SkarpSkarp
Get the App

Chapter 6 of 12

Kapitel III, avsnitt 3–5: Leverantörers, importörers, distributörers och användares skyldigheter (artiklarna 16–29)

Genomgång artikel för artikel av skyldigheterna för leverantörer, importörer, distributörer och användare (deployers) av högrisk‑AI‑system, inklusive kvalitetssystem, registrering, incidentrapportering och samarbete med myndigheter.

15 min readsv

Översikt: Vem gör vad i kapitel III, avsnitt 3–5?

I detta avsnitt av AI‑förordningen (AI Act) regleras rollerna kring högrisk‑AI‑system – från utveckling till faktisk användning.

Aktörer och artiklar:

  • Leverantörer (providers) – artiklarna 16–23
  • Importörer – artikel 24
  • Distributörer – artikel 25
  • Användare (deployers) – artikel 26–29

Kom ihåg att AI‑förordningen är en EU‑förordning, inte ett direktiv. Den antogs 2024 och börjar tillämpas stegvis; reglerna om högrisk‑AI är centrala för de flesta organisationer.

Koppling till tidigare moduler

  • I artiklarna 8–15 lärde du dig vilka krav ett högrisk‑AI‑system måste uppfylla (riskhantering, data, transparens, robusthet osv.).
  • I artiklarna 16–29 handlar det nu om vem som ansvarar för att dessa krav faktiskt uppfylls, hur det organiseras och hur man samarbetar med myndigheter.

Mål med modulen

Efter modulen ska du kunna:

  1. Förklara huvudskyldigheterna för leverantörer, importörer, distributörer och användare.
  2. Övergripande beskriva hur ett kvalitetshanteringssystem (QMS) för högrisk‑AI bör se ut.
  3. Identifiera vilka artiklar som är mest relevanta för din egen roll.
  4. Resonera kring hur ansvar bör fördelas i avtal mellan parter.

Föreställ dig en kedja:

> Utvecklare → Leverantör → Importör → Distributör → Användare (t.ex. sjukhus, bank, myndighet) → Påverkade personer (t.ex. patienter, kunder, medborgare)

I resten av modulen zoomar vi in på varje länk i kedjan, med fokus på högrisk‑AI.

Leverantörens kärnansvar (artiklarna 16–18)

Leverantören är den aktör som sätter högrisk‑AI‑systemet på marknaden eller tar det i bruk under eget namn/varumärke. Det behöver inte vara den som rent tekniskt utvecklat algoritmen.

Artikel 16 – Grundläggande skyldigheter

Leverantören ska bland annat:

  • Säkerställa att systemet uppfyller alla krav i artiklarna 8–15.
  • Ha ett kvalitetshanteringssystem (QMS) (artikel 17).
  • Upprätta teknisk dokumentation (artikel 11, bilaga IV) och hålla den uppdaterad.
  • Säkerställa konformitetsbedömning (artikel 43 m.fl.) och EU‑försäkran om överensstämmelse.
  • Sätta på CE‑märkning när kraven är uppfyllda.
  • Införa rutiner för övervakning efter utsläppande på marknaden (post‑market monitoring).
  • Rapportera allvarliga incidenter och funktionsfel (artikel 19).

Artikel 17 – Kvalitetshanteringssystem (QMS)

QMS är ett organiserat sätt att styra hur man utvecklar, testar, släpper och underhåller högrisk‑AI. Det ska minst omfatta:

  • Organisation och ansvar: vem gör vad, beslutsvägar, roller.
  • Strategi för regelefterlevnad: rutiner för att följa AI‑förordningen och annan relevant lagstiftning (t.ex. GDPR, medicinteknik, finansiell reglering).
  • Datahantering: hur data väljs, kvalitetssäkras, annoteras, lagras och skyddas.
  • Riskhantering: processer för att identifiera, analysera, minska och övervaka risker.
  • Teknisk dokumentation: hur dokument skapas, granskas, uppdateras och lagras.
  • Testning, validering och ändringshantering: hur uppdateringar, nya versioner och reträning av modeller hanteras.
  • Klagomål och korrigerande åtgärder: hur feedback från användare tas emot och leder till förbättringar.

