræden. EIOPA er ved at udvikle sektorspecifik implementeringsvejledning til EU AI Act, og forsikringsselskaber bør nøje følge EIOPAs udgivelser. Nationale tilsynsmyndigheder — ACPR (Frankrig), BaFin (Tyskland), IVASS (Italien), DNB (Nederlandene) — vil implementere tilsynsforventninger i overensstemmelse med EIOPAs vejledning, og sektorspecifikke spørgsmål-og-svar-publikationer forventes i løbet af lovens implementeringsperiode.

Håndhævelse — EIOPA og nationale tilsynsmyndigheder

EIOPAs tilsynsrolle

EIOPA (Den Europæiske Tilsynsmyndighed for Forsikrings- og Arbejdsmarkedspensionsordninger) har ikke direkte håndhævelseskompetence i henhold til EU AI Act, som udpeger nationale tilsynsmyndigheder som kompetente myndigheder i henhold til Art. 70. EIOPA koordinerer imidlertid tilsynsmæssig konvergens på tværs af EU's forsikringsregulatorer og udsteder bindende og ikke-bindende tekniske standarder. EIOPAs AI-governance-forventninger — udtrykt gennem retningslinjer, udtalelser og tilsynserklæringer — vil forme, hvordan nationale tilsynsmyndigheder implementerer AI Act-kravene i forsikringssammenhæng. Forsikringsselskaber bør betragte EIOPAs udgivelser som autoritativ sektorvejledning, selv om de ikke er juridisk bindende.

Nationale forsikringstilsynsmyndigheder som kompetente AI-myndigheder

Nationale forsikringstilsynsmyndigheder på de store EU-markeder er positioneret til at udøve kompetente myndighedsfunktioner i henhold til AI Act over forsikrings-AI-systemer:

ACPR (Autorité de contrôle prudentiel et de résolution) i Frankrig, som har offentliggjort tilsynsforventninger til AI i finansielle tjenesteydelser
BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) i Tyskland, med en etableret erfaringsbase inden for tilsyn med algoritmisk beslutningstagning
IVASS (Istituto per la Vigilanza sulle Assicurazioni) i Italien
DNB (De Nederlandsche Bank) i Nederlandene

Disse myndigheder har beføjelser i henhold til Art. 74 og Art. 75 til at anmode om adgang til træningsdata, teknisk dokumentation og logfiler; til at gennemføre inspektioner på stedet; til at påbyde korrigerende foranstaltninger; og til at anbefale bøder for manglende overholdelse. Bøder for at bringe ikke-overensstemmende højrisiko-AI i omsætning kan nå op på 30 mio. EUR eller 6 % af den globale årlige omsætning, alt efter hvilken beløb er højest.

Dobbelt tilsyn: AI Act og sektorregulering

Forsikringstilsynsmyndigheder, der gennemfører AI Act-håndhævelse, vil gøre dette i rammerne af deres bredere tilsyns- og adfærdsmandat. En AI Act-undersøgelse af en fordomsfuld aktuariel prisfastsættelsesmodel kan simultant berøre Solvens II Søjle III-rapporteringsforpligtelser, IDD-adfærdskrav og GDPR-håndhævelse af datatilsynsmyndigheden. Forsikringsselskaber bør forvente, at tilsynsinterventioner vil være tværfunktionelle og indrette deres efterlevelsesprogrammer derefter.

Efterlevelseskøreplan for forsikringsselskaber

Trin 1: AI-systeminventar og -klassificering

Gennemfør et samlet inventar over alle AI-systemer, der anvendes til: præmiefastsættelse; accept eller afvisning ved tegning; skadesopgørelse eller -udmåling; svingeldetektering; kundernes risikoscoring; samt distribution eller produktanbefaling. For hvert system vurderes, om det producerer output, der fastlægger eller i væsentlig grad påvirker resultater for individuelle fysiske personer. Systemer, der opfylder dette kriterium, kræver en klassificeringsanalyse op imod Annex III kat. 5(b).

