Vakuutusala — EU:n tekoälylain noudattaminen

EU:n tekoälylain velvoitteet vakuutusalan tekoälylle: aktuaarimallit, merkintä, vahingonarviointi ja luonnollisille henkilöille suunnattu hinnoittelutekoäly. Kattaa Annex III:n kohdan 5(b) ja vuorovaikutuksen Solvency II:n kanssa.

Vakuutusala ja EU:n tekoälylaki — aktuaarisektorin haaste

EU:n tekoälylaki (asetus (EU) 2024/1689) asettaa raskaimmat vaatimustenmukaisuusvelvoitteet tekoälyjärjestelmille, jotka vaikuttavat luonnollisten henkilöiden mahdollisuuteen saada välttämättömiä palveluita ja rahoitustuotteita. Vakuutusala on tämän huolen ytimessä. Tekoälyjärjestelmät, jotka määrittävät, voiko luonnollinen henkilö saada moottoriajoneuvovakuutuksen, sairausvakuutuksen, henkivakuutuksen tai omaisuusvakuutuksen — ja millä hinnalla — ovat monissa konfiguraatioissaan korkeariskisiä tekoälyjärjestelmiä lain Annex III:n kohdan 5(b) nojalla.

Vakuutusalan keskeinen haaste on aktuaarinen. Yli vuosisadan ajan vakuutushinnoittelu on perustunut riskien tilastolliseen mallintamiseen väestökohorteissa. EU:n tekoälylaki ei kiellä aktuaarista eriyttämistä, mutta se asettaa merkittäviä velvoitteita tekoälyjärjestelmille, joiden avulla tällainen eriyttäminen toteutetaan, kun nämä järjestelmät toimivat yksittäisen luonnollisen henkilön tasolla. Siirtyminen perinteisistä poolausmalleista tekoälypohjaiseen yksilölliseen riskipisteyttämiseen — jota telematiikka, terveysdatavirrat ja käyttäytymisanalytiikka mahdollistavat — on juuri se, mikä laukaisee lain korkeariskiä koskevan sääntelyn.

EU:ssa toimivien vakuutusyhtiöiden on siksi tehtävä järjestelmällinen luokitteluarviointi: mitkä niiden tekoälyjärjestelmistä tuottavat yksilöllisiä tuloksia, jotka määrittävät tai merkittävästi vaikuttavat luonnollisia henkilöitä koskeviin vakuutusturvan päätöksiin? Tämä luokitteluarviointi ei ole pelkkä vaatimustenmukaisuuden muodollisuus. Sen tulos määrittää, onko vakuutusyhtiöllä käyttöönottajana Art. 26:n nojalla (tai tarjoajana Art. 16:n nojalla) velvoitteita tiedonhallinnan, teknisen dokumentaation, ihmisvalvonnan, vaatimustenmukaisuusarvioinnin ja EU:n korkeariskisten tekoälyjärjestelmien tietokantaan rekisteröinnin suhteen.

Lain soveltaminen vakuutusalalle on entistä monimutkaisempaa alan olemassa olevan sääntelytiheyden vuoksi. Solvency II -direktiivi (2009/138/EY), vakuutusten jakeludirektiiivi (IDD) (EU) 2016/97, GDPR sekä EIOPA:n periaatepohjaisia tekoälyohjeita (2021) asettavat kukin vaatimuksia aktuaariselle mallinnukselle, asiakkaiden kohtelulle ja tietojen käytölle. Nämä viitekehykset ovat päällekkäisiä EU:n tekoälylain velvoitteiden kanssa, mutta eivät korvaa niitä. Vaatimustenmukaisuusohjelmien on käsiteltävä kaikkia samanaikaisesti.

Korkeariskiset tekoälyn käyttötapaukset vakuutusalalla

Luonnollisille henkilöille suunnatut aktuaariset hinnoittelumallit

EU:n tekoälylain Annex III:n kohta 5(b) luokittelee korkeariskisiksi tekoälyjärjestelmät, joita käytetään luonnollisten henkilöiden luottokelpoisuuden arviointiin tai luonnollisten henkilöiden luokitteluun riskiprofiililtaan vakuutuspalveluiden saatavuuden tarkoituksessa. Tämä kattaa aktuaariset tekoälyjärjestelmät, jotka:

