ETIK & JURIDIK

ROLLSPECIFIKT EXEMPEL

Exempel för chefer

När en chef jämför tre handlingsalternativ inför ett ledningsmöte är huvudfrågan inte om AI kan skriva texten, utan vilka uppgifter, beslut och ansvar som får hanteras. Dokumentera dataklass, vem som granskar och vilket underlag som måste verifieras.

ANPASSA EFTER LOKALA REGLER OCH DATASKYDD

NULÄGE

EU AI Act — vad gäller och när?

EU AI Act trädde i kraft i augusti 2024 och tillämpas stegvis. Förbudsreglerna mot de mest riskfyllda AI-systemen och kravet på AI-kompetens gäller sedan den 2 februari 2025. Enligt förordningens ursprungliga tidslinje skulle flera ytterligare regler börja tillämpas den 2 augusti 2026. Efter den preliminära överenskommelsen om AI Omnibus den 7 maj 2026 anger IMY att regler för vissa fristående högrisksystem, exempelvis inom anställning, ska börja tillämpas den 2 december 2027. Överenskommelsen måste antas formellt innan tidslinjen är slutlig. Organisationer bör därför kartlägga sin AI-användning nu och kontrollera aktuell tidslinje före inköp eller driftsättning.

Förordningen gäller för alla som använder AI-system inom EU — inte bara de som utvecklar dem. Det innebär att din organisation, om den köper och använder ett AI-system som klassas som högrisk, har skyldigheter enligt lagen.

Dela gärna vår anpassade guide med dina medarbetare: EU AI Act på jobbet — vad du behöver veta som anställd.

EU AI ACT GÄLLER ANVÄNDARE — INTE BARA UTVECKLARE
KONTROLLERA VILKA SYSTEM NI ANVÄNDER

HÖGRISK

Vilka AI-system klassas som högrisk?

EU AI Act listar kategorier av system som klassificeras som högrisk och därmed kräver mer noggrann hantering. För de flesta organisationer är dessa mest relevanta:

• AI i rekrytering och HR-beslut. System som används för att sortera, ranka eller bedöma jobbsökande, eller som påverkar anställnings-, befordrings- eller uppsägningsbeslut.
• AI i kreditbedömning. System som bedömer kreditvärdighet eller räntenivå för enskilda låntagare.
• AI i utbildning och examination. System som bedömer elever, styr tillgång till utbildning eller påverkar utbildningskarriärer.
• AI i säkerhetskritiska system. Transport, kritisk infrastruktur, medicinsk utrustning.

Generativa AI-verktyg som Claude och ChatGPT klassas i regel inte som högrisk i sig — men om du bygger ett beslutssystem ovanpå dem kan klassningen ändras. Ta juridisk rådgivning om du är osäker.

HÖGRISKSYSTEM KRÄVER DOKUMENTATION, GRANSKNING
OCH I MÅNGA FALL REGISTRERING HOS MYNDIGHET

JURIDIK

SKYLDIGHETER

Vad krävs av dig som använder ett högrisksystem?

Som användare (i lagens mening: den som driftsätter ett AI-system i en verksamhet) av ett högrisksystem har du skyldigheter:

• Tekniska och organisatoriska åtgärder. Du ska säkerställa att systemet används enligt leverantörens anvisningar och att du har rutiner för tillsyn.
• Mänsklig tillsyn. Högriskbeslut ska kunna granskas, ifrågasättas och korrigeras av en människa. Helautomatiska beslut om individer är i regel förbjudna i högriskkategorier.
• Loggning och dokumentation. Du ska kunna visa hur systemet har använts och på vilket underlag beslut fattades. Bevara loggar.
• Transparens mot individer. De som påverkas av ett AI-assisterat beslut har rätt att veta det och att begära mänsklig granskning.

MÄNSKLIG TILLSYN ÄR KÄRNAN I EU AI ACT
DOKUMENTERA HUR OCH NÄR AI ANVÄNDS I BESLUT

KRAV

GDPR-KOPPLING

AI och GDPR — den dubbla ramen

EU AI Act och GDPR kompletterar varandra — och en organisation som hanterar personuppgifter i AI-system berörs av båda.