Trin 2: Fastlæggelse af udbyder/ansvarlig for anvendelsen

For hvert højrisiko-AI-system fastlægges, om forsikringsselskabet er udbyder, ansvarlig for anvendelsen, eller — afgørende — om anvendelse uden for leverandørens validerede anvendelsesområde har udløst omklassificering til udbyder. Involver juridisk rådgivning til at vurdere grænsetilfælde, navnlig hvor interne data eller forsikringstagerpopulationer er anvendt til at finjustere eller udvide en licenseret model.

Trin 3: Gap-analyse op imod AI Act-forpligtelser

Kortlæg eksisterende Solvens II-governance-artefakter, ORSA-dokumentation og interne modelvalideringsprocesser op imod AI Act-kravene i henhold til Art. 9 (risikostyring), Art. 10 (dataforvaltning), Art. 11 og Annex IV (teknisk dokumentation), Art. 12 (logning), Art. 13 (gennemsigtighed), Art. 14 (menneskelig overvågning) og Art. 15 (nøjagtighed, robusthed, cybersikkerhed). Dokumenter identificerede mangler og tildel ansvar for afhjælpning.

Trin 4: Dataforvaltning og GDPR-tilpasning

For hvert højrisiko-AI-system auditeres trænings- og valideringsdatasæt. Dokumenter dataoprindelsen, indsamlingsmetoderne, repræsentativiteten på tværs af relevante demografiske grupper af forsikringstagere og kendte begrænsninger. Sikr, at GDPR-retsgrundlag er på plads for alle personoplysninger og, hvor det er relevant, for følsomme personoplysninger. Integrer Art. 10-dokumentation i den tekniske fil i henhold til Annex IV.

Trin 5: Udformning af mekanismer for menneskelig overvågning

Udform operationelt realistiske mekanismer for menneskelig overvågning for hver højrisiko-AI-anvendelse. For tegnings-AI betyder dette, at en kvalificeret tegner har information, myndighedsbeføjelse og tid i arbejdsgangen til at gennemgå og afvige fra AI'ens anbefaling, inden den berører forsikringstageren. For skades-AI betyder det, at en skadebehandler har reel gengangsbeføjelse — ikke en nominel godkendelsesfunktion. Dokumenter overvågningsdesignet og medtag det i den tekniske dokumentation.

Trin 6: Leverandørens due diligence og kontraktremediation

For tredjeparts aktuarielle AI-systemer implementeres den ovenfor beskrevne pre-deployment due diligence-proces, og eksisterende leverandørkontrakter gennemgås. Hvor kontrakter mangler bestemmelser om, at leverandøren skal opretholde AI Act-efterlevelsesdokumentation, underrette forsikringsselskabet om væsentlige ændringer og tillade audit af AI-systemets ydeevne, afhjælpes dette ved kontraktændring eller genforhandling. Etabler interne procedurer for overvågning af AI-systemets ydeevne i den aktive forsikringstagerpopulation og rapportering af væsentlige afvigelser til leverandører og, hvor det kræves, til tilsynsmyndighederne.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-20 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Er vores prisfastsættelsesalgoritme for motorforsikring højrisiko i henhold til EU AI Act?

En prisfastsættelsesalgoritme for motorforsikring er sandsynligvis højrisiko i henhold til Annex III, punkt 5(b), hvis den vurderer kreditværdighed eller risikoprofil for individuelle fysiske personer med henblik på at fastsætte præmieniveauer eller afgøre ret til dækning. Telematikbaserede pay-as-you-drive-systemer, der scorer den enkelte bilists adfærd og bruger denne score til at fastsætte præmier for navngivne forsikringstagere, falder klart inden for denne kategori. Traditionelle aktuarielle pooling-modeller, der placerer enkeltpersoner i aktuarielle klasser uden AI-drevet individuel scoring, befinder sig i en mere uklar gråzone, men enhver AI-komponent, der genererer en individuel score, som anvendes til at prisfastsætte eller acceptere en fysisk persons police, bør vurderes i henhold til Art. 6(2) sammenholdt med Annex III kat. 5(b).

Dækker Solvens II's ORSA kravene til risikostyringssystemet i AI Act?