Artikel 18 – EU‑försäkran om överensstämmelse

Leverantören ska:

  • Upprätta en skriftlig försäkran om att systemet uppfyller AI‑förordningen.
  • Hålla den uppdaterad när systemet ändras väsentligt.
  • Spara den och göra den tillgänglig för marknadskontrollmyndigheter under en viss tid (typiskt 10 år efter att systemet släppts).

Tänk på QMS som ”instruktionsboken för hur företaget jobbar med högrisk‑AI på ett lagligt och kontrollerat sätt” – inte bara en mapp med dokument.

Övning: Skissa ett enkelt QMS för högrisk‑AI

Föreställ dig att du är QMS‑ansvarig på ett medelstort företag som utvecklar ett högrisk‑AI‑system för kreditbedömning (bilaga III‑kategori).

Svara skriftligt för dig själv på följande frågor (punkter räcker):

  1. Roller och ansvar
  • Vilka tre roller skulle du minst definiera i QMS:et (t.ex. ansvarig för data, ansvarig för modellvalidering, ansvarig för regelefterlevnad)?
  1. Datahantering
  • Nämn två konkreta rutiner du skulle införa för att säkerställa datakvalitet och icke‑diskriminering.
  1. Riskhantering
  • Ge ett exempel på en risk med AI‑baserad kreditbedömning och en möjlig riskreducerande åtgärd.
  1. Eftermarknadsövervakning
  • Hur skulle du följa upp att systemet fungerar som tänkt efter att det har tagits i bruk hos bankerna? (t.ex. regelbundna rapporter, larmtrösklar, revisioner)

> Tips: Försök koppla dina svar till kraven i artiklarna 8–15 (riskhantering, data, mänsklig översyn, loggning, robusthet).

Leverantörens ansvar efter marknadslansering (artiklarna 19–23)

När ett högrisk‑AI‑system väl är på marknaden upphör inte leverantörens ansvar.

Artikel 19 – Rapportering av allvarliga incidenter och funktionsfel

Leverantören ska:

  • Ha rutiner för att upptäcka och utreda allvarliga incidenter och funktionsfel.
  • Rapportera dessa till relevanta tillsynsmyndigheter utan onödigt dröjsmål (AI‑förordningen anger tidsramar, ofta inom dagar beroende på riskernas allvar).
  • Samarbeta med myndigheter för att utreda orsaker och vidta korrigerande åtgärder.

Allvarlig incident kan t.ex. vara:

  • Felaktig medicinsk triagering som leder till allvarlig vårdskada.
  • Diskriminerande beslutsmönster i rekryteringssystem som systematiskt missgynnar vissa grupper.

Artikel 20 – Registrering i EU‑databas

För vissa högrisk‑AI‑system ska leverantören:

  • Registrera systemet i en EU‑databas innan det släpps på marknaden.
  • Lämna in grundläggande uppgifter (leverantör, ändamål, kategori enligt bilaga III, kontaktuppgifter m.m.).

Syftet är transparens och att underlätta tillsyn.

Artikel 21 – Samarbete med myndigheter

Leverantören måste:

  • Ge myndigheter tillgång till all information och dokumentation som behövs för tillsyn (inkl. teknisk dokumentation, loggar, testresultat).
  • Samarbeta vid utredningar och inte försvåra kontroller.

Artikel 22 – Korrigerande åtgärder och återkallelser

Om leverantören upptäcker att ett system inte överensstämmer med AI‑förordningen ska den:

  • Vidta omgående korrigerande åtgärder (t.ex. uppdatering, begränsning av funktioner, extra varningar).
  • Om det behövs: dra tillbaka produkten från marknaden eller återkalla den från användare.
  • Informera importörer, distributörer, användare och myndigheter.

