AI-förordningen – krav och skyldigheter

Regleringen bygger på en riskbaserad modell där olika typer av AI-system omfattas av olika långtgående krav beroende på vilken påverkan de kan ha på individer, samhälle och grundläggande rättigheter. Detta innebär att AI inte längre kan betraktas som ett rent tekniskt verktyg, utan som ett rättsligt reglerat system med tydliga krav på styrning, dokumentation och ansvarsfördelning.

För företag innebär detta ett nytt lager av regelefterlevnad som i många fall går utöver traditionell IT-styrning och dataskydd. AI-förordningen griper in i hur produkter utvecklas, hur tjänster tillhandahålls och hur beslut fattas i organisationen. Den påverkar såväl tekniska funktioner som affärsprocesser och ledningsansvar.

Samtidigt är regelverket inte isolerat. Det samverkar med befintlig lagstiftning, särskilt dataskyddsregleringen enligt GDPR, men även produktansvar, konsumentskydd och diskrimineringsrätt. I praktiken innebär detta att företag måste hantera flera parallella regelverk där AI-förordningen ofta fungerar som ett kompletterande – och ibland skärpande – lager.

Denna guide syftar till att ge en strukturerad och praktiskt användbar förståelse av AI-förordningen ur ett företagsperspektiv. Fokus ligger inte enbart på vad reglerna säger, utan på hur de ska tolkas och tillämpas i verksamheten. Guiden behandlar centrala begrepp, ansvarsfördelning, riskklassificering och konkreta skyldigheter beroende på vilken roll ett företag har i relation till ett AI-system.

Det är viktigt att understryka att guiden inte är uttömmande. AI-förordningen är omfattande, dynamisk och i vissa delar beroende av kompletterande rättsakter, standarder och tillsynspraxis som fortsatt utvecklas. Guiden ska därför ses som ett stöd för förståelse och implementering.

Ambitionen är att ge en tillräckligt djup och nyanserad bild för att möjliggöra informerade beslut, identifiera risker i tid och lägga grunden för ett strukturerat arbete med AI-regelefterlevnad i organisationen.

AI-förordningens tillämpningsområde är brett och teknikneutralt, vilket innebär att den inte är knuten till en specifik typ av teknik utan till funktion och användning. För företag är det därför avgörande att förstå när ett system faktiskt omfattas av regleringen – och i vilken roll verksamheten agerar.

Utgångspunkten är definitionen av ett AI-system. Förordningen tar sikte på system som, med varierande grad av autonomi, kan generera output såsom prediktioner, rekommendationer eller beslut som påverkar fysiska eller virtuella miljöer. Det avgörande är alltså inte om systemet benämns som “AI” i marknadsföring eller internt, utan om det funktionellt uppfyller dessa kriterier.

Detta innebär att många system som traditionellt betraktats som avancerad analys, automatisering eller beslutsstöd i praktiken kan omfattas. Gränsdragningen är i vissa fall komplex och kräver en materiell bedömning av systemets funktion, databehandling och påverkan på beslut eller processer.

Utöver själva systemet är rollfördelningen central. AI-förordningen skiljer mellan flera olika aktörer, där de mest praktiskt relevanta för företag är leverantör (provider) och användare (deployer).

En leverantör är den som utvecklar ett AI-system eller låter utveckla det och sedan tillhandahåller det på marknaden, antingen under eget namn eller varumärke. Detta gäller även när ett företag integrerar eller modifierar ett externt system på ett sådant sätt att det i praktiken blir ett eget erbjudande. Rollen innebär ett omfattande ansvar, särskilt för högrisk-AI, inklusive krav på dokumentation, riskhantering och efterlevnad innan systemet får tas i bruk.

En användare, eller deployer, är den som använder ett AI-system i sin verksamhet. Detta är ofta den mest underskattade rollen ur ett regelefterlevnadsperspektiv. Även om ansvaret är mindre omfattande än för leverantörer, finns det tydliga skyldigheter – särskilt när AI-system används i beslut som påverkar individer, exempelvis vid rekrytering, kreditbedömning eller kundinteraktion.

