Interaktiv checklista för att verifiera din AI Act-efterlevnad utifrån din roll i organisationen. DPO, HR-chef, CIO, ledningsgrupp och SMF-ledare.
Det vanligaste misstaget inför AI Act: att tro att en enda avdelning kan bära hela complianceansvaret. DPO:n kan inte göra allt ensam. CIO:n heller inte. AI Act-efterlevnad mobiliserar juridiska, tekniska, HR-mässiga och strategiska kompetenser — den kan bara lyckas om varje funktion tar sitt specifika ansvar.
Det här kapitlet erbjuder dig en interaktiv checklista per roll för att exakt identifiera vad som berör dig och följa dina framsteg.
DPO:n (eller complianceansvarig) spelar en central roll. Hen måste inventera samtliga AI-system, klassificera dem enligt förordningens risknivåer och säkerställa att förbjudna metoder inte används i organisationen.
Hen är också länken mellan ledningsgruppen, CIO:n och HR-chefen: det är DPO:n som samordnar insatserna och förbereder bevisen inför en eventuell revision av IMY (Integritetsskyddsmyndigheten) eller andra behöriga myndigheter.
Artikel 26, punkt 5 — Règlement (UE) 2024/1689
Tillhandahållare av högrisk-AI-system ska övervaka AI-systemets funktion baserat på bruksanvisningen och […] informera leverantören eller distributören och den behöriga marknadstillsynsmyndigheten.
Artikel 4 placerar AI-utbildning i centrum för efterlevnad. HR-chefen är bäst lämpad att implementera ett kompetensutvecklingsprogram anpassat till varje medarbetarprofil.
Det räcker inte att organisera ett webbinarium. Man måste kunna dokumentera utbildningsvägen, mäta förvärvade kunskaper och frambringa bevis på att AI-kompetensnivån är proportionell mot vars och ens roll.
📄AI Act Artikel 4: utbildningskravet förklarat→CIO:n ansvarar för att kartlägga alla driftsatta AI-system — inklusive de som affärsverksamheten antagit utan godkännande (shadow AI). För varje system klassificerat som högrisk ska hen implementera den tekniska dokumentationen, garantera spårbarheten av algoritmiska beslut och integrera de krävda mekanismerna för mänsklig tillsyn.
Den vanligaste utmaningen: AI-verktyg inbäddade i tredjepartsmjukvara (CRM, ERP, kontorsverktyg). CIO:n måste identifiera dessa “osynliga” AI-komponenter och verifiera deras risknivå.
📄Shadow IT i företaget: risker och lösningar 2026→Ledningsgruppen ska godkänna compliancestrategin, fördela budgetar (särskilt för Artikel 4-utbildning) och utse en AI Act-ansvarig. Den följer framstegen via en compliancetavla och förutser regulatoriska tidsfrister för att undvika överraskningar.
Den främsta risken för ledningen: budgetunderskattning. AI Act-efterlevnad har en kostnad — men den är långt lägre än de potentiella sanktionerna (upp till 35 miljoner euro eller 7 % av den globala omsättningen).
SMF är inte undantagna från AI Act. Men tillvägagångssättet måste vara proportionellt: identifiera om företaget använder AI-system (även indirekt via tredjepartsmjukvara), utbilda teamen i goda vanor, kontrollera leverantörernas efterlevnad och dokumentera användningen.
För ett SMF är den absoluta prioriteten Artikel 4: ett dokumenterat utbildningsprogram, även ett enkelt, räcker för att visa organisationens goda tro.
Svenskt perspektiv: Storbanker som Handelsbanken, SEB och Swedbank behöver omfattande complianceprogram för sina AI-baserade kreditmodeller. Offentliga aktörer som Försäkringskassan och Skatteverket, som använder AI i ärendehantering och riskbedömning, måste också säkerställa full efterlevnad. IMY förväntas vara den primära tillsynsmyndigheten.
Välj din roll och bocka av redan genomförda åtgärder. Dina framsteg sparas lokalt i din webbläsare — du kan återvända när som helst.
Selectionnez votre role :
Checklistan per roll är användbar för att klargöra individuella ansvarsområden. Men AI Act-efterlevnad kräver aktiv samordning mellan funktioner. Här är de väsentliga mekanismerna.
Samla DPO, HR-chef, CIO och en ledningsgruppsmedlem i en dedikerad kommitté som möts månadsvis. Målet: dela framsteg, undanröja hinder och avgöra prioriteringar. Utan denna kommitté arbetar varje funktion i ett silo och blinda fläckar multipliceras.
DPO:n samordnar, CIO:n levererar den tekniska kartläggningen, HR-chefen identifierar affärsanvändningen. Inventeringen ska vara unik, delad och regelbundet uppdaterad. Ett Excel-ark kan räcka till att börja — det viktiga är att den finns och är fullständig.
Utbildningsprogrammet som drivs av HR ska kalibreras utifrån den riskklassificering som DPO:n fastställt. Medarbetare som använder högrisk-system behöver en djupare utbildning än de som använder en enkel konversationsassistent.
Vänta inte på en kontroll för att sammanställa ditt dossier. Varje complianceåtgärd ska dokumenteras med datum, ansvarig och leverabel. Bevisbördan vilar på organisationen: det är du som ska visa att du har agerat.
📄AI-styrning i företaget: 5 steg för att strukturera→Spårbarhetens utmaning
AI Act kräver inte perfektion — den kräver bevis på insats. Ett dokumenterat utbildningsprogram, en uppdaterad inventering av AI-system, protokoll från compliancekommittén: dessa element utgör din första försvarslinje vid en kontroll. Total avsaknad av dokumentation är däremot ett konstaterat allvarligt brott.