Artikel 23 – Auktoriserad representant (för leverantörer utanför EU)

Leverantörer utanför EU måste utse en auktoriserad representant inom EU som:

  • Agerar kontaktpunkt mot myndigheter.
  • Håller dokumentation och försäkran om överensstämmelse tillgänglig.
  • Samarbetar vid tillsyn och incidentutredningar.

För dig som utvecklare eller produktägare innebär detta att livscykelperspektivet är obligatoriskt: du måste planera för support, uppföljning och eventuella återkallelser redan innan lansering.

Importörer och distributörer: Filter mellan leverantör och marknad (artiklarna 24–25)

När leverantören inte säljer direkt till användaren blir importörer och distributörer viktiga kontrollpunkter.

Artikel 24 – Importörens skyldigheter

En importör är den som för in ett högrisk‑AI‑system från ett land utanför EU till EU‑marknaden.

Importören måste bl.a.:

  • Kontrollera att systemet har:
  • CE‑märkning
  • EU‑försäkran om överensstämmelse
  • Nödvändig dokumentation och bruksanvisningar.
  • Säkerställa att leverantören utanför EU har utsett en auktoriserad representant.
  • Inte släppa ut systemet på marknaden om:
  • Det finns skäl att tro att det inte uppfyller kraven.
  • Hålla register över klagomål, icke‑överensstämmelser och återkallelser.
  • Samarbeta med myndigheter och vid behov delta i incidentrapportering.

Artikel 25 – Distributörens skyldigheter

En distributör är den som tillhandahåller ett AI‑system på marknaden (t.ex. återförsäljare, plattformar) utan att vara leverantör eller importör.

Distributören ska:

  • Kontrollera att produkten bär CE‑märkning och att nödvändig information och instruktioner finns.
  • Inte tillhandahålla systemet om det finns skäl att tro att det inte är förenligt med AI‑förordningen.
  • Säkerställa att lagring och transport inte äventyrar systemets överensstämmelse (t.ex. hårdvara, sensorer).
  • Vid misstanke om icke‑överensstämmelse:
  • Informera leverantör/importör.
  • Vid behov informera myndigheter.

Både importörer och distributörer fungerar som ett ”compliance‑filter”: de ska inte bara sälja vidare okritiskt utan kontrollera att leverantören har gjort sitt jobb.

Snabbtest: Rollfördelning i kedjan

Vem ansvarar för vad? Välj det mest korrekta alternativet.

Ett högrisk‑AI‑system utvecklas av ett företag i USA, importeras av ett svenskt bolag och säljs vidare av en svensk återförsäljare till en svensk myndighet. Vem har huvudansvaret för att upprätta EU‑försäkran om överensstämmelse enligt artiklarna 16–18?

  1. Det svenska importföretaget
  2. Det amerikanska företaget (leverantören) eller dess auktoriserade representant i EU
  3. Den svenska återförsäljaren (distributören)
Show Answer

Answer: B) Det amerikanska företaget (leverantören) eller dess auktoriserade representant i EU

Enligt artiklarna 16–18 är det **leverantören** som har huvudansvaret för att säkerställa överensstämmelse och upprätta EU‑försäkran. Om leverantören är utanför EU måste denne ha en **auktoriserad representant i EU**. Importören och distributören ska kontrollera att detta finns, men de är normalt inte de som upprättar försäkran.

Användare (deployers): Ansvar när systemet faktiskt används (artiklarna 26–29)

I AI‑förordningen används ofta termen deployer – här översatt till användare av ett högrisk‑AI‑system i professionellt sammanhang (t.ex. myndigheter, banker, sjukhus, större företag).

Artikel 26 – Allmänna skyldigheter för användare

Användare ska bl.a.:

  • Använda systemet i enlighet med leverantörens instruktioner.
  • Säkerställa att mänsklig översyn fungerar i praktiken (artikel 14) – t.ex. att personalen har kompetens och befogenheter att ingripa.
  • Se till att indata som matas in i systemet är relevant, representativ och av tillräcklig kvalitet för det avsedda ändamålet.
  • Övervaka systemets funktion i den konkreta användningsmiljön och vid behov stoppa användningen.
  • Dokumentera användningen i enlighet med loggningskraven (artikel 12) och interna rutiner.