Därutöver finns ytterligare roller såsom importörer och distributörer, vilka aktualiseras när AI-system tillhandahålls från tredjeland. För många svenska företag blir dessa roller relevanta i samband med inköp av AI-tjänster från internationella leverantörer.

En särskild kategori som kräver egen analys är så kallade generella AI-modeller (general-purpose AI), såsom stora språkmodeller. Dessa omfattas av särskilda regler, särskilt om de anses ha systemisk påverkan. För företag som bygger egna tjänster ovanpå sådana modeller uppstår en komplex ansvarsfördelning där både modellutvecklaren och den som implementerar modellen kan omfattas av olika krav.

Sammanfattningsvis kräver AI-förordningen att företag gör en inledande kvalificering i två led: dels om ett system omfattas av definitionen av AI, dels vilken roll företaget har i relation till systemet. Denna klassificering är inte en formell engångsåtgärd, utan en rättslig bedömning som kan förändras över tid, exempelvis vid vidareutveckling av systemet eller förändrad användning.

I praktiken bör denna analys dokumenteras och integreras i verksamhetens styrning, eftersom den utgör utgångspunkt för samtliga efterföljande skyldigheter enligt förordningen.

AI-förordningens mest centrala konstruktion är dess riskbaserade modell. Hela regelverket är uppbyggt kring en gradvis differentiering av krav beroende på vilken risk ett AI-system anses medföra. För företag är detta den enskilt viktigaste utgångspunkten, eftersom samtliga skyldigheter – i praktiken – följer av hur ett system klassificeras.

Det innebär att regelefterlevnad inte börjar i juridiken, utan i en korrekt och välgrundad klassificering.

Förordningen opererar med fyra huvudsakliga risknivåer: förbjudna system, högrisk-AI, system med begränsad risk samt system med minimal eller ingen reglerad risk. Dessa nivåer ska inte förstås som teoretiska kategorier, utan som operativa trösklar som avgör om ett system överhuvudtaget får användas – och i så fall under vilka förutsättningar.

Den mest ingripande kategorin är förbjudna AI-system. Här rör det sig om tillämpningar som anses oförenliga med EU:s grundläggande värderingar, exempelvis vissa former av manipulativ påverkan eller social poängsättning. För företag är det centrala inte att dessa system är förbjudna i sig, utan att gränsdragningen i vissa fall kan vara mindre självklar än vad som först framstår. Funktioner som påverkar användarbeteende, personalstyrning eller kundbeslut kan – beroende på utformning – närma sig förbjudna områden utan att det är avsikten.

Den andra och i praktiken mest betydelsefulla kategorin är högrisk-AI. Det är här merparten av de tunga regulatoriska kraven återfinns. Ett system klassificeras som högrisk antingen genom sin funktion eller genom det sammanhang i vilket det används. Typiska exempel är AI i rekrytering, kreditbedömning, medicinska beslut eller kritisk infrastruktur.

Det avgörande är att klassificeringen inte enbart beror på tekniken, utan på användningsområdet. Ett och samma system kan därmed vara högrisk i ett sammanhang men inte i ett annat. Detta ställer krav på att företag inte enbart analyserar vad systemet gör, utan hur det används i verksamheten.

System med begränsad risk omfattas av mer avgränsade krav, framför allt kopplade till transparens. Det kan exempelvis handla om att användare ska informeras om att de interagerar med AI, eller att AI-genererat innehåll ska kunna identifieras som sådant. Även om kraven är mindre omfattande är de inte triviala, särskilt i kundnära verksamheter där förtroende och tydlighet är centrala.

Den lägsta kategorin – minimal risk – omfattar system som i praktiken faller utanför förordningens materiella krav. Det innebär dock inte att de är oreglerade. Andra regelverk, såsom GDPR eller marknadsföringsrätt, kan fortfarande vara tillämpliga.

