ETIK & JURIDIK

EU AI ACT // GDPR // ANSVAR // TRANSPARENS

NULÄGE

EU AI Act — vad gäller och när?

EU AI Act antogs 2024 och börjar tillämpas stegvis. Förbudsreglerna för de mest riskfyllda AI-systemen gällde från februari 2025. Reglerna för högrisk-system — som är mest relevanta för de flesta organisationer — tillämpas fullt ut från och med augusti 2026.

Förordningen gäller för alla som använder AI-system inom EU — inte bara de som utvecklar dem. Det innebär att din organisation, om den köper och använder ett AI-system som klassas som högrisk, har skyldigheter enligt lagen.

EU AI ACT GÄLLER ANVÄNDARE — INTE BARA UTVECKLARE
KONTROLLERA VILKA SYSTEM NI ANVÄNDER

HÖGRISK

Vilka AI-system klassas som högrisk?

EU AI Act listar kategorier av system som klassificeras som högrisk och därmed kräver mer noggrann hantering. För de flesta organisationer är dessa mest relevanta:

  • AI i rekrytering och HR-beslut. System som används för att sortera, ranka eller bedöma jobbsökande, eller som påverkar anställnings-, befordrings- eller uppsägningsbeslut.
  • AI i kreditbedömning. System som bedömer kreditvärdighet eller räntenivå för enskilda låntagare.
  • AI i utbildning och examination. System som bedömer elever, styr tillgång till utbildning eller påverkar utbildningskarriärer.
  • AI i säkerhetskritiska system. Transport, kritisk infrastruktur, medicinsk utrustning.

Generativa AI-verktyg som Claude och ChatGPT klassas i regel inte som högrisk i sig — men om du bygger ett beslutssystem ovanpå dem kan klassningen ändras. Ta juridisk rådgivning om du är osäker.

HÖGRISK-SYSTEM KRÄVER DOKUMENTATION, GRANSKNING
OCH I MÅNGA FALL REGISTRERING HOS MYNDIGHET

JURIDIK

SKYLDIGHETER

Vad krävs av dig som använder ett högrisk-system?

Som användare (i lagens mening: den som driftsätter ett AI-system i en verksamhet) av ett högrisk-system har du skyldigheter:

  • Tekniska och organisatoriska åtgärder. Du ska säkerställa att systemet används enligt leverantörens anvisningar och att du har rutiner för tillsyn.
  • Mänsklig tillsyn. Högrisk-beslut ska kunna granskas, ifrågasättas och korrigeras av en människa. Helautomatiska beslut om individer är i regel förbjudna i högrisk-kategorier.
  • Loggning och dokumentation. Du ska kunna visa hur systemet har använts och på vilket underlag beslut fattades. Bevara loggar.
  • Transparens mot individer. De som påverkas av ett AI-assisterat beslut har rätt att veta det och att begära mänsklig granskning.

MÄNSKLIG TILLSYN ÄR KÄRNAN I EU AI ACT
DOKUMENTERA HUR OCH NÄR AI ANVÄNDS I BESLUT

KRAV

GDPR-KOPPLING

AI och GDPR — den dubbla ramen

EU AI Act och GDPR kompletterar varandra — och en organisation som hanterar personuppgifter i AI-system berörs av båda.

De viktigaste GDPR-skyldigheterna när AI är inblandat:

  • Rättslig grund krävs. Behandling av personuppgifter i ett AI-system kräver rättslig grund precis som all annan behandling. Samtycke, berättigat intresse eller avtal — det måste finnas och dokumenteras.
  • Rätt att inte bli föremål för helautomatiserade beslut. Artikel 22 i GDPR ger individer rätt att inte vara föremål för beslut som enbart baseras på automatisk behandling om beslutet har rättslig verkan.
  • Personuppgiftsbiträdesavtal. Om ett AI-verktyg behandlar personuppgifter för din organisations räkning krävs ett personuppgiftsbiträdesavtal. Kontrollera att det finns för alla verktyg ni använder.
  • Konsekvensbedömning (DPIA). AI-system som behandlar känsliga kategorier eller gör systematisk profilering kan kräva en DPIA — en formell riskbedömning i samråd med dataskyddsombudet.

PERSONUPPGIFTER I AI = GDPR-SKYLDIGHETER
DATASKYDDSOMBUDET ÄR DIN FÖRSTA KONTAKT

GDPR

ETIK

Utöver juridiken — etiska överväganden

Lagstiftningen sätter minimikraven. Men som chef och ledare bär du också ett etiskt ansvar som sträcker sig längre än vad lagen kräver.

  • Bias och diskriminering. AI kan reproducera och förstärka systematiska orättvisor. Granskning av AI-stödda beslut med diskrimineringsperspektiv är god praxis — oavsett om lagen kräver det.
  • Transparens mot medarbetare. Om AI används för att analysera medarbetarprestationer, kommunikation eller närvaro — ha en öppen dialog om det. Dolda system urholkar förtroende.
  • Miljöpåverkan. Träning och körning av stora AI-modeller är energikrävande. Det är ett legitimt hållbarhetsperspektiv att väga in i val av verktyg och användningsfrekvens.
  • Beroende och deskilling. Om ett team slutar tänka för att AI alltid svarar riskerar man att tappa förmågan att lösa problem när AI inte finns tillgängligt. Medveten balans är en ledarskapsfråga.

JURIDIK SÄTTER GOLVET
ETIK BESTÄMMER TAKET

ETIK

PRAKTIK

Vad du bör göra nu

  1. Inventera era AI-system. Vilka system används i verksamheten — köpta, inbyggda i befintliga verktyg, eller byggda internt? Lista dem och bedöm om något kan klassas som högrisk.
  2. Kontakta IT och dataskyddsombudet. Finns personuppgiftsbiträdesavtal för alla verktyg som hanterar personuppgifter? Har EU AI Act-relevansen bedömts?
  3. Säkerställ mänsklig tillsyn i kritiska processer. Identifiera var AI bidrar till beslut om individer och säkerställ att det alltid finns en människa som granskar och godkänner.
  4. Dokumentera. Bygg in rutiner för att dokumentera när och hur AI används i processer med konsekvenser för individer.
  5. Håll dig uppdaterad. EU AI Act genomförs stegvis och tolkas kontinuerligt. Bevaka utvecklingen — eller utse någon i organisationen att göra det.

INVENTERING → BEDÖMNING → DOKUMENTATION → TILLSYN

ÅTGÄRDER

NÄSTA STEG

PROMPTBIBLIOTEKET // FÄRDIGA PROMPTAR FÖR LEDARE