Organisaation on arvioitava virallisesti tekoälyjärjestelmiensä vaikutukset yksilöihin, ryhmiin ja yhteiskuntaan ennen käyttöönottoa. Tämä on erityisen tärkeää julkisille elimille, julkisten palvelujen tarjoajille ja tekoälyjärjestelmien käyttöönottajille työllisyyden ja luoton arvioinnissa.

Arvioinnin olisi sisällettävä seuraavat seikat:

• Kuvaus prosesseista, joissa tekoälyjärjestelmää tullaan käyttämään.
• aiottu käyttöaika ja -tiheys.
• ihmisryhmät, joihin järjestelmä todennäköisesti vaikuttaa.
• Vaikutukset alaikäisiin ja muihin haavoittuviin ryhmiin.
• Näihin ryhmiin kohdistuvat erityiset haittariskit ja toimenpiteet niiden lieventämiseksi.
• Kuvaus suunnitelluista ihmisten valvontatoimenpiteistä.

Arviointia olisi päivitettävä, jos järjestelmän keskeiset osat muuttuvat käytön aikana. Sen olisi tarvittaessa täydennettävä olemassa olevia tietosuojaa koskevia vaikutustenarviointeja (DPIA).

Organisaation on luotava prosessi tekoälyriskien arvioimiseksi ja ylläpidettävä sitä. Prosessia on ohjattava organisaation tekoälypolitiikalla ja tekoälytavoitteilla, jotta varmistetaan, että myöhemmät arvioinnit tuottavat johdonmukaisia, päteviä ja vertailukelpoisia tuloksia.

Prosessissa olisi tunnistettava riskit, jotka voivat joko edistää tai estää organisaation tekoälytavoitteiden saavuttamista. Riskianalyysiin olisi sisällyttävä organisaatioon, ihmisiin ja yhteiskuntaan kohdistuvien mahdollisten seurausten arviointi, näiden riskien todennäköisyyden arviointi mahdollisuuksien mukaan ja näiden riskien tasojen määrittäminen.

Prosessiin olisi myös sisällyttävä tekoälyriskejä koskeva arviointi vertaamalla analyysin tuloksia määriteltyihin riskikriteereihin ja asettamalla tunnistetut riskit tärkeysjärjestykseen myöhempää käsittelyä varten. Tekoälyriskien arviointiprosessista ja sen tuloksista olisi säilytettävä dokumentoitua tietoa.

Suuririskisiin tekoälyjärjestelmiin tehtävien merkittävien muutosten vaikutukset on arvioitava etukäteen ja ne on toteutettava hallitusti. Tahattomien muutosten seuraukset on arvioitava ja pyrittävä lieventämään mahdollisia haittavaikutuksia.

Tähän prosessiin on kuuluttava myös markkinoille saattamisen jälkeisestä seurantajärjestelmästä saatujen tietojen analysointi uusien tai aiemmin tuntemattomien riskien tunnistamiseksi. Näiden arviointien tuloksia olisi käytettävä järjestelmän riskinhallintasuunnitelman säännölliseen päivittämiseen.

Merkittäviin muutoksiin voivat kuulua: organisaation, toimintaympäristön, liiketoimintaprosessien ja tietojärjestelmien muutokset sekä suuren riskin järjestelmiin tehtävät muutokset, jotka edellyttävät muodollista arviointia, dokumentoitua riskinarviointia ja hyväksyntää ennen käyttöönottoa. Muutokset voidaan tunnistaa esimerkiksi johdon arvioinneissa ja muussa suuren riskin tekoälyjärjestelmien kehittämiseen ja ylläpitoon liittyvässä työssä.

Organisaation olisi arvioitava riskit, joita voi syntyä, kun suuren riskin tekoälyjärjestelmää käytetään olosuhteissa, joissa väärinkäyttö on kohtuudella ennakoitavissa. Tässä prosessissa olisi otettava huomioon skenaariot, joissa järjestelmää käytetään ilkivaltaisesti tai väärin, ja arvioitava mahdolliset vaikutukset terveyteen, turvallisuuteen ja perusoikeuksiin.

Organisaation olisi pantava täytäntöön markkinoille saattamisen jälkeistä seurantaa koskeva prosessi suunnitelmassaan määritellyllä tavalla. Tähän kuuluu se, että se kerää, dokumentoi ja analysoi aktiivisesti ja järjestelmällisesti asiaankuuluvia tietoja suuririskisten tekoälyjärjestelmiensä suorituskyvystä koko niiden elinkaaren ajan.

Organisaation olisi toteutettava riittävät lieventämis- ja valvontatoimenpiteet, joilla puututaan sellaisiin suuren riskin tekoälyjärjestelmiin liittyviin riskeihin, joita ei voida poistaa suunnittelun avulla. Näiden toimenpiteiden valinnan olisi perustuttava riskianalyysiin, ja ne olisi dokumentoitava asianmukaisesti.