En återkommande praktisk utmaning är att klassificeringen inte alltid är binär. Gränsfall uppstår särskilt i komplexa system där flera funktioner samverkar, eller där AI används som en delkomponent i en större lösning. I sådana fall krävs en mer finmaskig analys där olika delar av systemet kan omfattas av olika regler.

För företag innebär detta att riskklassificeringen bör formaliseras som en egen process. Det räcker inte med en intuitiv bedömning. Klassificeringen bör dokumenteras, motiveras och kunna försvaras vid en eventuell tillsyn. Den bör också uppdateras löpande, särskilt vid förändringar i systemets funktion, datainnehåll eller användningsområde.

Det är först när denna klassificering är korrekt genomförd som det blir möjligt att förstå vilka konkreta skyldigheter som följer.

Efter att ett AI-system har identifierats och riskklassificerats uppstår den kanske mest praktiskt avgörande frågan: vem bär ansvaret enligt AI-förordningen? Till skillnad från många andra regelverk är ansvaret här inte knutet enbart till ägande eller kontroll, utan till vilken funktion en aktör har i relation till systemet. Det innebär att ett och samma företag kan ha flera roller samtidigt – och därmed flera parallella ansvar.

Den mest centrala rollen är leverantören, det vill säga den som utvecklar eller tillhandahåller ett AI-system på marknaden under eget namn eller varumärke. Denna roll innebär det mest långtgående ansvaret. Leverantören ansvarar för att systemet uppfyller samtliga tillämpliga krav innan det tas i bruk eller görs tillgängligt. Detta omfattar bland annat riskhantering, teknisk dokumentation, testning och i förekommande fall överensstämmelsebedömning.

Det är dock viktigt att förstå att leverantörsrollen inte är begränsad till traditionella utvecklingsbolag. Ett företag som köper in ett AI-system och därefter modifierar det, integrerar det i egna produkter eller erbjuder det vidare under eget varumärke kan i praktiken bli att betrakta som leverantör. Detta är en av de vanligaste fallgroparna i praktiken.

Den andra centrala rollen är användaren, eller deployern. Det är den aktör som använder AI-systemet i sin verksamhet. Många företag utgår felaktigt från att ansvaret här är marginellt, men så är inte fallet. Särskilt vid användning av högrisk-AI finns tydliga krav, exempelvis att systemet används i enlighet med instruktioner, att relevant personal har tillräcklig kompetens och att användningen övervakas.

Det finns även en skyldighet att reagera om systemet uppvisar brister eller riskerar att orsaka skada. Användaren kan alltså inte passivt förlita sig på leverantören, utan måste aktivt säkerställa att systemet fungerar korrekt i den egna kontexten.

Därutöver finns rollerna importör och distributör, vilka aktualiseras när AI-system förs in på EU-marknaden från tredjeland eller tillhandahålls vidare i distributionskedjan. Även dessa roller medför specifika skyldigheter, främst kopplade till att kontrollera att systemet uppfyller kraven innan det tillhandahålls.

En särskilt komplex situation uppstår vid användning av generella AI-modeller, såsom stora språkmodeller. Här kan ansvarsfördelningen bli fragmenterad. Den som tillhandahåller modellen omfattas av vissa krav, medan det företag som bygger en applikation ovanpå modellen kan få ett eget, självständigt ansvar – särskilt om applikationen innebär ett högriskanvändningsområde.

För företag innebär detta att ansvarsfördelningen inte kan tas för given. Den måste analyseras i varje enskilt fall, med utgångspunkt i hur systemet utvecklas, tillhandahålls och används. I praktiken bör detta hanteras genom att:

• tydligt kartlägga samtliga AI-system i verksamheten
• fastställa vilken roll företaget har för varje system
• analysera om rollen förändras vid integration, anpassning eller vidareförsäljning
• säkerställa att ansvarsfördelningen även återspeglas i avtal med leverantörer och partners

En felaktig klassificering av roll kan få betydande konsekvenser. Ett företag som betraktar sig som användare men i rättslig mening är leverantör riskerar att helt sakna den dokumentation och de processer som krävs enligt förordningen.