Tuottavat yksilöllisen riskiluokituksen, jota käytetään nimetyn vakuutuksenottajan moottoriajoneuvovakuutusmaksun asettamiseen
Luokittelevat luonnollisen henkilön terveydentilan tai kuolleisuusriskin henkivakuutuksen kattavuuden kelpoisuuden tai vakuutusmaksun määrittämiseksi
Tuottavat omaisuusvakuutuksen hinnoittelupäätöksen tekoälypohjaisen arvion perusteella tiettyyn luonnolliseen henkilöön liitetyistä riskitekijöistä

Ratkaiseva kynnys on yksilöllinen vaikutus luonnolliseen henkilöön. Aktuaariset tekoälyjärjestelmät, jotka kohdistuvat oikeushenkilöihin — yritysvastuu, kaupallinen rahti, teollisuuskiinteistöt — eivät laukaise Annex III:n kohdan 5(b) soveltamista, ellei luonnollisiin henkilöihin kohdisteta olennaisesti vastaavaa vaikutusta. Sekä henkilö- että yritysasiakkaita palvelevien vakuutusyhtiöiden on luokiteltava jokainen tekoälyjärjestelmä sen mukaan, mihin väestöön se kohdistuu.

Moottoriajoneuvovakuutuksen telematiikka ja pay-as-you-drive-järjestelmät

Telematiikkaan perustuvat vakuutushinnoittelujärjestelmät, jotka keräävät ajokäyttäytymisdataa — nopeus, kiihtyvyys, jarrutustottumukset, päivittäinen käyttöaika — ja käyttävät tekoälymalleja tuottaakseen yksilöllisen vakuutusmaksun nimetylle luonnolliselle henkilölle, ovat paradigmaattinen esimerkki korkeariskisestä vakuutusalan tekoälykäyttötapauksesta. Nämä järjestelmät täyttävät kaikki Annex III:n kohdan 5(b) edellytykset: ne arvioivat yksittäisiä luonnollisia henkilöitä, ne tuottavat tuloksia, jotka määrittävät pääsyn vakuutukseen ja sen hinnoittelun, ja niiden tekoälypohjainen yksilöllistäminen on juuri se, mikä erottaa ne perinteisistä aktuaarisista poolausmalleista.

Telematiikka-pisteytysmoottoreiden tarjoajien — olipa järjestelmä kehitetty talon sisäisesti tai lisensoitu kolmannelta osapuolelta — on noudatettava Art. 9:ää (riskienhallinta), Art. 10:ää (tiedonhallinta koulutus- ja validointiaineistoille), Art. 11:ää luettuna yhdessä Annex IV:n kanssa (tekninen dokumentaatio), Art. 12:ää (lokikirjaus), Art. 13:ää (avoimuus), Art. 14:ää (ihmisvalvonta) ja Art. 15:ää (tarkkuus, toimintavarmuus, kyberturvallisuus).

Henki- ja sairausvakuutuksen vakuutusmerkintätekoäly

Tekoälyjärjestelmät, joita käytetään henkivakuutuksen merkinnässä elinikä- tai kuolleisuusriskin arvioimiseksi yksittäisiltä hakijoilta — määrittäen, tarjotaanko vakuutusturva ja millä maksulla — ovat korkeariskisiä Annex III:n kohdan 5(b) nojalla, mikäli ne tuottavat yksilöllisiä arvioita luonnollisille henkilöille. Tähän kuuluvat tekoälyjärjestelmät, jotka käsittelevät terveyskyselylomakevastauksia, lääketieteellisiä asiakirjoja (laillisesti käytettynä) tai puettavan teknologian dataviroja tuottaakseen riskiluokituksen, joka vaikuttaa vakuutusmerkintäpäätöksiin.

Sairausvakuutustekoäly, joka segmentoi yksittäisiä hakijoita terveysriskiprofiilin perusteella hinnoittelua tai kelpoisuuden määrittämistä varten, on saman luokittelun alainen. Vakuutusyhtiöiden on kiinnitettävä huomiota GDPR:n Art. 9:n (terveysdata erityisluokkaisena datana) ja tekoälylain Art. 10:n tiedonhallintavaatimusten väliseen yhtymäkohtaan: terveystietoja sisältävät koulutusaineistot edellyttävät nimenomaista GDPR:n Art. 9(2):n mukaista oikeusperustaa, ja tämä perusta on dokumentoitava Annex IV:n edellyttämässä teknisessä dokumentaatiossa.

