De flesta svenska företagsledare vet att EU:s AI-förordning finns. Få vet vad den faktiskt kräver av dem.
Det vanligaste misstaget: man tror att lagen gäller teknikbolagen som bygger AI. Den gör det. Men förordningens fulltext definierar tre kategorier som är relevanta för er: leverantörer som bygger AI-system, distributörer som sätter dem på marknaden, och deployers (de som använder AI-system i sin verksamhet). Det är er.1
Den 2 augusti 2026 börjar skyldigheterna gälla på allvar.
Vem är en “deployer”?
Förordningens artikel 3(4) definierar begreppet2:
a natural or legal person, public authority, agency or other body using an AI system under its authority except where the AI system is used in the course of a personal non-professional activity.
— Regulation (EU) 2024/1689, Art. 3(4)
På svenska: alla organisationer som använder AI-system i sin verksamhet, utom rent privat bruk. Köper ert företag en AI-tjänst för att analysera jobbansökningar? Ni är deployers. Använder ni ett AI-verktyg för att bedöma kunder? Deployers. Kör ni kundservice via ett AI-drivet ärendesystem? Deployers.
Det spelar ingen roll om ni vet om det. Det spelar ingen roll om era anställda byggt eller köpt systemet. Om ett AI-system fattar eller stödjer beslut som rör människor, och ni driver verksamheten det körs i, är ert företag deployer.
Vilka AI-system är högrisk?
Förordningens bilaga III listar de områden där AI-system automatiskt klassas som högrisk.3 Tre av dem är direkt relevanta för de flesta svenska SME-företag:
Anställning (Bilaga III, punkt 4): AI-system som används för att rekrytera, filtrera jobbansökningar, bedöma kandidater, eller fatta beslut om befordran, arbetsuppgifter och uppsägning. Kör ni en AI som sorterar CVn? Det är troligtvis ett högrisk-AI-system.4
Kreditbedömning (Bilaga III, punkt 5b): AI-system som bedömer privatpersoners kreditvärdighet eller sätter kreditbetyg. Gäller inte AI för att upptäcka bedrägerier.3
Tillgång till väsentliga tjänster via offentlig sektor (Bilaga III, punkt 5a): AI som används av eller på uppdrag av offentliga myndigheter för att bedöma rätt till väsentliga offentliga tjänster, inklusive sjukvård och sociala förmåner. Punkten gäller specifikt offentliga aktörer. Privata vårdgivare eller försäkringsbolag faller inte automatiskt under 5a.3
Försäkring (Bilaga III, punkt 5c): AI för riskbedömning och prissättning inom livs- och sjukförsäkring för privatpersoner.3
Larmtjänster (Bilaga III, punkt 5d): AI som klassificerar nödsamtal eller prioriterar utryckning för polis, brandkår och ambulans.3
Undantag finns. Artikel 6(3) klargör att ett system i Bilaga III inte är högrisk om det inte innebär en betydande risk för skada, till exempel för att det inte materiellt påverkar beslutsfattande eller bara utför en smal procedurmässig uppgift.5 Undantaget gäller dock aldrig om systemet utför profilering av fysiska personer. Sådana system klassas alltid som högrisk, oavsett övriga omständigheter.5
Att bedöma om undantaget är tillämpligt är leverantörens ansvar. Det är leverantören (det vill säga det företag som sätter systemet på marknaden) som måste göra och dokumentera den bedömningen innan systemet driftsätts.5 Som deployer (användare) bör ni säkerställa att leverantören har gjort denna bedömning och kan redovisa den.6
Vad kräver artikel 26 av er?
Artikel 26 är deployer-artikeln. Den listar konkreta skyldigheter för alla organisationer som kör högrisk-AI-system.7
Ni ska se till att systemet används enligt tillverkarens instruktioner (art. 26.1).7 Det låter enkelt men det kräver att ni faktiskt har en process för det.
Ni ska tilldela mänsklig tillsyn till personer med rätt kompetens, utbildning och befogenhet (art. 26.2).7 AI-systemet fattar inte beslut på egen hand utan mänsklig kontroll. Och de som utövar tillsynen måste vara kapabla att göra det.
