Klassificering av AI-system: omfattas du av högrisk?

Kärnan i systemet: en riskbaserad strategi

Den europeiska förordningen om artificiell intelligens (förordning 2024/1689) vilar på en grundläggande princip: skyldigheterna står i proportion till risknivån. Ju mer ett AI-system kan påverka liv, hälsa, grundläggande rättigheter eller personsäkerhet, desto strängare krav ställs.

Denna gradvisa strategi skiljer AI Act från mer binära regelverk. Den gör det möjligt att inte bromsa innovation vid lågriskapplikationer, samtidigt som de mest känsliga tillämpningarna regleras kraftfullt.

Skäl 26 — Règlement (UE) 2024/1689

AI-system som utgör en hög risknivå för personers hälsa, säkerhet eller grundläggande rättigheter bör omfattas av strikta krav innan de kan släppas ut på unionsmarknaden.

De fyra risknivåerna

1. Oacceptabel risk — Förbjudna system

Vissa användningar av AI är helt enkelt förbjudna (Artikel 5). Social poängsättning, subliminal manipulation, utnyttjande av personers sårbarheter och biometrisk fjärridentifiering i realtid på offentliga platser (med undantag) är förbjudna sedan 1 februari 2025.

2. Hög risk — System med förstärkta skyldigheter

Detta är den kategori som berör flest företag. AI-system med hög risk definieras i Artiklarna 6 och 7 och listas i detalj i Bilaga III till förordningen. De associerade skyldigheterna är omfattande: bedömning av överensstämmelse, teknisk dokumentation, mänsklig tillsyn, riskhantering, datastyrning.

3. Begränsad risk — Transparenskrav

System som chatbotar, innehållsgeneratorer (deepfakes, texter) eller emotionsigenkänningssystem som inte omfattas av förbudet är föremål för transparenskrav. Användaren måste veta att hen interagerar med en AI eller att innehållet har genererats av AI.

4. Minimal risk — Inga specifika skyldigheter

Den stora majoriteten av AI-system: spamfilter, produktrekommendationer, stavningskontroll. AI Act ålägger inga specifika begränsningar, även om Artikel 4 om AI-kompetens fortfarande gäller för alla tillhandahållare.

Bilaga III: högrisk-system, sektor för sektor

Bilaga III till förordningen listar de områden där ett AI-system anses utgöra hög risk. Här är de konkreta fall som berör de flesta företag.

Personal och rekrytering

Detta är det område som överraskar flest företag. Bilaga III, punkt 4 riktar sig mot AI-system som används inom:

Bilaga III, punkt 4 — Règlement (UE) 2024/1689

Anställning, personalförvaltning och tillgång till egenföretagande, i synnerhet för rekrytering och urval av personer, för beslut om arbetsvillkor, befordran och uppsägning, samt för uppgiftsfördelning, övervakning eller utvärdering av personers prestationer och beteende.

Konkret anses följande som högrisk:

• Kandidatpoängsättning: varje algoritm som automatiskt rangordnar, poängsätter eller filtrerar ansökningar
• Automatiserad CV-analys: verktyg som förselekterar profiler baserat på automatiska kriterier
• Förhandsgranskningschatbotar: konversationsassistenter som bedömer kandidater under rekryteringsprocessen
• Prestationsutvärderingssystem: AI-verktyg som analyserar medarbetares produktivitet eller beteende
• Matchningsverktyg: algoritmer som kopplar profiler till tjänster

Om din HR-avdelning använder ett automatiskt CV-screeningverktyg eller en rekryteringschatbot rör det sig troligen om ett högrisk-system i AI Acts mening.

📄AI för HR: komplett guide till HR-transformation→

Finans och försäkring

Bilaga III, punkt 5(b) omfattar AI-system som används för:

• Kreditvärdighetspoängsättning: modeller som bedömer fysiska personers kreditvärdighet (med undantag för bedrägeridetektion)
• Riskbedömning inom liv- och sjukförsäkring
• Automatiserad prissättning baserad på individuella profiler

Varje bank eller försäkringsbolag som använder en AI-modell för att bevilja eller neka en kredit, eller för att fastställa en försäkringspremie, omfattas. I Sverige berör detta direkt aktörer som Handelsbanken, SEB och Swedbank, som alla använder AI-modeller i sina kreditprocesser. Bedrägeridetektion är uttryckligen undantagen från högrisk — men observera att poängsättningssystem som går utöver enkel detektion kan falla under kategorin.

