SkarpSkarp
Get the App

Chapter 10 of 12

Kapitel VIII–X: Marknadskontroll, tillsyn, sanktioner och rättsmedel (artiklarna 69–79, 99–101)

Genomgång av reglerna om marknadskontroll, tillsyn, informationsutbyte mellan myndigheter, klagomöjligheter och sanktioner, inklusive administrativa sanktionsavgifter.

15 min readsv

Översikt: Varför marknadskontroll och sanktioner i AI‑förordningen?

AI‑förordningen (EU) 2024/… antogs våren 2024 och publicerades i EU:s officiella tidning i juli 2024. Från och med 2026–2027 fasas reglerna successivt in. Kapitel VIII–X (artiklarna 69–79, 99–101) handlar om vad som händer efter att AI‑systemen finns på marknaden:

  • Vem kontrollerar att reglerna följs?
  • Hur får myndigheter information och ingriper?
  • Hur kan individer klaga?
  • Vilka sanktioner (böter m.m.) kan utdömas?

I den här modulen kopplar vi ihop:

  • Marknadskontroll och tillsyn (artiklarna 69–75)
  • Klagomål, rapportering och visselblåsare (artiklarna 76–79)
  • Sanktionsbestämmelser (artiklarna 99–101)

Fokus ligger på praktisk tillämpning: hur ett företag eller en myndighet bör organisera sig för att klara tillsyn och minimera sanktionsrisk.

> Kom ihåg: AI‑förordningen bygger vidare på den allmänna EU‑förordningen om marknadskontroll (EU) 2019/1020, men lägger till specialregler för AI‑system, särskilt hög­risk‑system.

Steg 1 – Marknadskontrollens struktur (artiklarna 69–71)

AI‑förordningens kapitel om marknadskontroll utgår från redan etablerade mekanismer i EU:s produktlagstiftning.

Nyckelidé: Samma typ av system som övervakar t.ex. maskiner, leksaker och medicinteknik används nu också för AI‑system.

Centrala roller

  • Nationella marknadskontrollmyndigheter (art. 69)
  • Utses av varje medlemsstat (i Sverige troligen flera myndigheter, t.ex. IMY, PTS, Konsumentverket, beroende på sektor).
  • Ansvarar för att AI‑system på marknaden uppfyller kraven i AI‑förordningen.
  • Behöriga myndigheter för tillsyn i drift (art. 69–70)
  • Övervakar AI‑system när de används, särskilt av offentliga organ.
  • Kan vara andra än de klassiska produktmyndigheterna (t.ex. tillsynsmyndigheter inom hälso‑ och sjukvård, polis, transport).
  • Samarbete på EU‑nivå
  • AI Office (kommissionens kontor) och European Artificial Intelligence Board (EAIB) samordnar, ger riktlinjer och underlättar gemensamma åtgärder.

Praktisk innebörd

För ett företag som utvecklar eller distribuerar AI‑system innebär detta:

  1. Det finns en eller flera svenska myndigheter som kan begära information, göra inspektioner och kräva åtgärder.
  2. Bedömningen kan påverkas av gemensamma EU‑tolkningar, inte bara nationell praxis.
  3. Ett ärende kan få gränsöverskridande effekter om systemet används i flera medlemsstater.

Exempel – Hur kan marknadskontroll se ut i praktiken?

Föreställ dig ett svenskt företag, MedAI AB, som säljer ett hög­risk‑AI‑system för triagering av patienter i akutsjukvård.

  1. Systemet släpps på marknaden
  • MedAI AB har gjort konformitetsbedömning, teknisk dokumentation och CE‑märkning (se tidigare modul om kapitel VI–VII).
  1. Klagomål uppstår
  • Flera patienter upplever felaktiga prioriteringar.
  • En läkare skickar ett klagomål till den nationella marknadskontrollmyndigheten.
  1. Myndigheten agerar (enligt art. 70–71)
  • Begär in dokumentation: riskbedömning, data för träning, loggar.
  • Kontrollerar om MedAI AB följt kraven på data‑kvalitet, riskhantering och mänsklig översyn.
  1. Möjliga utfall
  • Inga allvarliga brister: myndigheten avslutar ärendet eller ger rekommendationer.
  • Brister som kan åtgärdas: krav på korrigerande åtgärder (uppdatering av modellen, bättre dokumentation, extra utbildning av användare).
  • Allvarlig risk: förbud mot användning av systemet, återkallelse från marknaden, och initiering av sanktionsprocess enligt artiklarna 99–101.