Vahingonarviointi- ja korvaustekoäly

Vahingonkorvaustekoälyn luokittelu riippuu sen toiminnallisesta roolista korvauksentekoprosessissa. Kaksi skenaariota on erotettava toisistaan:

Tekoäly, joka merkittävästi vaikuttaa luonnollista henkilöä koskevaan korvaustulemaan: kun tekoälyjärjestelmä arvioi korvausvaatimuksen ja sen tulos johtaa suoraan vakuutusetuuden alentamiseen, hylkäämiseen tai ehdolliseen maksamiseen luonnolliselle henkilölle — vaikka sitä nimellisesti tarkastaisi ihminen — järjestelmä on todennäköisesti korkeariskinen Annex III:n kohdan 5(b) nojalla, koska se tosiasiassa määrittää luonnollisen henkilön pääsyn vakuutusetuuksiin.
Tekoäly, joka merkitsee korvausvaatimukset ihmistutkimukseen: kun tekoälytulos on yksi monista syötteistä, joita korvausten käsittelijä harkitsee tehdessään itsenäisen asiallisen päätöksen, ja käsittelijällä on valtuudet ja tiedot poiketa tekoälyn arviosta, järjestelmä ei välttämättä ole korkeariskinen. Tämä erottelu on dokumentoitava ja sen on oltava operatiivisesti todellinen, ei nimellinen.

Vakuutuspetostentunnistus

Petollisten korvausvaatimusten tunnistamiseen käytettävät tekoälyjärjestelmät ovat tärkeällä rajalinjalla. Kun petostentunnistustekoäly käynnistää automaattisen haitallisen toimen — maksun keskeytyksen, vakuutuksen peruutuksen — joka koskee luonnollista henkilöä ilman asiallista ihmistarkistusta, se on todennäköisesti korkeariskinen. Kun tekoäly ainoastaan tuottaa petosriskimerkinnän, jota erikoistunut käsittelijä sen jälkeen tutkii säilyttäen täyden päätösvallan, se ei välttämättä ole korkeariskinen. Vakuutusyhtiöiden on dokumentoitava petosanalyysitekoälyn työnkulku yksityiskohtaisesti ja arvioitava, onko operatiivinen ihmisvalvonta asiallista vai nimellisistä.

Tarjoaja vs. käyttöönottaja vakuutusalalla

Roolien erottelu

EU:n tekoälylaki asettaa erilaisia velvoitekokonaisuuksia sen mukaan, onko organisaatio tarjoaja (kehittää ja saattaa tekoälyn markkinoille) vai käyttöönottaja (käyttää kolmannen osapuolen tekoälyjärjestelmää ammatillisessa yhteydessä). Vakuutusyhtiöiden kannalta tämä erottelu on kaupallisesti merkittävä:

Vakuutusyhtiö, joka kehittää oman telematiikka-pisteytysmoottorensa tai aktuaarisen hinnoittelutekoälynsä, on tarjoaja Art. 3(3):n nojalla ja sillä on täydet tarjoajavelvoitteet Art. 16:n nojalla: laadunhallintajärjestelmä, tekninen dokumentaatio, EU-vaatimustenmukaisuusvakuutus, CE-merkintä, rekisteröinti EU:n tietokantaan ja jälkimarkkinoinnin seuranta.
Vakuutusyhtiö, joka lisensoi aktuaarisia tekoälyohjelmistoja toimittajalta, on käyttöönottaja Art. 3(4):n nojalla ja sillä on käyttöönottajan velvoitteet Art. 26:n nojalla: käyttöönotto tarjoajan ohjeiden mukaisesti, ihmisvalvonta, lokien ylläpito ja tapauksista ilmoittaminen.
Vakuutusyhtiö, joka muokkaa lisensoitua tekoälyjärjestelmää tavoin, jotka muuttavat sen käyttötarkoitusta — esimerkiksi soveltamalla telematiikkamallia vakuutuksenottajapopulaatioon validoidun soveltamisalan ulkopuolella — voidaan luokitella uudelleen tarjoajaksi Art. 25(1):n nojalla, jolloin sille tulevat täydet tarjoajavelvoitteet.

Käyttöönottajan huolellisuusvelvoite aktuaaristen toimittajien tekoälylle

Kolmansien osapuolten aktuaarisia tekoälyjärjestelmiä käyttöönottavien vakuutusyhtiöiden on harjoitettava jäsenneltyä huolellisuusvelvoitetta ennen käyttöönottoa ja sen jälkeen:

Ennen käyttöönottoa: Varmista, että tekoälyjärjestelmä on rekisteröity korkeariskisten tekoälyjärjestelmien EU:n tietokantaan Art. 49:n nojalla, siinä on CE-merkintä ja sen mukana on EU-vaatimustenmukaisuusvakuutus. Pyydä ja tarkistele teknisen dokumentaation yhteenveto, mukaan lukien tarkkuus- ja puolueellisuusmittarit, validoitu käyttötapauksen soveltamisala sekä käyttötarkoitusta koskeva lausunto.

