SkarpSkarp
Get the App

Chapter 12 of 12

Sammanfattande tillämpning: Artikel‑för‑artikel‑checklista för din verksamhet

En praktiskt inriktad, sammanfattande modul där vi knyter ihop de viktigaste artiklarna till en enkel checklista och arbetsgång för att bedöma hur AI‑förordningen påverkar en konkret verksamhet eller ett specifikt AI‑projekt.

15 min readsv

Översikt: Från juridisk text till praktisk checklista

I den här modulen gör vi AI‑förordningen (EU) 2024/1689 användbar i din vardag.

Målet är att du efter 15 minuter kan ta ett konkret AI‑projekt och gå igenom en enkel artikel‑för‑artikel‑checklista:

  1. Omfattas vi alls? (artiklarna 1–3)
  2. Finns förbjudna metoder? (artikel 5)
  3. Är det högrisk‑AI? (artiklarna 6–7, bilaga III)
  4. Vilken roll har vi – och vilka skyldigheter följer? (artiklarna 16–29)
  5. Vad krävs i praktiken? (konformitet, dokumentation, transparens, övervakning)
  6. Hur förbereder vi oss för tillsyn, incidenter och uppdateringar? (kap. VIII–XIII)

> Tidslinje‑påminnelse (relativt idag, januari 2026):

> - Förordningen antogs 2024 och har gradvis börjat gälla sedan 2024–2025.

> - Vissa regler (t.ex. för förbjudna metoder) gäller tidigare, högrisk‑kraven får längre övergång.

> - Du behöver därför både se på vad som redan gäller och vad som kommer gälla för ditt system när det släpps/uppdateras.

I de följande stegen går vi igenom en praktisk arbetsgång med frågor du kan kopiera rakt in i en intern checklista eller mall.

Steg 1 – Grundfrågan: Omfattas vi av AI‑förordningen? (artiklarna 1–3)

Börja alltid här. Artiklarna 1–3 definierar tillämpningsområde och vad som är ett AI‑system.

1A. Är detta ett AI‑system enligt artikel 3?

AI‑förordningen definierar ett AI‑system som ett system som:

  • använder maskininlärning, logik‑/kunskapsbaserade metoder eller statistiska metoder, och
  • kan generera utdata (t.ex. förutsägelser, rekommendationer, beslut) som påverkar miljön den interagerar med.

Självtest – kryssa mentalt i:

  • [ ] Använder vi träningsdata eller förtränade modeller för att förbättra prestanda över tid?
  • [ ] Fattar systemet (helt eller delvis) automatiserade beslut eller ger beslutsunderlag?
  • [ ] Skulle systemet fortfarande fungera likadant om vi ersatte AI‑delen med ett helt statiskt, regelbaserat Excel‑ark? Om nej, är det sannolikt ett AI‑system.

> Om du svarar ja på minst två första punkterna är projektet troligen ett AI‑system enligt artikel 3.

1B. Faller verksamheten inom tillämpningsområdet? (artikel 1)

Fundera kort över:

  • Var används systemet? I EU eller riktat till personer i EU? (då omfattas det normalt)
  • Vem är ni? Leverantör, användare, importör, distributör, eller bara intern utveckling?

📝 Reflektionsövning (skriv gärna ned i punktform):

  1. Beskriv ditt AI‑projekt i 2 meningar.
  2. Skriv: "Ja/Nej, jag bedömer att detta är ett AI‑system enligt artikel 3 därför att…"
  3. Skriv: "Ja/Nej, systemet används eller riktas till personer i EU därför att…"

Detta blir första delen av din interna AI‑förordnings‑logg för projektet.

Snabbkoll: Är det ett AI‑system?

Testa din förståelse av artikel 3‑definitionen.

Vilket av följande är *troligast* att klassas som ett AI‑system enligt AI‑förordningen?

  1. Ett helt statiskt PDF‑dokument med en lista över regler som en människa läser och följer.
  2. En modell som tränats på historiska kunddata för att förutsäga vilka kunder som riskerar att säga upp sitt abonnemang.
  3. En enkel miniräknare som bara gör plus och minus utan att lära sig av data.
Show Answer

Answer: B) En modell som tränats på historiska kunddata för att förutsäga vilka kunder som riskerar att säga upp sitt abonnemang.