Artikel 27 – Specifika skyldigheter i vissa sektorer

För vissa typer av högrisk‑AI (t.ex. inom brottsbekämpning, migration, rättsväsendet) finns ytterligare krav på användare, t.ex.:

  • Extra dokumentation av varje enskilt användningstillfälle.
  • Förstärkt mänsklig granskning.
  • Särskilda rapporteringsvägar inom organisationen.

(De exakta detaljerna varierar beroende på kategori i bilaga III.)

Artikel 28 – Transparens gentemot påverkade personer

När ett högrisk‑AI‑system används mot/om personer kan användaren behöva:

  • Informera de berörda om att ett högrisk‑AI‑system används.
  • Ge relevant information om systemets huvudsakliga logik och konsekvenser för individen, i den mån det krävs av AI‑förordningen eller annan lag (t.ex. GDPR).

Artikel 29 – Registrering och samarbete

I vissa fall ska användaren:

  • Registrera användningen av ett högrisk‑AI‑system i en offentlig eller icke‑offentlig databas (t.ex. när myndigheter använder vissa kategorier av högrisk‑AI).
  • Samarbeta med tillsynsmyndigheter, t.ex. genom att:
  • Lämna ut loggar och dokumentation.
  • Medverka vid utredningar av allvarliga incidenter.

Sammanfattningsvis: Användaren kan inte säga “leverantören har CE‑märkt, så vi är klara”. Det krävs egen due diligence, anpassning till den konkreta kontexten och fungerande intern styrning.

Exempel: Sjukhus som användare av högrisk‑AI

Föreställ dig ett svenskt universitetssjukhus som köper ett CE‑märkt högrisk‑AI‑system för att prioritera patienter i akutmottagningen.

Leverantören har:

  • Utvecklat systemet, gjort riskanalys, testat, dokumenterat och CE‑märkt.
  • Upprättat QMS, registrerat systemet i relevant EU‑databas.

Sjukhuset som användare måste ändå:

  1. Följa instruktionerna
  • Implementera systemet enligt leverantörens bruksanvisning (t.ex. hur triagepoängen ska tolkas).
  1. Säkerställa mänsklig översyn
  • Utbilda personalen i när de får/inte får frångå AI‑rekommendationen.
  • Dokumentera beslut där man avviker från AI‑systemets förslag.
  1. Kvalitet på indata
  • Se till att triageformulär fylls i korrekt och komplett.
  • Ha rutiner för att hantera saknade eller felaktiga uppgifter.
  1. Övervaka prestanda lokalt
  • Följa upp om vissa patientgrupper konsekvent får lägre prioritet.
  • Larma leverantören vid misstänkta fel eller bias.
  1. Transparens mot patienter (om tillämpligt)
  • Informera om att ett AI‑system används som stöd i prioriteringen.
  • Hänvisa till kontaktpunkt för frågor/klagomål.
  1. Samarbeta med myndigheter
  • Delta i utredningar om en allvarlig incident inträffar (t.ex. allvarlig vårdskada kopplad till AI‑systemet).

Detta illustrerar att ansvaret delas: leverantören ansvarar för systemets design och dokumentation, sjukhuset för hur det faktiskt används i vårdmiljön.

Avtalsövning: Fördela ansvar mellan leverantör och användare

Anta att du deltar i att ta fram ett avtal mellan en leverantör av ett högrisk‑AI‑system och en bank som ska använda systemet för kreditbedömning.

Fundera och skriv ned:

  1. Vad bör ligga på leverantören i avtalet?

(Minst tre punkter)

  • Tips: tänk på artiklarna 16–23 (QMS, teknisk dokumentation, incidentrapportering, uppdateringar).
  1. Vad bör ligga på banken (användaren)?