Sopimussuoja: Tekoälytoimittajien kanssa tehtävissä hankintasopimuksissa olisi määriteltävä: toimittajan velvoite ilmoittaa vakuutusyhtiölle merkittävistä päivityksistä tai uudelleenarvioineista; toimittajan velvoite toimittaa päivitettyä jälkimarkkinoinnin seurantadataa pyydettäessä; sekä sallitun käyttöönoton soveltamisalan rajat — selkeän mekanismin kera, jolla vakuutusyhtiö voi pyytää soveltamisalan laajentumisen arviointia sen sijaan, että toimisi yksipuolisesti.

Jatkuva seuranta: Art. 26(5):n nojalla käyttöönottajien on seurattava korkeariskisten tekoälyjärjestelmien suorituskykyä niiden operatiivisessa yhteydessä. Aktuaariselle tekoälylle tämä tarkoittaa mallin suorituskyvyn seurantaa toteutuneiden vahinkolukujen suhteen, jakaumamuutoksen seurantaa koulutuspopulaation ja elävän vakuutuksenottajapopulaation välillä sekä olennaisten poikkeamien eskalointia toimittajalle selvitettäväksi.

Vuorovaikutus Solvency II:n, IDD:n ja GDPR:n kanssa

Solvency II — hallintojärjestelmä ja ORSA

Solvency II -direktiivin Pillar II -vaatimukset luovat hallintojärjestelmän aktuaarisille ja riskienhallintafunktioille. Oma riski- ja vakavaraisuusarvio (ORSA) edellyttää dokumentoitua riskien tunnistamista, stressitestausta ja sisäisten mallien hallintoa. Nämä vaatimukset ovat huomattavasti päällekkäisiä EU:n tekoälylain Art. 9:n riskienhallintajärjestelmän ja Annex IV:n teknisen dokumentaation mallien validointikomponenttien kanssa.

Vakuutusyhtiöiden tulisi tehdä jäsennelty puuteanalyysi tunnistamaan, mitä Solvency II:n hallinnollisia artefakteja voidaan hyödyntää tekoälylain noudattamisessa ja mitkä puutteet jäävät. Keskeiset puutteet ovat tyypillisesti: tekoälyspesifinen puolueellisuustestaus ja oikeudenmukaisuusarviointi (ei käsitelty Solvency II:ssa); Art. 10:n mukainen tietoaineiston dokumentointi koulutus- ja validointidatalle (joka ulottuu Solvency II:n mallinvalidoinnin soveltamisalan ulkopuolelle); Art. 12:n mukainen tekoälyjärjestelmän toiminnan automaattinen lokikirjaus; sekä Art. 14:n mukainen ihmisvalvontamekanismin suunnittelu. Kun Solvency II:n nojalla hyväksytty sisäinen malli sisältää tekoälykomponentteja, kyseisen mallin hallintokehystä on laajennettava täyttämään tekoälylain velvoitteet ennen kuin järjestelmä voidaan laillisesti ottaa käyttöön korkeariskisen järjestelmän sääntelyn puitteissa.

Vakuutusten jakeludirektiivi — oikeudenmukaisuus ja avoimuus

IDD (EU) 2016/97 edellyttää, että vakuutusten jakelu toteutetaan asiakkaan parhaan edun mukaisesti ja tiedot esitetään ymmärrettävällä tavalla. Kun tekoälyä käytetään jakeluprosessissa — esimerkiksi digitaalisella alustalla, joka tuottaa personoituja tuotesuosituksia tai vakuutusmaksutarjouksia — IDD:n oikeudenmukaisuus- ja tiedonantovelvoitteet vastaavat EU:n tekoälylain Art. 13:n avoimuusvaatimuksia. Vakuutusyhtiöiden tulisi integroida tekoälylain tiedonantovelvoitteet IDD:n tuotetietoasiakirjoihin (IPID) ja avaintietoasiakirjoihin varmistaen, että tekoälyn rooli jakelu- tai hinnoittelupäätöksessä viestitään vakuutuksenottajalle ymmärrettävässä muodossa.