Det är därför först när både riskklassificering och rollfördelning är korrekt fastställda som företaget kan identifiera sina faktiska skyldigheter.

När ett AI-system klassificeras som högrisk träder AI-förordningens mest omfattande och ingripande krav in. Det är i denna kategori som regelverket får sin verkliga tyngd, och där bristande efterlevnad kan få betydande juridiska och affärsmässiga konsekvenser.

För företag innebär detta att AI inte längre kan hanteras som ett isolerat IT-projekt. Det blir istället en fråga om styrning, kontroll och dokumentation på ledningsnivå.

Utgångspunkten är att ett högrisk-system måste vara föremål för ett strukturerat och dokumenterat arbetssätt genom hela sin livscykel – från utveckling och implementering till löpande användning och uppföljning.

En central komponent är kravet på riskhanteringssystem. Detta innebär att organisationen systematiskt ska identifiera, analysera och hantera risker kopplade till AI-systemet. Riskerna är inte enbart tekniska, utan omfattar även påverkan på individer, rättigheter och säkerhet. Det krävs en löpande process där risker inte bara identifieras initialt, utan kontinuerligt omprövas i takt med att systemet används och utvecklas.

Parallellt ställs krav på datastyrning. För högrisk-AI är kvaliteten på den data som används avgörande. Dataset ska vara relevanta, representativa och så långt som möjligt fria från systematiska snedvridningar. Detta är särskilt kritiskt i tillämpningar som påverkar individer direkt, exempelvis rekrytering eller kreditbedömning. Företag måste därför kunna visa hur data har samlats in, bearbetats och kontrollerats.

Ett annat centralt krav är teknisk dokumentation. Denna ska vara tillräckligt omfattande för att en extern part, exempelvis en tillsynsmyndighet, ska kunna förstå hur systemet fungerar och på vilka grunder det fattar beslut eller genererar output. Dokumentationen är inte en formalitet – den är ett bevismedel. I praktiken innebär detta att företag måste strukturera upp sin tekniska och funktionella beskrivning på ett sätt som går att granska.

Transparens är ytterligare en bärande komponent. För högrisk-AI ska det finnas tydlig information om hur systemet ska användas, vilka begränsningar som finns och vilka risker som identifierats. Denna information riktar sig både internt, till de som använder systemet, och i vissa fall externt, till de individer som påverkas av systemets beslut.

En ofta underskattad aspekt är kravet på mänsklig kontroll. AI-förordningen bygger inte på att ersätta mänskliga beslut, utan på att komplettera dem. Det ska därför finnas mekanismer som gör det möjligt för människor att övervaka, förstå och vid behov ingripa i systemets funktion. Detta är särskilt viktigt i situationer där beslut har rättsliga eller ekonomiska konsekvenser.

Vidare krävs att systemet uppfyller krav på robusthet, noggrannhet och cybersäkerhet. Det innebär att AI-system inte bara ska fungera under normala förhållanden, utan även vara motståndskraftiga mot fel, manipulation och oförutsedda situationer. För många organisationer innebär detta ett behov av att höja den tekniska mognaden i både utveckling och drift.

Slutligen aktualiseras krav på överensstämmelsebedömning innan systemet tas i bruk. Beroende på systemets karaktär kan detta innebära intern kontroll eller granskning av en extern part. Syftet är att säkerställa att samtliga krav är uppfyllda innan systemet används i praktiken.

För användare av högrisk-AI gäller parallella skyldigheter. Dessa omfattar bland annat att använda systemet i enlighet med instruktioner, säkerställa att relevant personal har tillräcklig kompetens samt att övervaka systemets funktion i praktiken. Användaren har också en skyldighet att agera vid avvikelser eller risker.

