EU:s AI Act – Vad innebär den för din verksamhet?

EU:s AI Act (AI-förordningen) är världens första heltäckande lagstiftning för artificiell intelligens. För företag och organisationer som investerar i eller utvecklar digitala lösningar är detta inte längre en teoretisk framtidsfråga. Lagen är klubbad och vissa delar gäller redan skarpt idag.

Vad är AI Act?

Enkelt förklarat är AI Act en produktlagstiftning. Syftet är att garantera att AI-system som används inom EU är säkra, transparenta och respekterar grundläggande rättigheter.

Lagen förbjuder inte AI, men den ställer krav på hur tekniken får användas. Till skillnad från GDPR, som fokuserar på personuppgifter, fokuserar AI Act på användningsområde och risk.

Gäller lagen nu?

Ja. Lagen är aktiv och befinner sig i en implementeringsfas där olika delar träder i kraft vid olika tidpunkter:

• Gäller nu: Förbud mot oacceptabel AI (”svarta listan”).
• Gäller nu: Regler för General Purpose AI (GPAI) samt krav på nationella myndigheter.
• Augusti 2026: Regelverket för högrisk-AI träder i kraft fullt ut.
• 2027: Regler för AI inbyggd i redan reglerade produkter (t.ex. bilar och medicinteknik).

Riskpyramiden – Vad får man bygga?

AI Act delar in AI-system i fyra risknivåer. Risknivån avgör vilka krav som ställs.

1. Oacceptabel risk (Förbjudet)

Dessa system utgör ett hot mot mänskliga rättigheter och är förbjudna inom EU. Överträdelser kan leda till mycket höga böter.

• Social Scoring: Poängsättning av medborgare baserat på beteende.
• Biometrisk identifiering i realtid: I offentliga miljöer (med snäva undantag).
• Emotion Recognition: Avläsning av känslor hos anställda eller elever.
• Manipulativ AI: System som påverkar beteende omedvetet eller utnyttjar sårbara grupper.

2. Hög risk (Strikta krav)

Här hamnar många affärskritiska system. De är tillåtna, men kräver omfattande compliance-arbete innan de får användas.

Exempel:

• HR & Rekrytering (CV-scanning, urval)
• Kritisk infrastruktur (trafik, el, vatten, digital infrastruktur)
• Utbildning (antagning och bedömning)
• Kreditvärdighet och lånebedömning

3. Begränsad risk (Transparenskrav)

System där risken är lägre men där användaren måste informeras.

• Chatbots & kundtjänst: Användaren ska veta att hen pratar med AI.
• Generativ AI & deepfakes: AI-genererat innehåll ska märkas tydligt.

4. Minimal risk (Inga nya krav)

Majoriteten av dagens AI hamnar här, till exempel:

• spamfilter
• AI i datorspel
• inventarie- och optimeringsverktyg

Inga nya juridiska krav ställs, men frivilliga uppförandekoder rekommenderas.

Vad innebär detta för din organisation?

Att följa AI Act handlar inte bara om teknik – utan om processer, ansvar och kompetens.

• AI Literacy: Personal som använder eller utvecklar AI måste ha tillräcklig kompetens.
• Mänsklig översyn: Högrisk-AI måste kunna övervakas och avbrytas av människa.
• Inga svarta lådor: Loggning och spårbarhet är ett krav.
• Datakvalitet: Träningsdata måste vara relevant och fri från skadliga bias.
• Märkning: AI-genererat innehåll ska märkas via metadata.

Varför är detta viktigt?

Att ignorera AI Act kan bli kostsamt – sanktionsavgifterna är högre än i GDPR. Men viktigast är tilliten.

Genom att bygga säkra, transparenta och ansvarsfulla AI-system följer ni inte bara lagen – ni skapar produkter som människor vågar och vill använda.

• Inventera: Vilken riskklass tillhör era system?
• Var transparent: Informera användare när AI används.

Behöver ni hjälp?
På Decerno hjälper vi er att navigera AI Act – från strategi och riskklassning till teknisk implementation.