GDPR — erityisluokkaiset tiedot ja automatisoitu päätöksenteko

GDPR:n Art. 9 luokittelee terveystiedot, geneettisen tiedon ja henkilön fyysiseen tai mielenterveyteen liittyvät tiedot erityisluokkaisiksi tiedoiksi, joiden käsittely on kielletty ilman erityistä poikkeusta. Henki- ja sairausvakuuttajien, jotka käyttävät tällaisia tietoja tekoälyn kouluttamisessa tai pisteyttämisessä, on tunnistettava ja dokumentoitava pätevä Art. 9(2):n mukainen oikeusperusta — useimmiten nimenomainen suostumus Art. 9(2)(a):n nojalla tai jäsenvaltion lainsäädäntöön perustuva poikkeus Art. 9(2)(b):n nojalla — jokaiselle tietoluokalle ja käsittelytarkoitukselle.

GDPR:n Art. 22 rajoittaa yksinomaan automatisoituja päätöksiä, jotka tuottavat oikeudellisia tai vastaavia merkittäviä vaikutuksia luonnollisille henkilöille. Tekoälypohjainen vakuutusmerkintäpäätös, joka automaattisesti hylkää vakuutushakemuksen, tai tekoälypohjainen korvausoikeus päätös, joka automaattisesti alentaa etuusmaksua ilman ihmisen osallistumista, muodostaa Art. 22:n mukaisen yksinomaan automatisoidun päätöksenteon. Rekisteröidyllä on oikeus: päätöksen ihmistarkistukseen; selitykseen automatisoidun päätöksen keskeisistä vaikuttavista tekijöistä; sekä oikeus riitauttaa tulos. Vakuutusyhtiöiden on rakennettava nämä oikeudet asiakkaille suunnattuihin prosesseihinsa ja varmistettava, että sisäiset tarkistusmekanismit ovat asiallisesti toiminnallisia.

EIOPA:n tekoälyohjeet

EIOPA:n periaatepohjaiset ohjeet tekoälyn käytöstä vakuutuksissa (2021) loivat alakohtaiset odotukset avoimuuden, syrjimättömyyden, tietolaadun ja mallien selitettävyyden suhteen ennen tekoälylain voimaantuloa. EIOPA kehittää alakohtaista täytäntöönpano-ohjausta EU:n tekoälylaille, ja vakuutusyhtiöiden on seurattava EIOPA:n tuotoksia tarkasti. Kansalliset valvontaviranomaiset — ACPR (Ranska), BaFin (Saksa), IVASS (Italia), DNB (Alankomaat) — toteuttavat valvontaodotukset EIOPA:n ohjauksen mukaisesti, ja alakohtaisia kysymys- ja vastausjulkaisuja odotetaan lain täytäntöönpanokauden aikana.

Täytäntöönpano — EIOPA ja kansalliset valvontaviranomaiset

EIOPA:n valvontarooli

EIOPA (Euroopan vakuutus- ja lisäeläkeviranomainen) ei ole suoraa täytäntöönpanovaltuutta EU:n tekoälylain nojalla, sillä laki nimeää kansalliset valvontaviranomaiset toimivaltaisiksi viranomaisiksi Art. 70:n nojalla. EIOPA koordinoi kuitenkin valvonnan lähentymistä EU:n vakuutusvalvojien kesken ja antaa sitovia ja ei-sitovia teknisiä standardeja. EIOPA:n tekoälyhallintoa koskevat odotukset — jotka on ilmaistu ohjeiden, lausuntojen ja valvontatiedonantojen kautta — muokkaavat tapaa, jolla kansalliset valvontaviranomaiset toteuttavat tekoälylain vaatimukset vakuutusalan yhteydessä. Vakuutusyhtiöiden on kohdeltava EIOPA:n tuotoksia auktoritatiivisena alakohtaisena ohjauksena siinäkin tapauksessa, etteivät ne ole oikeudellisesti sitovia.