Alternativ 2 använder data och en inlärd modell för att generera förutsägelser och är typiskt ett AI‑system enligt artikel 3. Alternativ 1 är bara statiskt innehåll, alternativ 3 är ett rent deterministiskt verktyg utan inlärning eller avancerad inferens.

Steg 2 – Förbjudna metoder (artikel 5): Snabb röd‑flagg‑kontroll

Innan du går vidare: säkerställ att projektet inte hamnar under artikel 5 (förbjudna AI‑metoder).

Artikel 5 (med senare justeringar) förbjuder bl.a.:

  • Manipulativt beteende som utnyttjar sårbarheter (t.ex. barn, funktionsnedsättning) på ett sätt som kan orsaka skada.
  • Social scoring av fysiska personer av offentliga myndigheter, med vissa undantag.
  • Viss typ av biometrisk fjärridentifiering i realtid i offentligt tillgängliga utrymmen för brottsbekämpning (med begränsade undantag).

Praktisk checklista (Ja/Nej)

  • [ ] Bygger systemet på att manipulera beteende (t.ex. genom dolda tekniker) för att kringgå en persons fri vilja?
  • [ ] Gör ni någon form av systematisk ranking eller poängsättning av individer som påverkar deras rättigheter (social scoring)?
  • [ ] Använder ni biometrisk identifiering (ansikte, röst, gångstil etc.) i real‑tid i offentliga miljöer?

> Om du svarar Ja på någon punkt: stoppa och gör en fördjupad juridisk analys. Mycket kan vara helt förbjudet eller endast tillåtet i extremt snäva offentliga tillämpningar.

Dokumentera i din AI‑logg:

  • "Vi har kontrollerat artikel 5. Projektet använder/inte använder förbjudna metoder därför att…"

Steg 3 – Är det högrisk‑AI? (artiklarna 6–7 och bilaga III)

Nu avgör du om projektet är högrisk. Detta är centralt, eftersom de tyngsta kraven i kapitel III–IV gäller just högrisk‑system.

3A. Två huvudvägar till högrisk

  1. AI som är en säkerhetskomponent i produkter som redan är reglerade (t.ex. medicinteknik, maskiner) – artikel 6.
  2. AI som finns med i bilaga III (t.ex. rekrytering, kreditbedömning, vissa utbildningssystem, tillgång till sociala förmåner, brottsbekämpning, kritisk infrastruktur).

3B. Praktisk sorteringsövning

Föreställ dig ett diagram med tre lådor:

  • Låda 1: "Reglerade produkter" (medicinteknik, fordon, leksaker etc.)
  • Låda 2: "Bilaga III‑områden"
  • Låda 3: "Övriga AI‑system"

📝 Gör så här för ditt projekt:

  1. Reglerad produkt?
  • Är AI‑systemet inbyggt i en produkt som redan omfattas av t.ex. medicinteknik‑förordningen, maskinförordningen, leksaksdirektivet osv?
  • Om ja: stor chans att det är högrisk.
  1. Bilaga III?
  • Rör systemet: rekrytering, utbildningsurval, kreditvärdering, migration/asyl, brottsbekämpning, domstolsväsende, kritisk infrastruktur, sociala förmåner?
  • Om ja: kontrollera den exakta punkten i bilaga III.
  1. Annat?
  • Om varken 1 eller 2: sannolikt inte högrisk, men andra regler (t.ex. transparens) kan ändå gälla.

Skriv i AI‑loggen:

  • "Vi bedömer att systemet är (inte är) högrisk enligt artikel 6–7 och bilaga III därför att…"

Exempel: Högrisk‑bedömning i praktiken

Exempel 1 – Rekryteringsverktyg

Ett företag tar fram ett AI‑baserat verktyg som automatiskt sorterar och rankar CV:n åt kundföretag.

Analys:

  • Omfattas? Ja, AI‑system som påverkar beslut om anställning.
  • Bilaga III innehåller AI för rekrytering och urval av personer till anställning.
  • Slutsats: Högrisk‑AI.

Konsekvens:

  • Leverantören måste uppfylla kraven i kapitel III (riskhantering, data, dokumentation, loggning, transparens, mänsklig översyn, robusthet, cybersäkerhet) och kapitel IV (artiklarna 16–29 om roller/skyldigheter).