Ni ska behålla de loggar som systemet genererar automatiskt, minst sex månader (art. 26.6).7
Innan ni driftsätter ett högrisk-AI-system på arbetsplatsen ska ni informera de berörda anställdas representanter och de anställda själva om att de kommer att påverkas av systemet (art. 26.7).7
Ni ska dessutom använda den information som systemets tillverkare tillhandahåller för att uppfylla er skyldighet att göra en konsekvensbedömning enligt GDPR artikel 35 (DPIA) när det är tillämpligt (art. 26.9).7
Ingen av dessa skyldigheter kräver att ni är ett teknikbolag. De kräver att ni är en organisation som tar AI-användning på allvar.
Repurposing-fällan: när er anställd gör er till leverantör
Det här är den del som de flesta missar.
Artikel 25(1)(c) säger: om en distributor, importör, deployer eller annan tredje part ändrar det avsedda användningsområdet för ett AI-system (inklusive ett allmänt AI-system) som inte klassificerats som högrisk, på ett sådant sätt att systemet blir högrisk, ska den personen betraktas som en leverantör i förordningens mening.8
Vad det innebär i praktiken: er ekonomiassistent tar ChatGPT och bygger om det till ett internt verktyg som rangordnar jobbansökningar. ChatGPT är ett allmänt AI-system, inte högrisk. Men ett verktyg som rangordnar jobbansökningar faller under Bilaga III punkt 4.3 Nu är det högrisk. Och den som gjort om det till ett högrisk-AI-system är leverantören.8
Det är ert företag.
Leverantörsskyldigheter är tyngre än deployer-skyldigheter: teknisk dokumentation, ett fungerande kvalitetsledningssystem, CE-märkning, konformitetsbedömning.6 Det här är krav designade för företag som bygger och säljer AI-system. De gäller er om en anställd vibe-codar om ett allmänt verktyg till något som fattar beslut om människor.
Detta är inte en hypotetisk risk. Det är vad som händer när HR-avdelningen tar ett av de elva Claude Cowork-plugins som Anthropic publicerade i januari 2026, anpassar det för att filtrera kandidater, och sätter det i drift utan att IT vet om det.
Transparens för AI-genererad text
Artikel 50(4) gäller deployers, inte bara leverantörer: om ert företag använder ett AI-system för att generera text som publiceras i syfte att informera allmänheten i frågor av allmänt intresse, ska ni redovisa att texten är AI-genererad.9
Undantag: om texten genomgått en process av mänsklig granskning där en fysisk eller juridisk person har redaktionellt ansvar för publiceringen.9
Skyldigheten gäller text som publiceras i syfte att informera allmänheten om frågor av allmänt intresse: journalistiskt och politiskt innehåll, medborgarinformation och liknande. Vanlig affärskommunikation (kundmail, nyhetsbrev om produkter, interna pressmeddelanden) faller i allmänhet inte under detta krav. Men om ni publicerar innehåll som vänder sig till en bredare allmänhet i en fråga av allmänintresse och inte kan visa att en människa granskat och tagit redaktionellt ansvar för innehållet, gäller redovisningsplikten.9
Tidslinje
| Datum | Vad som gäller |
|---|---|
| 2 februari 2025 | Artikel 4 (AI-kompetens) gäller redan. Förbudet mot AI-system med oacceptabel risk (Art 5).10 |
| 2 augusti 2025 | Regler för allmänna AI-modeller (GPAI, Art 51–56) och sanktionsramverket (Art 99) träder i kraft.10 |
| 2 augusti 2026 | Allmän tillämpning: högrisk-krav, deployer-skyldigheter (Art 26), transparens (Art 50), repurposing-reglerna (Art 25). (Se not nedan.)10 |
| 2 augusti 2027 | Högrisk-klassificering via EU:s harmoniserade produktlagstiftning (Art 6(1)).10 |
November 2025 — Digital Omnibus: Kommissionen föreslog den 19 november 2025 (COM(2025) 868) att högrisk-kraven kan skjutas fram med upp till 16 månader om nödvändiga standarder och stödverktyg inte finns på plats till 2 augustus 2026. Senaste datum i så fall: december 2027. Förslaget är inte antaget. Datum för deployer-skyldigheter (Art 26) och transparens (Art 50) kan påverkas av samma förskjutning.11
Artikel 4 gäller redan. Det innebär att er personal som arbetar med AI-system nu ska ha tillräcklig AI-kompetens. Det kravet är i kraft.10
Böter
Brott mot deployer-skyldigheterna (artikel 26) och transparenskraven (artikel 50) faller under artikel 99(4): böter upp till 15 miljoner euro eller 3 procent av global årsomsättning, beroende på vilket som är högre.12
För SME-företag gäller artikel 99(6): böterna ska uppgå till det lägre av belopp eller procentsats som anges. Det är ett uttryckligt skydd för SME, men det förutsätter att böter faktiskt sätts ut proportionellt. Det är inte en fritagning.12
Vad ni kan göra nu
Lagen ger ingen steg-för-steg-guide, men logiken är tydlig.