Kansalliset vakuutusvalvojat tekoälylain toimivaltaisina viranomaisina

Suurten EU-markkinoiden kansalliset vakuutusvalvojat ovat asemoituneita käyttämään tekoälylain mukaisia toimivaltaisen viranomaisen tehtäviä vakuutusalan tekoälyjärjestelmien osalta:

ACPR (Autorité de contrôle prudentiel et de résolution) Ranskassa, joka on julkaissut rahoituspalveluiden tekoälyä koskevat valvontaodotukset
BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) Saksassa, jolla on vakiintunut kokemus algoritmisen päätöksenteon valvonnassa
IVASS (Istituto per la Vigilanza sulle Assicurazioni) Italiassa
DNB (De Nederlandsche Bank) Alankomaissa

Näillä viranomaisilla on valtuudet Art. 74:n ja Art. 75:n nojalla pyytää pääsyä koulutusaineistoihin, tekniseen dokumentaatioon ja lokeihin; suorittaa tarkastuksia paikan päällä; määrätä korjaavia toimenpiteitä; sekä suositella taloudellisia seuraamuksia vaatimustenvastaisuudesta. Sakot ei-vaatimusten mukaisten korkeariskisten tekoälyjärjestelmien markkinoille saattamisesta voivat nousta 30 miljoonaan euroon tai 6 prosenttiin maailmanlaajuisesta vuosiliikevaihdosta, riippuen siitä, kumpi on suurempi.

Kaksoisvalvonta: tekoälylaki ja alakohtainen sääntely

Tekoälylain täytäntöönpanoa harjoittavat vakuutusvalvojat tekevät sen laajempien vakavaraisuus- ja menettelytapamandaattiensa yhteydessä. Tekoälylain tutkinta puolueellisesta aktuaarisesta hinnoittelumallista saattaa samanaikaisesti koskea Solvency II:n Pillar III -raportointivelvoitteita, IDD:n menettelytapavaatimuksia ja tietosuojaviranomaisen GDPR-täytäntöönpanoa. Vakuutusyhtiöiden on oletettava, että valvontainterventiot ovat poikkifunktionaalisia ja suunniteltava vaatimustenmukaisuusohjelmansa sen mukaisesti.

Vaatimustenmukaisuuden tiekartta vakuutusyhtiöille

Vaihe 1: Tekoälyjärjestelmien inventaario ja luokittelu

Tehdään kattava inventaario kaikista tekoälyjärjestelmistä, joita käytetään: vakuutusmaksuhinnoittelussa; vakuutusmerkinnän hyväksymisessä tai hylkäämisessä; vahingonarvioinnissa tai korvauksenmaksussa; petostentunnistuksessa; asiakasriskipisteyttämisessä; sekä jakelussa tai tuotesuosituksissa. Arvioidaan kunkin järjestelmän kohdalla, tuottaako se tuloksia, jotka määrittävät tai merkittävästi vaikuttavat yksittäisten luonnollisten henkilöiden tulemiin. Tämän kynnyksen täyttävät järjestelmät edellyttävät luokitteluarviointia Annex III:n kohdan 5(b) suhteen.

Vaihe 2: Tarjoaja/käyttöönottaja-määritys

Määritetään kunkin korkeariskisen tekoälyjärjestelmän osalta, onko vakuutusyhtiö tarjoaja, käyttöönottaja vai — keskeisesti — onko käyttö toimittajan validoidun soveltamisalan ulkopuolella käynnistänyt uudelleenluokittelun tarjoajaksi. Pyydetään oikeudellista neuvontaa rajalinjan konfiguraatioihin, erityisesti tapauksissa, joissa talon sisäistä dataa tai vakuutuksenottajapopulaatioita on käytetty lisensoituun malliin hienosäätöön tai laajentamiseen.

Vaihe 3: Puuteanalyysi tekoälylain velvoitteita vasten

Kartoitetaan olemassa olevat Solvency II:n hallinnolliset artefaktit, ORSA-dokumentaatio ja sisäisten mallien validointiprosessit suhteessa tekoälylain vaatimuksiin Art. 9:n (riskienhallinta), Art. 10:n (tiedonhallinta), Art. 11:n ja Annex IV:n (tekninen dokumentaatio), Art. 12:n (lokikirjaus), Art. 13:n (avoimuus), Art. 14:n (ihmisvalvonta) ja Art. 15:n (tarkkuus, toimintavarmuus, kyberturvallisuus) osalta. Dokumentoidaan tunnistetut puutteet ja osoitetaan korjausvastuu.

Vaihe 4: Tiedonhallinta ja GDPR-yhdenmukaistaminen

Tehdään kullekin korkeariskiselle tekoälyjärjestelmälle koulutus- ja validointiaineistojen tarkastus. Dokumentoidaan tiedon alkuperä, keräysmenetelmät, edustavuus asiaankuuluvien vakuutuksenottajien väestöryhmien osalta sekä tunnetut rajoitukset. Varmistetaan, että GDPR:n oikeusperusteet ovat käytössä kaikelle henkilötiedolle ja soveltuvin osin erityisluokkaisen tiedon osalta. Integroidaan Art. 10:n mukainen dokumentaatio Annex IV:n tekniseen asiakirjaan.

