SkarpChapter 5 of 9
Kapitel III, artiklarna 21–27: Riskbedömning, olyckor och korrigerande åtgärder
Vad händer när något går fel – eller riskerar att gå fel? I denna del följer du hela kedjan från intern riskbedömning via incidentrapportering till beslut om varningar, reparationer och återkallelser.
Överblick: Kapitel III och artiklarna 21–27
Kapitel III – vad handlar det om?
Kapitel III i GPSR 2023/988 styr vad som händer när något går fel eller riskerar att gå fel med en konsumentprodukt. Fokus: riskbedömning, incidenter och korrigerande åtgärder.
Artiklarna 21–23
Art. 21–23 kräver systematisk riskbedömning och intern övervakning. Det gäller både innan produkten släpps och medan den finns på marknaden, inklusive digitala funktioner och uppdateringar.
Artiklarna 24–25
Art. 24–25 reglerar hur företag ska ta emot, analysera och dokumentera klagomål, tillbud och olyckor, samt använda marknadsdata och online-information för att upptäcka nya risker.
Artiklarna 26–27
Art. 26–27 handlar om frivilliga och obligatoriska korrigerande åtgärder, från varningar och reparationer till full återkallelse, och hur företag ska samarbeta med myndigheter.
Ditt lärandemål
Efter modulen ska du kunna utforma en riskbedömningsprocess enligt art. 21–23 och förstå hur incidenter ska utredas och leda till proportionerliga åtgärder enligt art. 24–27.
Steg 1: Vad kräver artiklarna 21–23 om riskbedömning?
Systematisk riskbedömning
Art. 21 kräver en systematisk riskbedömning innan produkten släpps ut på marknaden. Du ska identifiera alla rimligen förutsebara risker under hela livscykeln.
Löpande övervakning
Art. 21–22 kräver att du övervakar produkten efter utsläppande: samla in klagomål, olycksdata, serviceärenden och information från online-marknadsplatser.
Digitala risker
Art. 21.2 betonar digitala risker: programfel, cybersäkerhetsbrister, AI-beslut, fjärruppdateringar och hur produkten samverkar med andra system.
Dokumentationskrav
Enligt art. 23 ska riskbedömningen dokumenteras och hållas uppdaterad. Myndigheter ska kunna granska hur du identifierat och värderat risker.
GPSR som förordning
GPSR är en EU-förordning, vilket betyder att reglerna gäller direkt i alla medlemsstater utan nationell implementering i form av ett nytt direktiv.
Steg 2: Exempel – riskbedömning för en uppkopplad leksak
Produkten: uppkopplad nalle
Du är tillverkare av en uppkopplad nallebjörn med mikrofon, högtalare och app. Användare är barn 3–7 år, främst i hemmiljö.
Identifiera faror
Fysiska faror: kvävningsrisk, batterilucka, brandrisk. Kemiska faror: material och färger. Digitala faror: intrång i mikrofon, dataläckage, osäkra uppdateringar.
Scenarier
Exempel: ögon lossnar och sväljs; hackare tar kontroll över nallen; felaktig app-uppdatering orsakar överhettning vid laddning.
Risknivåer
Bedöm sannolikhet och allvarlighetsgrad. Obehörig åtkomst till mikrofonen kan vara mycket allvarlig, men sannolikheten kan sänkas med stark säkerhet.
Åtgärder och dokumentation
Vidta fysiska och digitala skyddsåtgärder, och dokumentera allt i en riskbedömningsrapport som uppdateras när nya risker upptäcks.
Steg 3: Designa en enkel riskbedömningsprocess (övning)
Steg 3: Designa en enkel riskbedömningsprocess (övning)
Föreställ dig att du är säkerhetsansvarig på ett mindre företag som säljer smarta LED-lampor för hemmet via en online-marknadsplats.
Din uppgift: Skissa en fyrastegsprocess för riskbedömning enligt art. 21–23.
Uppgift
Skriv ned (på papper eller i ett dokument):
- Steg A – Insamling av information före lansering
- Vilka källor använder du? (t.ex. standarder, olycksdatabaser, tidigare produkter, konkurrenters återkallelser)
- Steg B – Själva riskanalysen
- Hur går du igenom produkten?
- Hur säkerställer du att både fysiska och digitala risker ingår?
- Vilken enkel metod kan du använda för att värdera risk (t.ex. matris låg/medel/hög)?
- Steg C – Beslut om åtgärder
- Hur bestämmer du vilka risker som måste minskas?
- Hur dokumenterar du besluten (mall, checklista, protokoll)?
