Den 1 augusti 2025 trädde EU:s AI Act i kraft. Många tror att lagen enbart gäller stora techaktörer som utvecklar egna modeller. Men det är en missuppfattning. AI Act gäller även företag som använder AI, i allt från HR-system till automatiserade rekommendationer.
AI Act är nu aktiv, men fullt bindande först 2026
Lagen tillämpas i faser. Vissa förbud och transparenskrav gäller redan, medan övriga krav träder i kraft successivt:
- Förbjudna AI-tillämpningar: från november 2025
- GPAI-modeller (t.ex. LLM:er): från februari–maj 2026
- Hög risk-system: från augusti 2026
Du behöver inte vara först, men du behöver vara förberedd.
Gäller detta oss som använder AI?
Ja. AI Act omfattar även användare, inte bara utvecklare. Du påverkas om du:
- använder AI för rekrytering, HR eller personalanalys
- integrerar AI-baserade beslutsstöd i verksamheten
- köper in LLM:er eller GPAI-modeller via API eller SaaS
- erbjuder tjänster som bygger på AI, även om du inte byggt modellen själv
Exempel på användningsområden som klassas som hög risk:
- urval i rekrytering
- betygsättning och utbildningsurval
- kreditprövning och ekonomiskt beslutsstöd
- beslutsstöd inom offentlig sektor
Leverantörer som inte signerat ökar din risk
Över 200 aktörer har frivilligt signerat AI Pact eller Code of Practice för att visa att de påbörjat anpassning till lagen.
Det är inte ett lagkrav att signera, men frånvaron av signatur kan indikera att leverantören inte anpassat sig till EU:s riktlinjer. Då behöver du som användare säkerställa att kraven ändå uppfylls.
Har signerat Code of Practice:
- Microsoft
- OpenAI
- Mistral
- Anthropic
Har inte signerat:
- Meta
- Apple
- Baidu
- Alibaba
- Tencent
Har signerat AI Pact (men inte Code):
- SAP
- IBM
- Samsung
- Lenovo
- Telefónica
Fyra steg alla organisationer bör ta nu
-
Begär en compliance roadmap från era AI-leverantörer
Säkerställ att de dokumenterat risker, datakällor och upphovsrätt. -
Identifiera tredjepartsmodeller i er tech stack
Lista foundation models, LLM:er och integrationspunkter. -
Starta AI-compliance audits internt
Kartlägg syfte, användningsområde och beslutspåverkan. -
Integrera AI i företagets riskramverk
Definiera ansvar i ledning och se över policy för AI-användning.
Vad lagen kräver: kortfattat
| Område | Krav enligt AI Act |
|---|---|
| Transparens | Beskrivning av syfte, output och begränsningar |
| Governance | Dokumentation av träningsdata, övervakning och tester |
| Upphovsrätt | För GPAI krävs opt-out-möjlighet och laglig träning |
| Märkning | Hög risk-system kräver CE-märkning från augusti 2026 |
AI-compliance är nu ett styrelseansvar
AI Act har samma juridiska tyngd som GDPR. Det innebär att AI inte längre är en fråga för enbart teknikteam – det är en del av ert ansvar som organisation. Riskerna med oreglerad användning ökar i takt med att lagen implementeras.
Vad EU AI Act innebär för företag som använder AI
EU:s nya AI-lagstiftning gäller inte bara dem som utvecklar avancerade AI-modeller. Även företag som använder AI i rekrytering, beslutsstöd eller automatiserad kommunikation påverkas. Här är de vanligaste frågorna och svaren.
Gäller AI Act oss, även om vi inte utvecklar AI?
Ja. Lagen gäller alla som tillhandahåller, integrerar eller använder AI-system i EU.
Vad räknas som ett AI-system enligt lagen?
Ett AI-system är mjukvara som:
- genererar output baserat på input
- styrs av mänskligt definierade mål
- använder statistiska eller symboliska metoder
Vi använder AI i HR, vad gäller?
Det räknas som hög risk enligt lagen. Ni behöver:
- dokumentera användningen
- säkerställa mänsklig kontroll
- kunna förklara beslutsgrunder för kandidater
- granska att systemet inte diskriminerar
Är vi ansvariga även om vi köpt in AI?
Ja. Användare ansvarar för att användningen är lagenlig, även när AI-systemet kommer från en extern leverantör.
Måste våra leverantörer ha signerat AI Pact eller Code of Practice?
Nej, men det är en signal om att de förberett sig. Om leverantören inte signerat behöver du som användare ta större ansvar för att verifiera efterlevnaden.
Vad innebär hög risk?
Exempel från bilaga III:
- AI i rekrytering eller anställning
- AI i utbildning eller betygssättning
- AI i kreditprövning, sjukvård eller myndighetsbeslut
Vad måste vi dokumentera?
- Syftet med varje AI-användning
- Leverantör och modell
- Beslutsunderlag och output
- Mänsklig övervakning
- Eventuella risker och åtgärder
När blir kraven bindande?
- Förbjudna system: november 2025
- GPAI/transparens: februari–maj 2026
- Hög risk-system: augusti 2026
Hur stora är sanktionerna?
Upp till:
- 35 miljoner euro, eller
- 7 % av global omsättning
(det som är högst)
Enligt artikel 71 i AI Act (2024/1689)
Vad bör vi göra nu?
- Kartlägg alla AI-användningar
- Identifiera leverantörer och modelltyp
- Granska dokumentation
- Sätt upp policy och ansvar
- Starta audit och utbilda ledningen
Var hittar vi vilka leverantörer som signerat?
På EU-kommissionens sida om AI Pact finns aktuell lista över signatärer.
Vi använder AI för innehållsanalys – påverkas vi?
Om AI används för att påverka beslut, generera underlag för människor eller återanvänds externt, ja. Då omfattas ni av transparens- och dokumentationskrav.
Vill du fördjupa dig i vad lagen innebär?
Här finns officiell information och vägledningar direkt från EU:
- EU AI Act – Konsoliderad lagtext (EUR‑Lex)
- European AI Office – information om tillämpning och vägledning
- GPAI Code of Practice – vägledning för general-purpose AI-leverantörer
- AI Pact – information och signatärlista
Du hittar även uppdaterad information hos nationella dataskyddsmyndigheter (t.ex. IMY i Sverige) när vägledningarna publiceras.
Källa:
Fakta i denna artikel baseras på EU AI Act (antagen 2024-05-21, publicerad 2025-07-11), artiklar 2, 5, 26, 52a, 71 och 113 samt bilagor I–XII. Vägledningar från EU AI Office, juni–juli 2025.