---

Exempel 2 – Chatbot i kundtjänst

En bank inför en enkel chatbot som svarar på vanliga frågor om öppettider och allmän information, utan att fatta beslut om lån eller kredit.

Analys:

  • Omfattas? Ja, troligen ett AI‑system.
  • Inte säkerhetskomponent i reglerad produkt.
  • Inte listat i bilaga III (så länge den inte beslutar om t.ex. kreditvärdighet).
  • Slutsats: Inte högrisk.

Konsekvens:

  • Högrisk‑kraven gäller inte.
  • Men andra regler kan gälla, t.ex. transparenskrav för AI‑baserade chatbots (användaren ska veta att hen interagerar med AI).

Steg 4 – Kartlägg roller och ansvar (kapitel IV, artiklarna 16–29)

När du vet om systemet är högrisk eller inte, måste du fastställa vilken roll din organisation har. Kapitel IV definierar:

  • Leverantör (provider) – den som utvecklar eller låter utveckla ett AI‑system och släpper ut det på marknaden eller tar det i bruk under eget namn/varumärke.
  • Användare (deployer/user) – den som använder ett AI‑system i sin verksamhet.
  • Importör – den som för in ett AI‑system från tredjeland till EU‑marknaden.
  • Distributör – den som tillhandahåller ett AI‑system utan att vara leverantör eller importör.

> Samma organisation kan ha flera roller för olika system, eller t.o.m. både leverantör och användare för samma system.

Checklista – vem är vi för detta projekt?

  • [ ] Vi utvecklar systemet och sätter vårt namn/varumärke på det → Leverantör (artikel 16 ff.)
  • [ ] Vi köper in ett system och använder det internt → Användare (artikel 26 ff.)
  • [ ] Vi tar in systemet från land utanför EU och säljer här → Importör (artikel 24)
  • [ ] Vi säljer vidare inom EU utan att ändra systemet → Distributör (artikel 25)

📝 Skriv i AI‑loggen:

  • "För detta system är vi: leverantör / användare / importör / distributör (välj alla som gäller) därför att…"

Detta styr exakt vilka artiklar i kapitel IV som du måste läsa extra noga.

Begreppskoll: Roller i AI‑förordningen

Använd korten för att repetera de viktigaste rollerna i kapitel IV.

Leverantör (provider)
En fysisk eller juridisk person, offentlig myndighet, byrå eller annat organ som utvecklar ett AI‑system eller låter utveckla det och släpper ut det på marknaden eller tar det i bruk under eget namn eller varumärke.
Användare (deployer/user)
En fysisk eller juridisk person, offentlig myndighet, byrå eller annat organ som använder ett AI‑system i sin verksamhet, utom när användningen sker i rent privat, icke‑yrkesmässigt syfte.
Importör
En fysisk eller juridisk person som är etablerad i EU och släpper ut ett AI‑system från ett tredjeland på EU‑marknaden.
Distributör
En fysisk eller juridisk person i leveranskedjan, annan än leverantör eller importör, som tillhandahåller ett AI‑system på marknaden.

Steg 5 – Vad innebär rollen? Nyckelartiklar 16–29

Här är en komprimerad att‑göra‑lista beroende på roll (särskilt för högrisk‑AI):

Om ni är leverantör av högrisk‑AI (artikel 16–23)

Minst:

  • Upprätta ett riskhanteringssystem (artikel 9).
  • Säkerställa data‑ och datastyrningskrav (artikel 10).
  • Ta fram teknisk dokumentation (artikel 11).
  • Säkerställa loggning (artikel 12).
  • Uppfylla transparens och information till användare (artikel 13).
  • Säkerställa mänsklig översyn (artikel 14).
  • Uppfylla krav på robusthet, cybersäkerhet och noggrannhet (artikel 15).
  • Göra konformitetsbedömning (kapitel III, artiklarna 43–51).
  • Registrera systemet i relevanta EU‑databaser där det krävs.
  • Införa kvalitets‑ och övervakningsprocesser (ex. post‑market monitoring, artikel 61).

Om ni är användare av högrisk‑AI (artikel 26)

Minst:

  • Använd systemet enligt leverantörens instruktioner.
  • Säkerställa att inmatade data är relevanta och korrekta.
  • Göra mänsklig kontroll där det krävs (inte blindt följa AI‑utdata).
  • Dokumentera användningen (loggar, ändamål, beslutsprocess).
  • Hantera och rapportera allvarliga incidenter till leverantör och myndigheter.