- Steg D – Löpande övervakning
- Hur fångar du upp nya risker efter lansering?
- Vilka kanaler följer du (kundsupport, recensioner, sociala medier, säkerhetsbulletiner)?
- Hur ofta gör du en formell genomgång (t.ex. kvartalsvis)?
Reflektionsfråga
- Vilka digitala risker kan finnas för en smart LED-lampa, förutom rena IT-säkerhetsfrågor? (t.ex. effekter av felaktiga uppdateringar, integritet, interoperabilitet med andra system)
Försök skriva din process på max 10–15 meningar. Tänk att en tillsynsmyndighet ska kunna förstå hur ni jobbar bara genom att läsa den.
Steg 4: Artiklarna 24–25 – klagomål, olyckor och marknadsinformation
System för klagomål
Art. 24 kräver ett system för att ta emot och registrera klagomål. Kunder ska lätt kunna kontakta dig, och säkerhetsrelaterade klagomål ska dokumenteras noggrant.
Olyckor och tillbud
Du måste kunna känna igen när ett klagomål är en säkerhetsincident. Allvarliga olyckor kräver snabb analys och ibland rapportering till myndigheter.
Marknadsinformation
Art. 25 kräver att du aktivt följer recensioner, sociala medier, distributörsrapporter och offentliga varningssystem för att upptäcka nya risker.
Uppdatera riskbedömningen
Nya typer av klagomål eller olyckor ska leda till att du uppdaterar din riskbedömning och ser över om tidigare åtgärder var tillräckliga.
Spårbarhetens roll
Spårbarhet enligt art. 14–20 gör det möjligt att snabbt identifiera vilka batcher eller serier som påverkas när en incident rapporteras.
Steg 5: Exempel – från kundklagomål till incidentutredning
Tre klagomål
Du säljer powerbanks. Först: överhettning och missfärgad plast. Sedan: rökutveckling. Till sist: explosion med mindre brandskada.
Registrera och klassificera
Enligt art. 24 ska du registrera alla klagomål, koppla dem till batcher och klassificera dem som säkerhetsrelaterade med olika allvarlighetsgrad.
Intern utredning
Samla in produkter, analysera produktion och komponenter, och jämför med din ursprungliga riskbedömning. Hade du förutsett just dessa scenarier?
Uppdatera och agera
Om du ser ett mönster måste riskanalysen uppdateras. Bedöm om varningar, utbytesprogram eller återkallelse krävs enligt art. 26–27.
Vikten av dokumentation
Dokumentera hela kedjan från första klagomål till beslut. Denna dokumentation är avgörande vid dialog med marknadskontrollmyndigheter.
Steg 6: Snabbtest – klagomål och marknadsinformation
Testa din förståelse av artiklarna 24–25.
Vilket påstående stämmer bäst med GPSR:s krav i art. 24–25?
- Företag behöver bara registrera klagomål som kommer direkt via e-post till kundtjänst.
- Klagomål och information från marknaden ska systematiskt samlas in, dokumenteras och användas för att uppdatera riskbedömningen.
- Endast klagomål som leder till personskador är relevanta för säkerhetsarbetet.
Show Answer
Answer: B) Klagomål och information från marknaden ska systematiskt samlas in, dokumenteras och användas för att uppdatera riskbedömningen.
Art. 24–25 kräver att du systematiskt samlar in och hanterar klagomål och annan marknadsinformation (inkl. recensioner m.m.) och använder detta för att uppdatera riskbedömningen. Det gäller även klagomål utan personskada, eftersom de kan signalera en ny risk.
Steg 7: Artiklarna 26–27 – korrigerande åtgärder och återkallelser
Olika åtgärder
Art. 26 beskriver korrigerande åtgärder: varningar, tekniska åtgärder, begränsning av försäljning och full återkallelse av produkten.
Frivilligt eller påtvingat
Företag kan själva initiera frivilliga åtgärder. Om de inte räcker, eller vid allvarlig risk, kan myndigheter kräva obligatoriska åtgärder.
Proportionalitet
Åtgärder ska vara proportionerliga mot riskens art och allvar. Mindre risker kan hanteras med varningar, allvarliga risker kan kräva återkallelse.
Kommunikation
Du måste nå konsumenter effektivt: e-post, SMS, appar, sociala medier, återförsäljare. Myndigheter kan ge detaljerade krav på hur detta ska göras.
Digitala åtgärder
För uppkopplade produkter kan korrigerande åtgärder vara säkerhetsuppdateringar, funktionsbegränsningar eller fjärravstängning av farliga funktioner.