(Minst tre punkter)

  • Tips: tänk på artiklarna 26–29 (korrekt användning, kvalitet på indata, mänsklig översyn, intern styrning).
  1. Gemensamma åtaganden
  • Identifiera minst två områden där båda parter behöver samarbeta, t.ex.:
  • Hantering av allvarliga incidenter.
  • Hantering av uppdateringar som påverkar modellens beteende.
  1. Klausulidé
  • Formulera (på en enkel nivå) en avtalsklausul om incidentrapportering där det framgår:
  • När användaren ska meddela leverantören.
  • När leverantören ska meddela användaren och myndigheter.

> Poängen med övningen är att du tränar på att översätta artiklarna 16–29 till konkreta avtalsansvar.

Repetera centrala begrepp

Använd korten för att repetera nyckelbegrepp från artiklarna 16–29.

Leverantör (provider)
Den som släpper ut ett AI‑system på EU‑marknaden eller tar det i bruk under eget namn/varumärke. Har huvudansvar för överensstämmelse, QMS, teknisk dokumentation, CE‑märkning och incidentrapportering.
Användare (deployer)
En fysisk eller juridisk person som använder ett högrisk‑AI‑system i professionellt sammanhang. Ansvarar för korrekt användning enligt instruktioner, mänsklig översyn, datakvalitet och lokal övervakning.
Kvalitetshanteringssystem (QMS) – artikel 17
Ett strukturerat system av policyer, processer och rutiner som säkerställer att högrisk‑AI‑system uppfyller AI‑förordningens krav under hela livscykeln.
Importör – artikel 24
Aktör som för in ett AI‑system från ett land utanför EU till EU‑marknaden. Måste kontrollera CE‑märkning, dokumentation och att leverantören har uppfyllt sina skyldigheter.
Distributör – artikel 25
Aktör som tillhandahåller ett AI‑system på marknaden utan att vara leverantör eller importör. Ska inte sälja vidare system som misstänks bryta mot AI‑förordningen.
Allvarlig incident – artikel 19
En händelse kopplad till ett AI‑system som lett till eller kunnat leda till allvarlig skada på hälsa, säkerhet eller grundläggande rättigheter. Måste rapporteras till myndigheter utan onödigt dröjsmål.
EU‑försäkran om överensstämmelse – artikel 18
Ett formellt dokument där leverantören intygar att AI‑systemet uppfyller alla tillämpliga krav i AI‑förordningen.
Eftermarknadsövervakning (post‑market monitoring)
Löpande aktiviteter efter lansering för att samla in, analysera och reagera på information om systemets prestanda och risker i verklig användning.

Key Terms

Importör
Aktör som för in ett AI‑system från ett land utanför EU till EU‑marknaden och har särskilda kontrollskyldigheter.
Distributör
Aktör i distributionskedjan som tillhandahåller ett AI‑system på marknaden utan att vara leverantör eller importör.
Allvarlig incident
Händelse kopplad till ett AI‑system som lett till eller kunnat leda till allvarlig skada på hälsa, säkerhet eller grundläggande rättigheter.
Mänsklig översyn
Möjlighet för människor att förstå, övervaka och vid behov ingripa i ett AI‑systems funktion och beslut.
Användare (deployer)
Organisation eller person som använder ett högrisk‑AI‑system i professionellt sammanhang. Ansvarar för hur systemet faktiskt används i den konkreta miljön.
Leverantör (provider)
Aktör som släpper ut ett AI‑system på EU‑marknaden eller tar det i bruk under eget namn/varumärke. Har huvudansvar för överensstämmelse med AI‑förordningen.
Eftermarknadsövervakning
Systematiskt insamlande och analyserande av data om ett AI‑systems prestanda och risker efter att det släppts på marknaden.
Marknadskontrollmyndighet
Offentlig myndighet i en EU‑medlemsstat som övervakar att produkter på marknaden uppfyller relevanta EU‑regler, inklusive AI‑förordningen.
Kvalitetshanteringssystem (QMS)
Internt system av processer, roller och rutiner som säkerställer att högrisk‑AI‑system uppfyller lagkrav och hanteras kontrollerat under hela livscykeln.
EU‑försäkran om överensstämmelse
Formell skriftlig försäkran från leverantören att AI‑systemet uppfyller AI‑förordningens krav.