AI-förordningen ställer krav på ledningen
Är din ledningsgrupp förberedd på nya AI-förordningen? Om inte är det hög tid att ta kontroll nu. – Många verksamheter gör misstaget att tro att AI-förordningen mest gäller leverantörer av AI-teknik. Men det berör alla, säger Hugo Persson, it-rättsjurist på Atea.
Det kan bli kostsamt att inte anpassa sig till AI-förordningen i tid. De nya reglerna kommer med kännbara sanktionsavgifter. Överträdelser kan ge böter upp till 15 miljoner euro, eller 3 procent av den globala omsättningen, i extremfall upp till 35 miljoner eller 7 procent av omsättningen.
En del av förordningen har redan börjat gälla, exempelvis kravet på AI-kännedom (”AI literacy”) i ledningsgrupper och i resten av organisationen, och andra delar är på väg att rullas ut. Många av reglerna börjar att gälla från den 2 augusti 2026. Då introduceras bland annat nya krav på AI-transparens, till exempel att personer ska informeras när de interagerar med ett AI-system och få reda på om innehållet är AI-genererat.
Hugo Persson, it-rättsjurist på Atea.
Samtidigt får begreppet ”högrisk-AI” stor betydelse. Vad som räknas som högrisk-AI är bland annat teknik som används för att utvärdera läranderesultat, filtrera jobbansökningar, bedöma kreditvärdighet, eller användning inom demokratiska processer. Men det är mycket mer än så.
Hugo Persson, it-rättsjurist på Atea leder den högaktuella utbildningen ”AI‑förordningen för ledande befattningar” tillsammans med Anna‑Maria Söderman, Data Scientist på Atea i syfte att sätta verksamheter på banan när det gäller de nya reglerna. Här går han igenom fem frågor som alla ledningsgrupper i Sverige måste kunna svara på nu när AI-förordningen slår igenom med full kraft.
5 frågor som din ledningsgrupp måste kunna svara på om nya AI-förordningen
#1: Använder vi AI – och i så fall var, hur och till vad?
– Ni behöver ha järnkoll på det här. Särskilt i större organisationer är AI-användning ofta väldigt utspridd: i inköpta system, i hr-verktyg, i kundservice, i analysplattformar och i medarbetares egna arbetsflöden. Har ni dokumenterat i vilka processer ni använder AI? Har ni överblick över riskklassningarna för olika processer och användningsområden? Experimenteras det med nya AI-verktyg? Har ni inte målat upp den här kartan är ni ute på väldigt tunn is i förhållande till lagstiftningen. Ytterst är det ledningens ansvar att skapa en trygghet kring dessa frågor.
#2: Vilken roll har vi enligt AI‑förordningen?
– Man kan vara användare av AI (”deployer”), ha en leverantörsroll (”provider”), eller vara importör eller distributör. Varje roll kommer med en uppsättning skyldigheter. En sak som blir lite lurig är att man i vissa fall kan bära flera roller samtidigt. Om man exempelvis integrerar en tjänst som Copilot med en annan typ av teknik, så är man inte längre enbart användare och riskerar sanktioner om man inte uppfyller de separata krav som då ställs, bland annat på dokumentation. Ni behöver vara medvetna om att olika tekniska vägval påverkar vilka krav man får på sig. Om man missförstår sin roll kan man bygga hela sitt compliance-arbete på fel premiss.
#3: Faller någon av våra AI‑lösningar under förbjuden eller högrisk‑AI?
– Ni behöver noggrant utforska om er AI-hantering kan anses vara högrisk eller inte. Särskilt vaksamma behöver ni vara om ni på något sätt hanterar personuppgifter ihop med AI, till exempel för att göra egna typer av värderingar eller bedömningar, eller om ni identifierar människor med kameror eller liknande. Om ni hanterar högrisk-AI har ni en stor juridisk börda att bevisa att ni efterföljer de krav som kommer med det.
#4: Har vi styrning, dokumentation och ansvar på plats?
– För högrisk-AI kräver regelverket bland annat ett dokumenterat riskhanteringssystem som ska vara löpande och iterativt genom hela livscykeln. Men även generellt behövs styrning, dokumentation och ansvar kring AI, för annars är risken stor att det blir fel. Det kan handla om att delar av verksamheten tar in osanktionerade tjänster, eller matar in data till AI som inte alls lämpar sig att lämna organisationen. Att definiera hur AI ska användas i organisationen är därför avgörande. Det finns standardiserade sätt att jobba med det här, vilket jag rekommenderar. Och för att kunna följa med i vågen av AI-teknik är det även en god idé att tillhandahålla en kontinuerligt uppdaterad whitelist på vad som är tillåtet, så att alla är införstådda med att inget annat än det som är med på listan tillåts. Det här kräver att ni har bra processer för att snabbt utvärdera nya AI-möjligheter, hur användningen får se ut, att allt dokumenteras, att medarbetarna utbildas och så vidare.
#5: Har vi tillräcklig AI‑kännedom i organisationen?
– Alla organisationer som använder eller utvecklar tjänster med AI-teknik måste utbilda sin personal i risker och möjligheter med AI, och var gränserna går för hur AI får användas. Förordningen säger att hela organisationen ska ha AI-kännedom (formulerat som ”AI literacy” i EU AI Act). Om det senare skulle framkomma att ni har hanterat AI-teknik på ett felaktigt sätt, då har er ledningsgrupp bevisbördan på sig att kunna visa hur man har försökt att etablera AI-kännedom i organisationen. När vi pratar om lagstiftning blir det lätt att man fokuserar på piska snarare än morot, men faktum är att moroten i det här fallet är ganska viktig att prata om. Att utveckla AI-kännedomen är en investering i verksamhetens utveckling. Medarbetarna blir mer involverade i arbetet med att tänka nytt och kan bidra till att utveckla bättre och mer effektiva AI-lösningar.
Utbildning: AI‑förordningen för ledande befattningar
Vi har tagit fram en utbildning för dig i ledande befattning, koncernledning eller styrelse som behöver förstå AI-förordningen för att fatta affärsmässiga och regelrätta beslut. Utbildningen genomförs vid fem tillfällen under april. Välj det tillfälle som passar dig bäst.