Börja med att inventera. Vilka AI-system används i er verksamhet? Köpta, prenumererade, och sådant som anställda byggt med allmänna verktyg. Ni kan inte bedöma risk för system ni inte vet om.6
Klassificera sedan varje system: påverkar det beslut som rör enskilda personer? Faller det inom något av Bilaga III-områdena?3 Är någon anställd på väg att bygga om ett allmänt AI-system för ett av dessa syften?8
Koppla mänsklig tillsyn till högrisk-AI-systemen. Det kräver en namngiven person med rätt kompetens och befogenhet att stoppa systemet om det beter sig fel.7
Och dokumentera. Artikel 26-skyldigheterna kräver att ni kan visa att ni följer dem, inte bara att ni gör det.7
ISO 42001 som strukturerat sätt framåt
Skyldigheterna i EU AI Act (inventering, riskbedömning, tillsyn, dokumentation, konsekvensbedömning) är exakt vad ISO/IEC 42001 (ledningssystem för AI) strukturerar. Standarden är inte ett lagkrav, men den ger en bevisbar struktur som visar att ni arbetar systematiskt.
Har ni redan ISO 9001 eller ISO 27001 är grundlogiken densamma: dokumentera vad ni gör, varför, och hur ni kontrollerar att det fungerar. ISO 42001 tar den strukturen och applicerar den på AI-system.
Vi har skrivit mer om kopplingen mellan ISO 42001 och EU AI Act i den här artikeln.
Om ni vill se hur AmpliFlow stödjer det här arbetet: boka en genomgång.
Om ni vill se ett bredare perspektiv på vad AI-förändringen innebär för svenska företag (inklusive shadow AI, vibe coding och varför er CFO kan ställa fel fråga), läs vår relaterade artikel om att bygga eller köpa mjukvara med AI.
Footnotes
-
Regulation (EU) 2024/1689 av Europaparlamentet och rådet av den 13 juni 2024. Fulltext: https://eur-lex.europa.eu/eli/reg/2024/1689/oj ↩
-
Regulation (EU) 2024/1689, artikel 3(4) — definition av deployer. ↩
-
Regulation (EU) 2024/1689, Bilaga III — förteckning över högrisk-AI-system, punkt 4 (anställning), 5a (offentliga tjänster), 5b (kreditbedömning), 5c (försäkring), 5d (larmtjänster). ↩ ↩2 ↩3 ↩4 ↩5 ↩6 ↩7
-
Lindahl Advokatbyrå, “AI i rekryteringsprocessen — vad är tillåtet?”, praktisk analys av Bilaga III punkt 4 i HR-kontext. https://www.lindahl.se/aktuellt/nyheter/ai-i-rekryteringsprocessen/ ↩
-
Regulation (EU) 2024/1689, artikel 6(3)–(4) — undantag från högrisk-klassificering och profileringskrav. ↩ ↩2 ↩3
-
CMS Law, “EU AI Act — Questions and Answers”, genomgång av deployer-skyldigheter och tillämpningsområde. https://cms.law/en/int/publication/eu-ai-act-questions-and-answers ↩ ↩2 ↩3
-
Regulation (EU) 2024/1689, artikel 26 — deployer-skyldigheter, punkt 1, 2, 6, 7 och 9. ↩ ↩2 ↩3 ↩4 ↩5 ↩6 ↩7 ↩8
-
Regulation (EU) 2024/1689, artikel 25(1)(c) — repurposing-regel: när deployer blir leverantör. ↩ ↩2 ↩3
-
Regulation (EU) 2024/1689, artikel 50(4) — transparens för AI-genererad text av allmänt intresse. ↩ ↩2 ↩3
-
Regulation (EU) 2024/1689, artikel 113 — ikraftträdande och tillämpningstider. ↩ ↩2 ↩3 ↩4 ↩5
-
Europeiska kommissionen, COM(2025) 868, Digital Omnibus, 19 november 2025. https://digital-strategy.ec.europa.eu/en/library/digital-omnibus ↩
-
Regulation (EU) 2024/1689, artikel 99(4) och 99(6) — sanktioner och SME-skydd. ↩ ↩2