I praktiken innebär detta att företag behöver etablera ett internt ramverk för AI-styrning. Detta inkluderar:

• dokumenterade processer för riskhantering
• strukturerad hantering av data och datakvalitet
• tydlig ansvarsfördelning internt
• rutiner för uppföljning och incidenthantering
• integration med befintliga compliance-funktioner, såsom GDPR och informationssäkerhet

Högrisk-AI är därmed inte en fråga om enskilda åtgärder, utan om ett sammanhängande system av kontroller och processer. För företag som identifierar att de befinner sig i denna kategori är det avgörande att agera tidigt, eftersom anpassning i efterhand ofta är både kostsam och komplex.

Även om merparten av AI-förordningens mest långtgående krav är koncentrerade till högrisk-AI, innebär det inte att övriga system står utanför regleringen. För AI-system som klassificeras som system med begränsad risk gäller särskilda transparenskrav, vilka i praktiken kan få betydande konsekvenser – särskilt i kundnära verksamheter.

Denna kategori omfattar i huvudsak system där risken inte anses vara tillräckligt hög för att motivera fullständig regulatorisk kontroll, men där det ändå finns ett behov av att skydda individers autonomi, förtroende och möjlighet att fatta informerade beslut.

Den centrala principen är enkel: användare och berörda personer ska förstå att de interagerar med AI.

Detta krav aktualiseras i flera typiska situationer. Ett vanligt exempel är chatbots eller andra automatiserade kundtjänstlösningar. I dessa fall ska det vara tydligt för användaren att kommunikationen inte sker med en människa. Det räcker inte att detta framgår indirekt – informationen ska vara klar, tydlig och ges i rätt tid.

Ett annat område rör AI-genererat innehåll. När bilder, text, video eller ljud skapas eller manipuleras med hjälp av AI kan det finnas krav på att detta tydligt framgår. Detta är särskilt relevant i marknadsföring, media och innehållsproduktion, där gränsen mellan verkligt och genererat material annars riskerar att suddas ut.

I praktiken innebär detta att företag måste ta ställning till hur transparensen ska implementeras. Det handlar inte enbart om att lägga till en generell disclaimer, utan om att säkerställa att informationen faktiskt uppfattas och förstås av mottagaren.

För företag som använder AI i kundgränssnitt innebär detta ofta ett behov av att:

• införa tydliga markeringar i gränssnitt och kommunikation
• säkerställa att användare informeras vid rätt tidpunkt, inte i efterhand
• anpassa kommunikationen till målgruppen, så att informationen är begriplig
• undvika vilseledande design eller formuleringar som kan skapa intryck av mänsklig interaktion

Det finns även ett närliggande förbud mot vilseledande användning av AI. Även om ett system i sig inte är förbjudet, kan sättet det används på leda till att det faller inom förbjudna tillämpningar, exempelvis om det används för att manipulera beteenden på ett otillbörligt sätt.

En särskild utmaning uppstår i gränslandet mellan transparenskrav och kommersiella intressen. Företag kan ha incitament att göra AI-interaktioner så “mänskliga” som möjligt för att förbättra användarupplevelsen. AI-förordningen sätter dock en tydlig gräns: användaren får inte vilseledas om systemets natur. Detta innebär att vissa designval – som tidigare varit affärsmässigt attraktiva – nu kan behöva omprövas ur ett regelefterlevnadsperspektiv.

Det är också viktigt att förstå att transparenskraven enligt AI-förordningen ofta samverkar med andra regelverk. Marknadsföringslagen, konsumentskyddsregler och dataskyddsregler kan ställa ytterligare krav på hur information ges och hur användare skyddas mot vilseledande eller otillbörlig påverkan.