Detta exempel visar hur marknadskontroll, klagomål och sanktioner hänger ihop i ett och samma flöde.

Steg 2 – Myndigheternas befogenheter (artiklarna 72–75)

Artiklarna 72–75 ger marknadskontrollmyndigheter starka verktyg för att kunna agera effektivt.

Typiska befogenheter

  1. Informationskrav (art. 72)
  • Kräva teknisk dokumentation, loggar, träningsdata‑beskrivningar, riskanalyser, avtal med leverantörer m.m.
  • Kräva tillgång till källkod i vissa fall om det är nödvändigt för bedömningen (ofta under sekretess).
  1. Inspektioner och tester (art. 72–73)
  • Genomföra oanmälda inspektioner på plats.
  • Köpa in produkter anonymt (mystery shopping) för test.
  • Kräva att leverantören möjliggör test i en kontrollerad miljö.
  1. Korrigerande åtgärder (art. 73–74)
  • Kräva att leverantören åtgärdar brister inom viss tid.
  • Begränsa, förbjuda eller återkalla AI‑system från marknaden.
  1. Särskilda åtgärder vid allvarlig risk (art. 75)
  • Vid omedelbar risk för liv, hälsa, grundläggande rättigheter eller allvarlig diskriminering kan myndigheten fatta snabba interimistiska beslut.

Koppling till nationell processrätt

  • Hur beslut fattas, överklagas och verkställs följer nationell förvaltnings‑ och processrätt.
  • AI‑förordningen anger vilka åtgärder som ska kunna vidtas, men medlemsstaten bestämmer *hur* (t.ex. om beslut tas av nämnd, generaldirektör, domstol).

Steg 3 – Tillämpningsövning: Hur skulle du förbereda dig för tillsyn?

Föreställ dig att du är compliance‑ansvarig på ett företag som utvecklar ett hög­risk‑AI‑system för rekrytering.

Fundera kort (anteckna gärna):

  1. Vilka dokument skulle du vilja ha lättillgängliga om en marknadskontrollmyndighet hör av sig?
  2. Vilka personer i organisationen bör vara med i ett "tillsynsteam" (roller, inte namn)?
  3. Hur skulle du visa att ni uppfyller kraven på icke‑diskriminering och riskhantering?

> Skriv ner 3–5 punkter för varje fråga. Jämför sedan med checklistan nedan.

Exempel på bra förberedelser

  • Dokumentation:
  • Riskhanteringsfil (riskanalys, åtgärder, uppföljning)
  • Data governance‑dokument (urval, rengöring, bias‑kontroller)
  • Loggpolicy och exempel på loggar
  • Bruksanvisningar och utbildningsmaterial till användare
  • Protokoll från interna audits
  • Tillsynsteam:
  • Jurist / compliance
  • Data scientist / ML‑ingenjör
  • Produktansvarig
  • Representant för informationssäkerhet/dataskydd
  • Bevis för efterlevnad:
  • Resultat av fairness‑tester
  • Beskrivning av mänsklig översyn (vem kan stoppa systemet, hur?)
  • Rutiner för hantering av klagomål från kandidater

Steg 4 – Klagomål, rapportering och visselblåsare (artiklarna 76–79)

Artiklarna 76–79 stärker individers och anställdas möjligheter att slå larm om problem med AI‑system.

Klagomål från berörda personer (art. 76)

  • Enskilda personer som påverkas av ett AI‑systems beslut (t.ex. arbetssökande, lånesökande, patienter) ska kunna:
  • lämna in klagomål till behörig myndighet,
  • information om hur klagomålet hanteras,
  • i vissa fall få motivering eller förklaring av hur AI‑systemet påverkade beslutet (i samspel med GDPR och sektorslagstiftning).