Om ni är importör eller distributör (artiklarna 24–25)

  • Kontrollera att systemet har CE‑märkning, dokumentation och instruktioner.
  • Se till att inga ändringar görs som kan påverka överensstämmelsen.
  • Samarbeta med myndigheter vid tillsyn.

📝 Praktiskt tips: Gör en radsammanställning i ett kalkylark: kolumner = relevanta artiklar, rader = "Åtgärd i vår organisation", "Ansvarig", "Status".

Steg 6 – Planera konformitetsbedömning, dokumentation och transparens

Nu omsätter du kraven i en arbetsplan.

6A. Konformitetsbedömning (särskilt högrisk)

Fundera över:

  • Behöver vi en intern konformitetsbedömning, eller krävs ett anmält organ (notified body)?
  • Vilka standarder eller harmoniserade tekniska specifikationer kan vi luta oss mot?

📝 Skriv ned:

  • "Typ av konformitetsbedömning för detta system är…"
  • "Vi planerar att använda följande standarder/riktlinjer…"

6B. Dokumentation

Lista vilka dokument ni behöver skapa/uppdatera:

  • [ ] Teknisk dokumentation (systemdesign, data, modeller, tester).
  • [ ] Riskanalys och riskhanteringsplan.
  • [ ] Användarinstruktioner och varningar.
  • [ ] Dataskydds‑/integritetsdokumentation (t.ex. DPIA enligt GDPR, om relevant).

6C. Transparens mot användare och registrerade

För alla AI‑system (inte bara högrisk) kan transparenskrav gälla, t.ex.:

  • Användaren ska förstå att hen interagerar med AI.
  • För generativ AI: information om att innehåll är AI‑genererat, och vissa skyldigheter kring träningsdata och upphovsrätt.

🧠 Reflektionsövning:

Formulera en kort "AI‑informationsruta" (2–3 meningar) som skulle visas för användaren när hen möter systemet. Den ska besvara:

  • Vad gör AI‑systemet?
  • Hur påverkar det användaren?
  • Vilka val har användaren (t.ex. mänskligt alternativ)?

Steg 7 – Förberedelse för tillsyn, incidenthantering och uppdateringar

Nu knyter vi an till det du lärt dig om kapitel VIII–XIII i tidigare moduler.

7A. Tillsyn och marknadskontroll

Nationella tillsynsmyndigheter och marknadskontrollmyndigheter kan:

  • Begära information och dokumentation.
  • Kräva korrigerande åtgärder eller stopp för system.
  • Utfärda sanktionsavgifter vid överträdelser.

Frågor för din checklista:

  • [ ] Vet vi vilken myndighet som är relevant i vårt land/sektor?
  • [ ] Har vi en kontaktpunkt internt för myndighetsförfrågningar?
  • [ ] Har vi en uppdaterad dokumentationsmapp för varje AI‑system?

7B. Incidenthantering

För högrisk‑system måste allvarliga incidenter och funktionsstörningar rapporteras.

  • [ ] Har vi en process för att upptäcka och bedöma incidenter (tekniska fel, skadliga utfall, bias)?
  • [ ] Vet vi vem som rapporterar vad, till vem och inom vilken tidsram?
  • [ ] Kopplar vi detta till befintliga processer (t.ex. informationssäkerhet, dataskydd, kvalitetsledning)?

7C. Uppdateringar av regelverket

AI‑förordningen kompletteras över tid av:

  • Genomförandeakter, riktlinjer och standarder.
  • Ändringar i annan lagstiftning (kapitel XI–XIII) som påverkar t.ex. sektorsregler.
  • [ ] Har vi någon som följer regulatoriska uppdateringar (t.ex. jurist, compliance, DPO)?
  • [ ] Har vi en rutin för att revidera våra AI‑policys när regler ändras?

Checka din handlingsplan

Vilket av följande är mest rimligt som första konkreta steg efter att du gjort den här artikel‑för‑artikel‑checken för ett nytt högrisk‑projekt?

Vad bör du göra först efter den initiala bedömningen?