Sammanfattningsvis innebär denna kategori att företag inte kan bortse från AI-förordningen enbart för att deras system inte är högrisk. Transparens är ett självständigt krav som måste implementeras på ett genomtänkt och praktiskt fungerande sätt.

En av de mest betydande nyheterna i AI-förordningen är regleringen av så kallade generella AI-modeller (General Purpose AI, GPAI). Dessa modeller – såsom stora språkmodeller och andra breda AI-plattformar – skiljer sig från traditionella AI-system genom att de inte är begränsade till ett specifikt användningsområde, utan kan användas i en mängd olika sammanhang. Detta skapar en fundamentalt annorlunda regulatorisk situation.

Till skillnad från mer traditionella AI-system, där ansvar ofta kan knytas till en tydlig användning, är generella AI-modeller ofta en del av en kedja. En aktör utvecklar modellen, en annan integrerar den i en produkt, och en tredje använder den i praktiken. AI-förordningen hanterar detta genom att införa ett delat och skiktat ansvar.

Den aktör som tillhandahåller själva modellen omfattas av särskilda krav. Dessa rör bland annat transparens kring modellens funktion, dokumentation av träningsdata på en övergripande nivå samt efterlevnad av upphovsrättsliga regler. Det innebär att leverantörer av generella modeller måste kunna redogöra för hur modellen har utvecklats och vilka datakällor som använts, åtminstone i strukturerad och sammanfattad form.

För modeller som anses ha systemisk påverkan – det vill säga mycket kraftfulla modeller med bred spridning – skärps kraven ytterligare. Då aktualiseras bland annat krav på avancerad riskhantering, testning och incidentrapportering. Detta riktar sig främst mot de största aktörerna på marknaden, men får indirekt betydelse även för företag som använder dessa modeller.

För företag som inte utvecklar egna modeller, utan istället bygger tjänster ovanpå befintliga AI-plattformar, uppstår en särskilt viktig fråga: var går gränsen mellan att vara användare och att bli leverantör?

Om ett företag använder en generativ AI-tjänst som ett rent verktyg, utan att väsentligt påverka dess funktion eller output, kvarstår det normalt som användare. Men om företaget integrerar modellen i en egen tjänst, anpassar den, styr dess beteende genom finjustering eller paketerar den som en del av ett eget erbjudande, kan det i praktiken övergå till en leverantörsroll – med avsevärt större ansvar. Detta är en av de mest kritiska bedömningsfrågorna i praktiken.

Vidare måste företag som använder generella AI-modeller beakta hur dessa används i slutapplikationen. Om en generativ modell exempelvis används som en del av ett system för rekrytering eller kreditbedömning, kan hela lösningen klassificeras som högrisk-AI – även om själva modellen i sig inte är det. Det innebär att ansvaret inte kan “outsourcas” till modelleverantören.

En annan central aspekt rör kontroll och insyn. Generella AI-modeller är ofta komplexa och delvis svarta lådor, vilket kan göra det svårt att uppfylla krav på transparens och riskhantering. Företag måste därför säkerställa att de har tillräcklig förståelse för modellens begränsningar, beteende och riskprofil, även när den tillhandahålls av en extern aktör. I praktiken innebär detta att företag bör:

• analysera vilken typ av AI-modell som används och dess regulatoriska status
• klargöra ansvarsfördelningen gentemot leverantören, både juridiskt och praktiskt
• säkerställa att användningen av modellen inte medför att systemet klassificeras som högrisk
• dokumentera hur modellen används, styrs och övervakas i den egna verksamheten
• beakta upphovsrättsliga och dataskyddsrättsliga aspekter kopplade till modellens output

Sammanfattningsvis innebär regleringen av generella AI-modeller att många företag hamnar i ett mer komplext regulatoriskt landskap än tidigare. Det räcker inte att analysera ett enskilt system – man måste förstå hela kedjan från modell till tillämpning.