Rapporteringskrav (art. 77–78)

  • Leverantörer av hög­risk‑AI‑system ska ha rutiner för att:
  • övervaka systemets prestanda i drift,
  • rapportera allvarliga incidenter och funktionsfel till myndigheter.
  • Detta liknar rapportering av t.ex. medicintekniska avvikelser.

Skydd för visselblåsare (art. 79)

  • Personer inom organisationer (anställda, konsulter) som rapporterar:
  • allvarliga risker,
  • överträdelser av AI‑förordningen,

ska skyddas mot repressalier.

  • Detta kompletterar det generella EU‑visselblåsardirektivet (2019/1937), som redan genomförts i svensk rätt.

Praktisk konsekvens: Organisationer måste inte bara uppfylla kraven formellt, utan också skapa en kultur där det är möjligt att rapportera problem utan rädsla.

Snabbkontroll – Klagomål och visselblåsare

Testa din förståelse av artiklarna 76–79.

Vilket påstående stämmer bäst med AI‑förordningens regler om klagomål och visselblåsare?

  1. Endast leverantörer får lämna klagomål till marknadskontrollmyndigheter.
  2. Berörda personer och anställda ska kunna rapportera problem, och visselblåsare ska skyddas mot repressalier.
  3. Klagomål får bara lämnas anonymt och myndigheten behöver inte återkoppla något.
Show Answer

Answer: B) Berörda personer och anställda ska kunna rapportera problem, och visselblåsare ska skyddas mot repressalier.

AI‑förordningen kräver att berörda personer ska kunna klaga till behöriga myndigheter (art. 76) och att visselblåsare skyddas (art. 79). Det är alltså inte begränsat till leverantörer, och myndigheter ska hantera klagomål på ett strukturerat sätt.

Steg 5 – Sanktionssystemet i stort (artiklarna 99–101)

Kapitel X (artiklarna 99–101) innehåller sanktionsbestämmelserna. De anger ramarna på EU‑nivå, men detaljerna (process, exakta belopp inom spannet) bestäms av medlemsstaterna.

Grundprinciper (art. 99)

  • Sanktioner ska vara:
  • effektiva (påverka beteende),
  • proportionerliga (inte orimligt hårda),
  • avskräckande (så att överträdelser inte lönar sig).
  • Böter sätts som maximibelopp på EU‑nivå, ofta uttryckta som det högsta av:
  • ett visst belopp i euro, eller
  • en viss procent av den globala årliga omsättningen (liknande GDPR‑modellen).
  • Medlemsstaterna fastställer:
  • vilka myndigheter som får besluta om sanktionsavgifter,
  • hur processen ser ut (t.ex. om beslutet tas av domstol eller förvaltningsmyndighet),
  • regler om preskription, överklagande m.m. enligt nationell rätt.

> Viktigt: AI‑förordningen ersätter inte andra sanktionsregimer (t.ex. GDPR‑sanktioner eller sektorsspecifika böter). Flera sanktionssystem kan bli aktuella samtidigt vid samma händelse.

Steg 6 – Högre och lägre sanktionsnivåer (art. 99–101)

AI‑förordningen skiljer mellan allvarliga och mindre allvarliga överträdelser, med olika maximala bötesnivåer.

> Obs: Exakta belopp och procentsatser kan justeras över tid och genom uppdateringar. Här är strukturen, inte exakta siffror, som är det viktiga.

Typiskt högsta sanktionsnivå ("övre tier")

Används för de allvarligaste överträdelserna, t.ex.:

  • Användning av förbjudna AI‑metoder (t.ex. vissa former av social poängsättning, manipulativ AI riktad mot sårbara grupper, otillåtna biometriska fjärridentifieringssystem) i strid med kapitel II.
  • Allvarliga överträdelser av skyldigheter för hög­risk‑AI‑system som leder till betydande risker för liv, hälsa eller grundläggande rättigheter.

Maximiböter ligger i nivå med de högsta GDPR‑böterna (procent av global omsättning, alternativt flera tiotals miljoner euro).

Mellannivå ("mid‑tier")

För andra väsentliga överträdelser, t.ex.:

  • Brister i riskhanteringssystem,
  • otillräcklig data‑governance,
  • bristande dokumentation för hög­risk‑AI.