  1. Direkt lansera systemet i produktion, för att sedan i efterhand se vilka artiklar som gäller.
  2. Skapa en enkel intern åtgärdsplan där du mappar varje relevant artikel (t.ex. 9–15, 16–23, 26) till konkreta aktiviteter, ansvariga och tidsplan.
  3. Vänta tills alla detaljerade standarder är klara innan du gör något, även om det dröjer flera år.
Show Answer

Answer: B) Skapa en enkel intern åtgärdsplan där du mappar varje relevant artikel (t.ex. 9–15, 16–23, 26) till konkreta aktiviteter, ansvariga och tidsplan.

Det mest rimliga är att direkt omsätta din bedömning till en konkret åtgärdsplan kopplad till relevanta artiklar. Att lansera först och reglera sen är riskabelt, och att vänta passivt på alla detaljerade standarder är inte förenligt med att regler redan gäller eller snart börjar gälla.

Steg 8 – Formulera dina nästa steg (policy, processer, utbildning)

Avslutningsvis ska du formulera nästa steg för din organisation.

8A. Identifiera kritiska kapitel och artiklar

Utifrån ditt projekt:

  • Skriv ned 3–5 artiklar som är mest kritiska för er (t.ex. 5, 9–15, 16, 26, 61, 69 ff.).
  • Koppla varje artikel till en intern funktion (t.ex. utveckling, HR, juridik, säkerhet).

8B. Policy och processer

Fundera på:

  • Behöver ni en övergripande AI‑policy som beskriver hur ni följer AI‑förordningen?
  • Vilka konkreta processer saknas eller måste uppdateras? (t.ex. projektstart‑checklistor, modellvalidering, mänsklig översyn, incidentrapportering)

8C. Utbildning

  • Vilka grupper behöver grundläggande utbildning (t.ex. produktägare, utvecklare, jurister, ledning)?
  • Behöver ni fördjupad utbildning för vissa (t.ex. de som jobbar med högrisk‑system)?

📝 Mini‑övning – skriv tre meningar:

  1. "Våra tre viktigaste artiklar i AI‑förordningen just nu är…"
  2. "Nästa steg för att implementera kraven internt är…"
  3. "För att känna mig tryggare i att läsa och tolka artiklar själv ska jag…" (t.ex. läsa vissa artiklar i fulltext, följa en myndighets vägledning, diskutera i en intern grupp).

Spara detta som sammanfattningen i din AI‑logg för projektet – det blir startpunkten för fortsatt arbete.

Key Terms

Bilaga III
Bilaga till AI‑förordningen som listar särskilda användningsområden där AI‑system anses vara högrisk, t.ex. rekrytering, utbildning, kreditvärdering, migration, brottsbekämpning och kritisk infrastruktur.
AI‑system
System som använder maskininlärning, logik‑/kunskapsbaserade metoder eller statistiska metoder för att generera utdata som påverkar miljön det interagerar med, enligt artikel 3.
Högrisk‑AI
AI‑system som antingen är säkerhetskomponenter i reglerade produkter eller som listas i bilaga III (t.ex. rekrytering, kreditbedömning, vissa utbildnings‑ och myndighetssystem) och därför omfattas av särskilt stränga krav.
Marknadskontroll
Myndigheternas övervakning av att AI‑system på marknaden uppfyller kraven i AI‑förordningen, inklusive möjligheten att ingripa mot system som inte följer reglerna.
AI‑förordningen
EU‑förordning (EU) 2024/1689 om harmoniserade regler för artificiell intelligens (AI Act). Direkt tillämplig i alla medlemsstater med gradvis tillämpning från 2024 och framåt.
Allvarlig incident
Händelse eller funktionsstörning hos ett AI‑system som leder till eller skulle kunna leda till betydande skada på hälsa, säkerhet, grundläggande rättigheter eller egendom och som kan utlösa rapporteringsskyldighet.
Konformitetsbedömning
Process för att visa att ett AI‑system uppfyller tillämpliga krav i AI‑förordningen, ofta kopplat till CE‑märkning för högrisk‑system.
Leverantör (provider)
Aktör som utvecklar eller låter utveckla ett AI‑system och släpper ut det på marknaden eller tar det i bruk under eget namn eller varumärke.
Användare (deployer/user)
Aktör som använder ett AI‑system i sin verksamhet, med undantag för rent privat, icke‑yrkesmässig användning.