GENERELL AI

EU AI ACT — GPAI: CHATGPT, COPILOT, CLAUDE OCH GEMINI

SENAST UPPDATERAD: 2026-06-01

VAD ÄR GPAI?

General Purpose AI — en ny kategori

Generell AI (GPAI, General Purpose AI) är AI-modeller och -system som är tränade för att klara ett brett spektrum av uppgifter — och som kan byggas in i andra produkter och tjänster. Det handlar om de stora grundmodellerna: GPT-4 (bakom ChatGPT), Claude (Anthropic), Gemini (Google) och modellerna bakom Copilot (Microsoft).

EU AI Act skapar en separat regleringsnivå för GPAI-leverantörer som träder i kraft 2 aug 2025. Dessa regler gäller de som tränar och tillhandahåller modellerna — inte de organisationer som använder dem.

DE FLESTA SVENSKA ORGANISATIONER BERÖRS INDIREKT SOM DRIFTSÄTTARE — INTE DIREKT SOM GPAI-LEVERANTÖR

LEVERANTÖRSKRAV

Vad krävs av GPAI-leverantörer?

Leverantörer av GPAI-modeller (OpenAI, Anthropic, Google, Microsoft m.fl.) måste från aug 2025:

  • Teknisk dokumentation: Publicera och hålla aktuell teknisk dokumentation om modellens kapabilitet, begränsningar och testresultat
  • Information till driftsättare: Lämna tillräcklig information för att driftsättare ska kunna uppfylla sina skyldigheter
  • Upphovsrättspolicy: Ha en tydlig policy om hur upphovsrätt hanteras i träningsdata och output
  • Sammanfattning av träningsdata: Publicera en sammanfattning av vilken data modellen tränats på

Modeller med "systemisk risk"

GPAI-modeller som tränats med mer än 10²⁵ FLOP (en proxy för de allra största modellerna) klassas som modeller med systemisk risk och har ytterligare krav:

  • Utföra och dokumentera adversarial testning (red-teaming)
  • Rapportera allvarliga incidenter till EU-kommissionen
  • Implementera cybersäkerhetsåtgärder
  • Rapportera energianvändning

GPT-4, Claude Opus och Gemini Ultra bedöms generellt överstiga detta tröskelvärde.

FÖR DRIFTSÄTTARE

Vad gäller för er som använder ChatGPT, Copilot eller Claude?

Som driftsättare av GPAI bär ni inte leverantörernas skyldigheter — men ni har ett eget ansvar för hur ni använder verktygen:

Ni bör:

  • Kontrollera att leverantören uppfyller kraven: Begär teknisk dokumentation och upphovsrättspolicy från er leverantör. De ska ha detta tillgängligt från aug 2025.
  • Ha interna riktlinjer: Definiera tydligt vilka uppgifter GPAI-verktyget får och inte får användas för i er organisation.
  • Inte använda GPAI för högrisk-ändamål utan extra åtgärder: Om ni integrerar GPAI i en process som klassas som högrisk (t.ex. rekryteringssortering) gäller högrisk-krav fullt ut.
  • Informera anställda och externa parter: Om GPAI används för att generera text eller beslut som presenteras externt kan transparenskrav gälla.

Praktiska exempel:

OK — utan extra compliance

  • Copilot för att skriva interna rapporter
  • ChatGPT för att sammanfatta möten
  • Claude för att formulera e-post
  • Gemini för brainstorming och research

Kräver extra compliance-åtgärder

  • ChatGPT-integration för att ranka jobbsökande
  • Copilot för att bedöma låneansökningar
  • AI-chatbot för socialförvaltningens ärendehantering
  • GPAI för att bedöma elevers prestationer

ÖPPEN KÄLLKOD

Gäller GPAI-reglerna open source-modeller?

Open source GPAI-modeller (t.ex. Meta's Llama, Mistral) har lättnader i EU AI Act. Leverantörer av öppna modeller måste fortfarande publicera teknisk dokumentation och upphovsrättspolicy — men befrias från en del av de mer betungande kraven, förutsatt att modellens parametrar (vikterna) är offentligt tillgängliga.

Undantaget gäller inte om modellen bedöms ha systemisk risk.

Om er organisation finjusterar (fine-tunar) eller anpassar en öppen modell och distribuerar resultatet kan ni klassas som leverantör för den anpassade versionen.

GDPR-SKÄRNINGSPUNKT

GPAI och personuppgifter

EU AI Act och GDPR samexisterar och förstärker varandra. GPAI-specifika frågor att beakta:

  • Mata aldrig in personuppgifter i GPAI-system utan att säkerställa att det är GDPR-kompatibelt (avtal med leverantören, eventuell biträdande personuppgiftsbiträdesavtal)
  • Kontrollera var leverantören lagrar och bearbetar data — EU/EEA eller tredjeland?
  • Om GPAI-output används för beslut om individer: kolla om artikel 22 GDPR (automatiserade beslut) triggas

Läs om GDPR och AI för jurister

NÄSTA STEG

Praktiska steg för er organisation

  1. Lista alla GPAI-verktyg ni använder (ChatGPT, Copilot, Gemini, Claude, m.fl.)
  2. Kontrollera att leverantörerna publicerar teknisk dokumentation och upphovsrättspolicy (från aug 2025)
  3. Bedöm om ni använder GPAI för ändamål som kan klassas som högrisk
  4. Skriv interna riktlinjer för tillåten och otillåten användning
  5. Säkerställ att avtal med GPAI-leverantören täcker databehandling enligt GDPR

Till compliance-checklistan

KÄLLOR OCH FÖRDJUPNING

Officiella källor att kontrollera

TIDSLINJEN KAN ÄNDRAS NÄR AI OMNIBUS ANTAS FORMELLT. KONTROLLERA ALLTID SENASTE MYNDIGHETSVÄGLEDNING.