Här är maximibeloppen lägre än i övre tier, men fortfarande kännbara.

Lägre nivå ("lower tier")

För mer formella eller mindre allvarliga överträdelser, t.ex.:

  • underlåtenhet att lämna information till myndigheter,
  • mindre brister i transparenskrav för vissa AI‑system (t.ex. märkning av deepfakes) när risken för skada är begränsad.

Bedömningsfaktorer (art. 99–101)

När sanktionens storlek bestäms ska man beakta bl.a.:

  • Överträdelsens art, varaktighet och allvar.
  • Om överträdelsen var uppsåtlig eller grovt oaktsam.
  • Vilka åtgärder som vidtagits för att mildra skador.
  • Tidigare överträdelser ("historik").
  • Grad av samarbete med myndigheten.

Detta gör att god dokumentation och aktivt samarbete ofta kan minska sanktionsnivån avsevärt.

Quiz – Vilken överträdelse är mest allvarlig?

Fundera på vilken typ av överträdelse som typiskt hamnar i den högsta sanktionsnivån.

Vilken av följande situationer ligger närmast de överträdelser som typiskt kan ge de högsta bötesnivåerna enligt AI‑förordningen?

  1. Ett företag glömmer att uppdatera sin interna AI‑policy på intranätet.
  2. Ett företag använder ett förbjudet AI‑system för social poängsättning av medborgare.
  3. Ett företag lämnar in en rapport om allvarlig incident två dagar för sent.
Show Answer

Answer: B) Ett företag använder ett förbjudet AI‑system för social poängsättning av medborgare.

Användning av förbjudna AI‑system (t.ex. vissa former av social poängsättning) hör till de allvarligaste överträdelserna och kan ge de högsta bötesnivåerna. De andra två är formella eller mindre allvarliga brister.

Steg 7 – Förhållande till nationell processrätt och andra sanktionsregimer

Även om AI‑förordningen är direkt tillämplig i medlemsstaterna, sker tillämpningen genom nationella institutioner och processer.

Nationell processrätt

  • Vem beslutar om sanktionsavgift? I Sverige kan det bli:
  • en förvaltningsmyndighet (med möjlighet till överklagande till domstol), eller
  • direkt en domstol.
  • Beviskrav, preskriptionstid, möjligheter till överklagande m.m. följer svensk rätt, så länge de är förenliga med EU‑rätten.

Parallella sanktionsregimer

Samma AI‑system kan omfattas av flera regelverk samtidigt, t.ex.:

  • AI‑förordningen (produkt‑ och systemperspektiv)
  • GDPR (personuppgiftsbehandling)
  • Sektorslagstiftning (t.ex. finansiell reglering, medicinteknik, transport)
  • Konsumentskydd (otillbörlig marknadsföring, vilseledande information)

Konsekvens:

  • Ett företag kan få flera olika sanktioner för samma underliggande beteende.
  • Det är därför viktigt att ha en samordnad compliance‑strategi, inte separata silos för varje regelverk.

Steg 8 – Bygg en intern process för att minska sanktionsrisk

Nu omsätter vi reglerna i konkreta interna processer. Föreställ dig att du ska designa en enkel "AI Compliance‑process" för ett medelstort företag.

Uppgift: Skissa (i punktform) en process med minst 5 steg som minskar risken för:

  • överträdelser av AI‑förordningen,
  • höga sanktionsavgifter om något går fel.

> Tänk på hela livscykeln: utveckling → införande → drift → incidenthantering.