Nej, men der er en betydelig overlapning, som bør udnyttes. EU AI Acts Art. 9 kræver et risikostyringssystem, der identificerer, analyserer og mindsker forudsigelige risici i hele AI-systemets livscyklus. Solvens II's Søjle II-krav om Own Risk and Solvency Assessment (ORSA) og Governance-systemet kræver dokumenteret risikoidentifikation og intern modelledelse af aktuarielle og prisfastsættelsesprocesser. De governance-strukturer, dokumenterede risikovurderinger og modelvalideringsprocedurer, der er udviklet til Solvens II, kan danne grundlag for AI Act-overholdelse, men skal suppleres for at imødekomme AI-specifikke forpligtelser: bias-testning, dataforvaltning i henhold til Art. 10, automatisk logning i henhold til Art. 12 og menneskelig overvågning i henhold til Art. 14. En gap-analyse op imod Annex IV's krav til teknisk dokumentation er uundværlig.

Hvad skal forsikringsselskaber oplyse forsikringstagere om AI-brug i tegnings- eller prisfastsættelsesbeslutninger?

Når et højrisiko-AI-system anvendes til at træffe eller i væsentlig grad påvirke en beslutning, der berører en fysisk person — herunder accept, afvisning eller prisfastsættelse af forsikringsdækning — skal den ansvarlige for anvendelsen give den fysiske person meningsfulde oplysninger i henhold til Art. 26(6) i EU AI Act og, i det omfang automatiseret beslutningstagning i henhold til Art. 22 i GDPR finder anvendelse, gælder de registreredes rettigheder i henhold til Art. 13–15 og 22 i GDPR. Forsikringstagere har ret til en forklaring på logikken bag automatiserede beslutninger, ret til at anmode om menneskelig gennemgang og ret til at anfægte resultatet. Forsikringsselskaber, der anvender AI-tegningsteknik, skal derfor udforme oplysningsprocedurer over for kunderne og implementere menneskelige gennemgangsmekanismer, der er reelt tilgængelige — og ikke betinget af specialiseret fagviden.

Er AI-systemer til skadessvindeldetektion højrisiko?

Ikke automatisk. AI til svingeldetektering, der markerer skader til menneskelig efterforskning — og hvor den menneskelige sagsbehandler træffer den endelige beslutning om udbetaling, reducering eller afvisning af et krav — opfylder måske ikke tærsklen for højrisikoclassificering i henhold til Annex III kat. 5(b), fordi AI'en ikke selvstændigt afgør adgang til forsikring for fysiske personer. Hvis svingeldetekteringssystemets output imidlertid direkte udløser en automatisk reduktion, suspension eller afvisning af en skadesudmåling til en fysisk person uden en reel menneskelig gennemgang, er systemet sandsynligvis højrisiko. Forsikringsselskaber bør nøjagtigt dokumentere, hvordan AI-output fra svingeldetektering anvendes i sagsbehandlingsworkflowet, og sikre, at der sker en meningsfuld menneskelig overvågning, inden en fysisk person fratages en ydelse.

Hvilke dokumenter bør vi anmode vores aktuarielle softwareleverandør om?

Forsikringsselskaber, der anvender tredjepartsbaserede aktuarielle AI-værktøjer, bør kontraktmæssigt kræve følgende: EU-overensstemmelseserklæringen og CE-mærkningsdokumentation for højrisikosystemer; teknisk dokumentation som krævet af Annex IV, herunder en erklæring om den tilsigtede anvendelse, beskrivelser af træningsdatasæt, validerings- og testresultater (herunder bias- og nøjagtighedsmålinger på tværs af demografiske undergrupper) samt risikostyringsfilen; brugervejledning henvendt til den ansvarlige for anvendelsen; data fra overvågning efter markedsføring samt hændelsesrapporter; og de parametre og betingelser, inden for hvilke systemet er valideret, herunder eventuelle begrænsninger for use cases eller forsikringstagerpopulationer. Anvendelse uden for rammerne af leverandørens brugervejledning kan omklassificere forsikringsselskabet som udbyder med fulde udbyderforpligtelser i henhold til Art. 16.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.