Steg 8: Välj proportionerlig åtgärd (övning)
Steg 8: Välj proportionerlig åtgärd (övning)
Nedan följer tre korta scenarier. Fundera på vilken typ av korrigerande åtgärd som är rimligast som första steg enligt art. 26–27.
Skriv gärna ned ditt resonemang i 2–3 meningar per scenario.
Scenario A – Felaktig märkning
En vattenkokare har felaktig maxfyllnadsmarkering. Om användaren fyller över den verkliga maxnivån kan vatten koka över och orsaka mindre brännskador.
- Vilken åtgärd? (t.ex. varning på webbplats, ny bruksanvisning, klisteretikett, återkallelse?)
- Vad avgör om du behöver gå upp till återkallelse?
Scenario B – Säkerhetsbrist i smart dörrlås
Ett smart dörrlås har en programvarubugg som gör att låset kan öppnas på distans av obehöriga med rätt teknisk kunskap.
- Vilken åtgärd? (t.ex. tvingad firmware-uppdatering, temporär avstängning av fjärrfunktion, återkallelse?)
- Hur snabbt måste du agera, med tanke på riskens karaktär?
Scenario C – Leksaksbil med smådelar
En leksaksbil avsedd för barn 3+ har hjul som lätt lossnar. Två rapporterade kvävningstillbud, inga dödsfall.
- Vilken åtgärd? (t.ex. varning, gratis reparation/utbyte, full återkallelse?)
- Hur påverkar det att målgruppen är små barn?
Reflektera över proportionalitet och hur du skulle argumentera för ditt val inför en tillsynsmyndighet.
Steg 9: Nyckelbegrepp att repetera
Använd korten för att repetera centrala begrepp från artiklarna 21–27.
- Systematisk riskbedömning (art. 21–23)
- En strukturerad process där alla rimligen förutsebara risker under produktens livscykel identifieras, analyseras, värderas och dokumenteras, inklusive digitala risker.
- Intern övervakning
- Löpande insamling och analys av information om produktens säkerhet när den finns på marknaden, t.ex. klagomål, serviceärenden och marknadsdata.
- Säkerhetsincident
- En händelse där en produkt orsakar eller riskerar att orsaka skada på hälsa eller säkerhet. Kan inkludera tillbud utan faktisk skada.
- Korrigerande åtgärd
- Åtgärd som vidtas för att eliminera eller minska en identifierad risk, t.ex. varningar, tekniska ändringar, begränsad försäljning eller återkallelse.
- Återkallelse
- En korrigerande åtgärd där konsumenter uppmanas att sluta använda produkten och returnera eller få den åtgärdad, ofta vid allvarliga risker.
- Proportionalitetsprincipen
- Principen att de åtgärder som vidtas ska stå i rimlig proportion till riskens allvar, omfattning och sannolikhet.
- Digitala risker i GPSR
- Risker kopplade till programvara, uppkoppling, cybersäkerhet, AI-funktioner och uppdateringar som kan göra en produkt osäker över tid.
Key Terms
- Återkallelse
- Process där en produkt aktivt tas bort från konsumenter, ofta genom att de uppmanas att returnera eller sluta använda produkten.
- Riskbedömning
- Systematisk process för att identifiera, analysera och värdera risker kopplade till en produkt, samt besluta om åtgärder.
- Ekonomisk aktör
- Samlingsbegrepp i GPSR för tillverkare, importörer, distributörer och auktoriserade representanter.
- Proportionalitet
- Princip som innebär att insatta resurser och åtgärder ska stå i rimlig proportion till den risk som ska hanteras.
- Digital komponent
- Programvara, uppkopplingsfunktion eller annan digital del av en produkt som kan påverka dess säkerhet.
- Säkerhetsincident
- Händelse där en produkt orsakar eller kan orsaka skada på personers hälsa eller säkerhet, inklusive tillbud utan faktisk skada.
- Intern övervakning
- Företagets löpande arbete med att samla in och utvärdera information om produktsäkerhet efter att produkten släppts ut på marknaden.
- Korrigerande åtgärder
- Åtgärder som vidtas för att hantera en identifierad säkerhetsrisk, t.ex. varningar, reparationer, uppdateringar, försäljningsstopp eller återkallelser.
- Safety Gate (tidigare RAPEX)
- EU:s snabba varningssystem för farliga konsumentprodukter, där myndigheter publicerar varningar och återkallelser.
- GPSR (General Product Safety Regulation) 2023/988
- EU:s allmänna produktsäkerhetsförordning som ersätter det tidigare produktsäkerhetsdirektivet. Innehåller direkt tillämpliga regler för konsumentprodukters säkerhet i hela EU.