När du är klar, jämför med detta exempel:

  1. Förhandsbedömning
  • Klassificera alla AI‑projekt (hög risk? begränsad risk? förbjuden typ?).
  • Involvera jurist/dataskyddsombud tidigt.
  1. Design & dokumentation
  • Upprätta riskhanteringsplan enligt AI‑förordningen.
  • Dokumentera dataurval, fairness‑tester, modellarkitektur.
  1. Granskning före driftsättning
  • Intern "AI‑review" med tvärfunktionellt team.
  • Kontrollera transparenskrav (information till användare, märkning av AI‑interaktion, deepfakes m.m.).
  1. Övervakning i drift
  • Löpande loggning och prestandaövervakning.
  • Tydlig process för att pausa eller stänga av systemet vid risk.
  1. Klagomål & incidenter
  • Lättillgänglig kanal för klagomål från berörda personer.
  • Intern visselblåsarkanal i linje med EU:s visselblåsarregler.
  • Tydliga rutiner för rapportering av allvarliga incidenter till myndigheter.
  1. Årlig genomgång
  • Genomför regelbundna interna audits av samtliga hög­risk‑AI‑system.
  • Uppdatera rutiner utifrån nya riktlinjer från AI Office/EAIB.

Steg 9 – Repetition av nyckelbegrepp

Använd korten för att repetera de viktigaste begreppen från kapitlen VIII–X.

Marknadskontrollmyndighet
Nationell myndighet som övervakar att AI‑system på marknaden uppfyller AI‑förordningens krav och kan kräva information, göra inspektioner och besluta om korrigerande åtgärder.
Hög­risk‑AI‑system
AI‑system som omfattas av särskilt stränga krav enligt AI‑förordningen (bl.a. riskhantering, data‑governance, dokumentation, mänsklig översyn) och som är centrala i marknadskontroll och sanktionsregler.
Klagomål (art. 76)
Möjlighet för personer som påverkas av ett AI‑system att vända sig till behörig myndighet för att rapportera misstänkta överträdelser eller problem.
Visselblåsare (art. 79)
Person inom en organisation som rapporterar överträdelser eller risker kopplade till AI‑förordningen och som ska skyddas mot repressalier.
Sanktionsavgift
Administrativ böter/avgift som kan beslutas vid överträdelser av AI‑förordningen. Nivån ska vara effektiv, proportionerlig och avskräckande, med olika maxnivåer beroende på överträdelsens allvar.
Korrigerande åtgärder
Åtgärder som myndigheter kan kräva av leverantörer eller användare, t.ex. uppdatering av system, begränsning av användning eller återkallelse från marknaden.
Nationell processrätt
De nationella regler som styr hur tillsynsbeslut fattas, överklagas och verkställs. AI‑förordningen anger vad som ska vara möjligt, men inte exakt hur processen ser ut i varje land.

Key Terms

AI Office
En enhet inom Europeiska kommissionen som samordnar genomförandet av AI‑förordningen, tar fram vägledning och stöder nationella myndigheter.
Klagomål
Formell anmälan eller rapport från en berörd person till en myndighet om misstänkt överträdelse av AI‑förordningen eller problem med ett AI‑system.
Visselblåsare
Person som rapporterar missförhållanden eller överträdelser inom en organisation och som enligt EU‑rätten har rätt till skydd mot repressalier.
Sanktionsavgift
Administrativ ekonomisk sanktion (böter) som kan beslutas av behörig myndighet eller domstol vid överträdelse av AI‑förordningen.
Marknadskontroll
System av myndighetsåtgärder för att säkerställa att produkter och system på marknaden uppfyller tillämpliga regler. Inkluderar inspektioner, tester och krav på korrigerande åtgärder.
AI‑förordningen
EU‑förordning om artificiell intelligens som antogs 2024 och successivt träder i kraft från mitten av 2020‑talet. Syftar till att säkerställa säker och rättighetsrespekterande användning av AI i EU.
Nationell processrätt
Regler i ett lands rättsordning som styr hur myndigheter och domstolar handlägger ärenden, fattar beslut, tar upp bevis och hur beslut kan överklagas.
Korrigerande åtgärder
Åtgärder som vidtas för att rätta till en överträdelse eller risk, t.ex. uppdatering, begränsning eller återkallelse av ett AI‑system.
Hög­risk‑AI‑system
AI‑system som enligt AI‑förordningen anses innebära betydande risker för hälsa, säkerhet eller grundläggande rättigheter och därför omfattas av strängare krav.
European Artificial Intelligence Board (EAIB)
Ett EU‑organ bestående av representanter från medlemsstaternas myndigheter som ska bistå kommissionen, främja enhetlig tillämpning av AI‑förordningen och underlätta samarbete.