GÄLLER DET MIG?
Tre frågor som avgör er situation
EU AI Act gäller i princip alla som har med AI att göra inom EU — men skyldigheternas tyngd beror på er roll. De tre avgörande frågorna är:
- Befinner ni er på EU:s marknad (verkar i eller riktar er mot EU)?
- Är ni leverantör (utvecklar/säljer AI) eller driftsättare (köper/använder AI)?
- Vilken riskklass har de AI-system ni arbetar med?
Är ni leverantör eller driftsättare?
Leverantör (provider)
Ni är leverantör om ni utvecklar ett AI-system och sätter det på marknaden eller tar det i drift under eget namn — oavsett om det sker mot betalning eller gratis. Det spelar ingen roll om ni är ett teknikbolag, en startup eller en offentlig organisation som bygger ett internt AI-system för andras räkning.
Typiska exempel:
- SaaS-bolag som bygger en AI-driven rekryteringstjänst och säljer den till HR-avdelningar
- Sjukhus som beställer ett AI-system för bildiagnostik och sätter det i drift
- Myndighet som beställer ett AI-system för handläggningsstöd från en konsult och äger systemet
Driftsättare (deployer)
Ni är driftsättare om ni använder ett befintligt AI-system i er professionella verksamhet. Det inkluderar alla organisationer som köper in och använder AI-verktyg — från ChatGPT Enterprise till ett specifikt HR-system med AI.
Typiska exempel:
- Kommunen som använder ett externt AI-verktyg för att prioritera ärenden
- HR-avdelningen som använder ett AI-system för att gallra CV:n
- Advokatbyrån som använder Copilot för avtalsgranskning
- Skolan som använder en AI-tjänst för att bedöma elevers texter
Vilken riskklass gäller?
Oavsett om ni är leverantör eller driftsättare avgör systemets riskklass hur tunga kraven är.
Vad gäller specifikt för driftsättare?
De flesta svenska organisationer är driftsättare. Det är lättare att uppfylla än leverantörskraven, men kräver ändå aktiva åtgärder vid högrisk-AI:
Krav för driftsättare av högrisk-AI
- Mänsklig tillsyn: Säkerställa att systemets output granskas av en människa innan beslut fattas
- Utbildning: Personal som arbetar med systemet ska ha tillräcklig förståelse
- Loggning: Bevara loggar i minst 6 månader (myndigheter längre)
- DPIA (dataskyddskonsekvensbedömning): Krävs om GDPR-känslig data behandlas
- Transparens mot individer: Informera de som påverkas av automatiserade beslut
- Klagomålshantering: Ha en process för att hantera invändningar mot AI-beslut
- Rapportera allvarliga incidenter: Till tillsynsmyndigheten om systemet orsakar skada
Krav för driftsättare av GPAI-system
Om ni använder generell AI (ChatGPT, Copilot m.fl.) i er verksamhet är ni driftsättare men bär inte GPAI-leverantörernas skyldigheter. Ni bör ändå:
- Kontrollera att leverantörens GPAI-modell uppfyller EU AI Acts krav (begär teknisk dokumentation)
- Ha interna riktlinjer för hur verktyget får användas
- Inte använda GPAI-system för ändamål som klassas som högrisk utan att säkerställa compliance
Undantag för mikroföretag och SMF
Mikroföretag (färre än 10 anställda och omsättning under 2 M€) har lättnader i vissa administrativa krav som leverantörer — men skyldigheterna som driftsättare av högrisk-AI gäller fullt ut för alla storlekar.
Offentliga myndigheter har inga storleksbaserade undantag.
Vad gör ni nu?
Officiella källor att kontrollera
- EU-kommissionen: AI Act och aktuell tillämpningstidslinje (öppnas i ny flik)
- EU-kommissionen: utkast till riktlinjer för högriskklassificering (öppnas i ny flik)
- IMY: preliminär överenskommelse om ändringar i AI-förordningen, 13 maj 2026 (öppnas i ny flik)
- EU-kommissionen: AI Act Service Desk och Single Information Platform (öppnas i ny flik)
- EUR-Lex: förordning (EU) 2024/1689 i fulltext (öppnas i ny flik)