När riskklassificering, rollfördelning och systemtyp har analyserats uppstår den avgörande frågan: hur omsätts AI-förordningen i praktiken? För många företag ligger den verkliga utmaningen inte i att förstå regelverket, utan i att integrera det i befintliga processer utan att skapa onödig komplexitet.

Det är här AI-förordningen tydligt skiljer sig från mer traditionella regelverk. Den kräver inte en isolerad policy eller ett enskilt kontrollmoment, utan ett sammanhängande styrsystem som genomsyrar organisationens arbete med AI.

En effektiv implementering tar därför sin utgångspunkt i befintliga strukturer. För de flesta företag innebär det att AI-styrning bör integreras i redan etablerade ramverk för regelefterlevnad, såsom dataskydd (GDPR), informationssäkerhet (ISO 27001) och kvalitetsledning (ISO 9001). Att bygga ett parallellt system för AI är sällan effektivt – det skapar snarare risk för dubbelarbete och bristande kontroll.

Det första praktiska steget är att skapa en överblick. Företaget behöver identifiera var och hur AI används i verksamheten. Detta inkluderar inte bara egenutvecklade system, utan även tredjepartslösningar som används i exempelvis HR, marknadsföring, kundtjänst eller analys. I många organisationer är detta en större utmaning än väntat, eftersom AI ofta införts stegvis utan central styrning.

När denna kartläggning är genomförd bör varje system klassificeras – både i fråga om risknivå och roll. Detta är inte en teknisk övning, utan en juridisk och verksamhetsnära analys. Resultatet bör dokumenteras och fungera som grund för vidare åtgärder.

Nästa steg är att etablera en tydlig intern ansvarsfördelning. AI-frågor hamnar ofta i gränslandet mellan IT, juridik och verksamhet, vilket skapar risk för otydlighet. Det bör därför framgå vem som ansvarar för klassificering, uppföljning, incidenthantering och kontakt med leverantörer. I större organisationer kan detta innebära att en särskild funktion eller roll etableras, exempelvis inom compliance eller risk.

En central del av implementeringen är att införa processer för riskhantering. Detta gäller särskilt för högrisk-AI, men är relevant även i andra fall. Riskhanteringen bör vara kontinuerlig och integrerad i systemets livscykel, inte en engångsbedömning. Det innebär att förändringar i systemets användning, data eller funktion ska utlösa en ny analys.

Vidare krävs att dokumentation struktureras på ett ändamålsenligt sätt. Dokumentationen ska inte bara finnas, utan vara användbar. Den ska kunna visa hur systemet fungerar, vilka risker som identifierats och vilka åtgärder som vidtagits. I praktiken innebär detta att företag behöver standardisera hur AI-relaterad information dokumenteras och lagras.

För företag som använder externa AI-lösningar blir leverantörsstyrning en nyckelfråga. Det räcker inte att förlita sig på leverantörens uppgifter. Företaget måste säkerställa att leverantören uppfyller relevanta krav och att detta regleras avtalsmässigt. Detta inkluderar tillgång till information, ansvarsfördelning och hantering av incidenter.

En annan central komponent är utbildning och medvetenhet. AI-förordningen förutsätter att de som använder systemen har tillräcklig förståelse för deras funktion och begränsningar. Detta gäller inte bara teknisk personal, utan även beslutsfattare och operativa användare. Bristande förståelse är i praktiken en av de största riskerna.

Slutligen måste företaget etablera mekanismer för uppföljning och förbättring. AI-system är dynamiska och förändras över tid, vilket innebär att även regelefterlevnaden måste vara det. Intern uppföljning, incidentrapportering och regelbunden översyn bör därför vara en integrerad del av arbetet.

Sammanfattningsvis handlar implementering inte om att “checka av” krav, utan om att bygga ett fungerande styrsystem. De företag som lyckas med detta kommer inte bara att uppfylla regelverket, utan även stärka sin kontroll, minska risker och skapa bättre förutsättningar för att använda AI på ett hållbart och affärsmässigt sätt.