Vaihe 5: Ihmisvalvontamekanismin suunnittelu

Suunnitellaan operatiivisesti realistiset ihmisvalvontamekanismit kullekin korkeariskiselle tekoälyn käyttöönotolle. Vakuutusmerkintätekoälylle tämä tarkoittaa, että pätevällä merkintäasiantuntijalla on tiedot, valtuudet ja työnkulun mukainen aika tarkastella ja poiketa tekoälyn suosituksesta ennen kuin se vaikuttaa vakuutuksenottajaan. Korvaustekoälylle se tarkoittaa, että korvaustenkäsittelijällä on asiallinen tarkistusvaltuus — ei nimellinen hyväksyntätehtävä. Valvonnan suunnittelu dokumentoidaan ja liitetään tekniseen dokumentaatioon.

Vaihe 6: Toimittajan huolellisuusvelvoite ja sopimusten korjaaminen

Kolmansien osapuolten aktuaaristen tekoälyjärjestelmien osalta otetaan käyttöön edellä kuvattu ennakkoon tapahtuva huolellisuusprosessi ja tarkastellaan olemassa olevia toimittajasopimuksia. Mikäli sopimuksista puuttuvat säännökset, jotka velvoittavat toimittajan ylläpitämään tekoälylain vaatimustenmukaisuusdokumentaatiota, ilmoittamaan vakuutusyhtiölle merkittävistä muutoksista ja sallimaan tekoälyjärjestelmän suorituskyvyn tarkastuksen, asia korjataan sopimusmuutoksella tai uudelleenneuvottelulla. Luodaan sisäiset menettelyt tekoälyjärjestelmän suorituskyvyn seuraamiseksi elävässä vakuutuksenottajapopulaatiossa ja olennaisten poikkeamien ilmoittamiseksi toimittajille ja tarvittaessa valvontaviranomaisille.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-20 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Onko moottoriajoneuvovakuutuksemme hinnoittelualgoritmi EU:n tekoälylain nojalla korkeariskinen?

Moottoriajoneuvovakuutuksen hinnoittelualgoritmi on todennäköisesti korkeariskinen Annex III:n kohdan 5(b) nojalla, jos se arvioi yksittäisten luonnollisten henkilöiden luottokelpoisuutta tai riskiprofiilia vakuutusmaksujen tason tai vakuutusturvan kelpoisuuden määrittämiseksi. Telematiikkaan perustuvat pay-as-you-drive-järjestelmät, jotka pisteyttävät yksittäisten kuljettajien käyttäytymistä ja käyttävät tätä pisteytyksestä vakuutusmaksujen asettamiseen nimetyille vakuutuksenottajille, kuuluvat selkeästi tähän luokkaan. Perinteiset aktuaariset poolausmallit, jotka sijoittavat henkilöt aktuaarisiin luokkiin ilman tekoälypohjaista yksilöllistä pisteytystä, ovat harmaammalla alueella, mutta kaikki tekoälykomponentit, jotka tuottavat yksilöllisen pistemäärän luonnollisen henkilön vakuutuksen hinnoitteluun tai hyväksymiseen, tulee arvioida Art. 6(2):n nojalla luettuna yhdessä Annex III:n kohdan 5(b) kanssa.

Kattaako Solvency II:n ORSA tekoälylain riskienhallintajärjestelmävaatimukset?

Ei kata, mutta päällekkäisyyttä on huomattavasti ja se kannattaa hyödyntää. EU:n tekoälylain Art. 9 edellyttää riskienhallintajärjestelmää, joka tunnistaa, analysoi ja lieventää ennakoitavia riskejä tekoälyjärjestelmän koko elinkaaren ajalta. Solvency II:n Pillar II -vaatimukset koskien omaa riski- ja vakavaraisuusarviota (ORSA) sekä hallintojärjestelmää edellyttävät dokumentoitua riskien tunnistamista ja sisäisten mallien hallintoa aktuaaristen ja hinnoitteluprosessien osalta. Solvency II:ta varten kehitetyt hallinnolliset rakenteet, dokumentoidut riskiarviot ja mallien validointimenettelyt voivat muodostaa perustan tekoälylain noudattamiselle, mutta niitä on täydennettävä tekoälyspesifisten velvoitteiden osalta: puolueellisuuden testaus, tiedonhallinta Art. 10:n nojalla, automaattinen lokikirjaus Art. 12:n nojalla ja ihmisvalvonta Art. 14:n nojalla. Annex IV:n teknisen dokumentaation vaatimuksia koskeva puuteanalyysi on välttämätön.