De viktigaste GDPR-skyldigheterna när AI är inblandat:

• Rättslig grund krävs. Behandling av personuppgifter i ett AI-system kräver rättslig grund precis som all annan behandling. Samtycke, berättigat intresse eller avtal — det måste finnas och dokumenteras.
• Rätt att inte bli föremål för helautomatiserade beslut. Artikel 22 i GDPR ger individer rätt att inte vara föremål för beslut som enbart baseras på automatisk behandling om beslutet har rättslig verkan.
• Personuppgiftsbiträdesavtal. Om ett AI-verktyg behandlar personuppgifter för din organisations räkning krävs ett personuppgiftsbiträdesavtal. Kontrollera att det finns för alla verktyg ni använder.
• Konsekvensbedömning (DPIA). AI-system som behandlar känsliga kategorier eller gör systematisk profilering kan kräva en DPIA — en formell riskbedömning i samråd med dataskyddsombudet.

PERSONUPPGIFTER I AI = GDPR-SKYLDIGHETER
DATASKYDDSOMBUDET ÄR DIN FÖRSTA KONTAKT

GDPR

ETIK

Utöver juridiken — etiska överväganden

Lagstiftningen sätter minimikraven. Men som chef och ledare bär du också ett etiskt ansvar som sträcker sig längre än vad lagen kräver.

• Bias och diskriminering. AI kan reproducera och förstärka systematiska orättvisor. Granskning av AI-stödda beslut med diskrimineringsperspektiv är god praxis — oavsett om lagen kräver det.
• Transparens mot medarbetare. Om AI används för att analysera medarbetarprestationer, kommunikation eller närvaro — ha en öppen dialog om det. Dolda system urholkar förtroende.
• Miljöpåverkan. Träning och körning av stora AI-modeller är energikrävande. Det är ett legitimt hållbarhetsperspektiv att väga in i val av verktyg och användningsfrekvens.
• Beroende och deskilling. Om ett team slutar tänka för att AI alltid svarar riskerar man att tappa förmågan att lösa problem när AI inte finns tillgängligt. Medveten balans är en ledarskapsfråga.

JURIDIK SÄTTER GOLVET
ETIK BESTÄMMER TAKET

ETIK

PRAKTIK

Vad du bör göra nu

1. Inventera era AI-system. Vilka system används i verksamheten — köpta, inbyggda i befintliga verktyg, eller byggda internt? Lista dem och bedöm om något kan klassas som högrisk.
2. Kontakta IT och dataskyddsombudet. Finns personuppgiftsbiträdesavtal för alla verktyg som hanterar personuppgifter? Har EU AI Act-relevansen bedömts?
3. Säkerställ mänsklig tillsyn i kritiska processer. Identifiera var AI bidrar till beslut om individer och säkerställ att det alltid finns en människa som granskar och godkänner.
4. Dokumentera. Bygg in rutiner för att dokumentera när och hur AI används i processer med konsekvenser för individer.
5. Håll dig uppdaterad. EU AI Act genomförs stegvis och tolkas kontinuerligt. Bevaka utvecklingen — eller utse någon i organisationen att göra det.

INVENTERING → BEDÖMNING → DOKUMENTATION → TILLSYN

ÅTGÄRDER

KÄLLOR OCH FÖRDJUPNING

Primärkällor för regler som påverkar AI för chefer och ledare

• EU-kommissionen — AI Act (transparenskrav, högrisksystem, krav på användare) ↗ (öppnas i ny flik)
• IMY — preliminär överenskommelse om ändringar i AI-förordningen (7 maj 2026) ↗ (öppnas i ny flik)
• Integritetsskyddsmyndigheten (IMY) — GDPR och behandling av personaluppgifter ↗ (öppnas i ny flik)
• Lag (1976:580) om medbestämmande i arbetslivet (MBL) — förhandlingsskyldighet vid AI-införande ↗ (öppnas i ny flik)
• Arbetsmiljöverket — vägledning om AI, automation och psykosocial arbetsmiljö ↗ (öppnas i ny flik)

VANLIGA FRÅGOR

Etik och juridik

Vilken medarbetardata får jag mata in i AI?

Aggregerad statistik och anonymiserade exempel går bra. Namn, lön, hälsouppgifter, prestationsbedömningar och medarbetarsamtal ska bara hanteras i verktyg med biträdesavtal och dokumenterad informationsplikt.

Får jag använda AI för att fatta beslut om personal?

Nej, inte som ensam grund. AI kan strukturera underlag och visa alternativ, men beslut om anställning, lön, varning eller uppsägning ska alltid vila på din egen dokumenterade bedömning.

Hur informerar jag teamet om att jag använder AI?

Var öppen med vilka verktyg du använder, till vad och vilken data som matats in. Det bygger förtroende och hjälper teamet följa samma principer.