Mitä vakuutuksenottajille on ilmoitettava tekoälyn käytöstä vakuutusmerkintä- tai hinnoittelupäätöksissä?

Kun korkeariskistä tekoälyjärjestelmää käytetään tekemään tai merkittävästi vaikuttamaan luonnollista henkilöä koskevaan päätökseen — mukaan lukien vakuutusturvan hyväksyminen, hylkääminen tai hinnoittelu — järjestelmän käyttöönottajan on annettava luonnolliselle henkilölle merkityksellistä tietoa EU:n tekoälylain Art. 26(6):n nojalla. Jos GDPR:n Art. 22:n mukainen automatisoitu päätöksenteko on sovellettavissa, GDPR:n Art. 13–15 ja 22 mukainen rekisteröidyn oikeuksia koskeva sääntely tulee sovellettavaksi. Vakuutuksenottajilla on oikeus saada selitys automatisoitujen päätösten logiikasta, oikeus pyytää ihmistarkistusta sekä oikeus riitauttaa päätös. Vakuutusmerkintätekoälyä käyttävien vakuutusyhtiöiden on siksi suunniteltava asiakkaille suunnatut tiedonantoketjut ja otettava käyttöön aidosti saavutettavissa olevat ihmistarkistusmekanismit — eikä sellaisia, joiden hyödyntäminen edellyttää erityisasiantuntemusta.

Ovatko vahinkopetosten tunnistamiseen käytettävät tekoälyjärjestelmät korkeariskisiä?

Eivät automaattisesti. Petostentunnistustekoäly, joka merkitsee korvausvaatimukset ihmistutkijalle selvitettäväksi — ja jossa ihmistutkija tekee lopullisen päätöksen korvauksen maksamisesta, alentamisesta tai hylkäämisestä — ei välttämättä täytä Annex III:n kohdan 5(b) mukaista korkeariskisyyskynnystä, koska tekoäly ei itsenäisesti määritä luonnollisten henkilöiden pääsyä vakuutuksiin. Jos petostentunnistusjärjestelmän tuloste kuitenkin käynnistää automaattisesti korvauksen alentamisen, keskeyttämisen tai hylkäämisen luonnolliselle henkilölle ilman asiallista ihmistarkistusta, järjestelmä on todennäköisesti korkeariskinen. Vakuutusyhtiöiden on dokumentoitava tarkasti, miten petosanalyysin tuloksia käytetään korvauksentekoprosessissa, ja varmistettava, että siinä missä luonnolliset henkilöt ovat asianosaisia, merkityksellinen ihmisvalvonta toteutuu ennen kuin etuuden menetys tapahtuu.

Mitä asiakirjoja meidän tulisi pyytää aktuaaristen ohjelmistojen toimittajaltamme?

Kolmansien osapuolten aktuaarisia tekoälytyökaluja käyttöönottavien vakuutusyhtiöiden tulisi sopimuksellisesti edellyttää seuraavaa: korkeariskisten järjestelmien EU-vaatimustenmukaisuusvakuutus ja CE-merkintädokumentaatio; Annex IV:n edellyttämä tekninen dokumentaatio, mukaan lukien käyttötarkoitusta koskeva lausunto, koulutusaineiston kuvaukset, validoinnin ja testauksen tulokset (mukaan lukien puolueellisuus- ja tarkkuusmittarit väestöllisten alaryhmien osalta) sekä riskienhallinta-asiakirja; käyttöönottajalle osoitetut käyttöohjeet; jälkimarkkinoinnin seurantadata ja tapausraportit; sekä parametrit ja edellytykset, joiden puitteissa järjestelmä on validoitu, mukaan lukien mahdolliset käyttötapauksia tai vakuutuksenottajapopulaatioita koskevat rajoitukset. Järjestelmän käyttöönottaminen toimittajan käyttöohjeiden soveltamisalan ulkopuolella saattaa luokitella vakuutusyhtiön uudelleen tarjoajaksi, jolla on Art. 16:n mukaiset täydet tarjoajavelvoitteet.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.