Hälso- och sjukvård

Bilaga III, punkt 1 omfattar AI-system som är medicintekniska produkter eller tillbehör till medicintekniska produkter enligt europeiska förordningar. Detta inkluderar:

• Diagnosstöd: algoritmer som analyserar medicinska bilder eller föreslår diagnoser
• Automatiserad triage: system som hänvisar patienter till vårdvägar
• Övervakningssystem: uppkopplade enheter med AI-komponent som övervakar vitala parametrar
• Förskrivningsstöd: verktyg som föreslår behandlingar

Utbildning och yrkesutbildning

Bilaga III, punkt 3 riktar sig mot AI-system som används för:

• Antagning till utbildningsinstitutioner
• Automatisk betygsättning av prov och utvärderingar
• Nivåbedömning av lämplig utbildningsnivå för en person
• Kontroll av förbjudet beteende under prov (automatiserad övervakning)

Rättsväsen och brottsbekämpning

Bilaga III, punkt 6, 7 och 8 omfattar:

• Återfallsriskbedömning: system för att bedöma sannolikheten att en person begår ett brott
• Lögndetektorer och emotionsdetekteringsverktyg under förhör
• Bedömning av bevisens tillförlitlighet
• Profilering inom brottsförebyggande och brottsbekämpning

Offentlig sektor och sociala förmåner

I Sverige använder myndigheter som Försäkringskassan och Skatteverket i allt högre grad AI-system för ärendehandläggning, riskbedömning och automatiserat beslutsfattande. Dessa system kan falla under flera av Bilaga III:s kategorier beroende på tillämpning — särskilt om de påverkar personers tillgång till sociala förmåner eller skattemässiga beslut.

Kritisk infrastruktur

Bilaga III, punkt 2 omfattar säkerhetskomponenter i förvaltning och drift av kritisk digital infrastruktur, vägtrafik och leverans av vatten, gas, värme och elektricitet.

Migration och gränskontroll

Bilaga III, punkt 7 inkluderar system som används för bedömning av risken för irregulär migration, granskning av viseringsansökningar och uppehållstillstånd, samt identifiering av personer i samband med migration.

Konkreta skyldigheter för högrisk-system

Om ett eller flera av dina AI-system klassificeras som högrisk, är detta vad förordningen kräver:

Bedömning av överensstämmelse (Artiklarna 9 till 15)

Före utsläppande på marknaden eller ibruktagande måste systemet genomgå en bedömning av överensstämmelse som omfattar:

1. Riskhanteringssystem (Artikel 9): identifiering, analys, uppskattning och begränsning av risker under systemets hela livscykel
2. Datastyrning (Artikel 10): träningsdataset ska vara relevanta, representativa och i möjligaste mån fria från fel
3. Teknisk dokumentation (Artikel 11): detaljerad beskrivning av systemet, dess ändamål, prestanda och begränsningar
4. Registerföring (Artikel 12): automatisk loggning av händelser under hela driftstiden
5. Transparens och information (Artikel 13): tydliga användningsinstruktioner för tillhandahållare
6. Mänsklig tillsyn (Artikel 14): systemet ska vara utformat för att möjliggöra effektiv kontroll av fysiska personer
7. Noggrannhet, robusthet och cybersäkerhet (Artikel 15)

Specifika skyldigheter för tillhandahållare (Artikel 26)

Företag som använder högrisk-AI-system (tillhandahållare) har egna skyldigheter:

• Använda systemet i enlighet med leverantörens instruktioner
• Säkerställa mänsklig tillsyn genom kompetenta och utbildade personer
• Övervaka systemets funktion och rapportera varje funktionsstörning
• Genomföra en konsekvensbedömning av grundläggande rättigheter (för vissa tillhandahållare)
• Bevara automatiskt genererade loggar i minst sex månader

📄AI-risker i företaget: identifiera och hantera effektivt→

Hur du reviderar dina AI-verktyg

Det första steget mot efterlevnad är att veta exakt vilka AI-system du använder och i vilken kategori de hamnar.

1. Upprätta fullständig inventering

Lista alla verktyg som integrerar AI i din organisation. Glöm inte:

• Verktyg inbyggda i befintlig mjukvara (CRM, ERP, HR-system)
• SaaS-prenumerationer med AI-funktionalitet
• Informell användning av medarbetare (AI-assistenter, genereringsverktyg)
• Intern utveckling

2. Klassificera varje system

Fastställ för varje identifierat verktyg:

• Är det ett AI-system i Artikel 3(1):s mening?
• Faller det under en av Bilaga III:s kategorier?
• Vilken risknivå har det?

3. Utvärdera compliancegapet

Jämför din nuvarande situation med kraven i Artiklarna 9 till 15 och Artikel 26 för varje högrisk-system. Identifiera gap och prioritera korrigerande åtgärder.

4. Dokumentera och spåra

Sammanställ ett compliancedossier per system, inklusive klassificering, teknisk dokumentation, genomförda bedömningar och vidtagna kontrollåtgärder. Denna strukturerade dokumentation blir din referens vid en revision.

5. Utbilda användarna

För varje högrisk-system måste de personer som ansvarar för mänsklig tillsyn ha nödvändig kompetens (Artikel 14). Detta kompletterar skyldigheten i Artikel 4 om AI-kompetens, men med en högre kravnivå: dessa personer måste förstå de specifika kapaciteterna och begränsningarna hos det system de övervakar.

Fallet med AI-modeller för allmänna ändamål

AI-modeller för allmänna ändamål (som GPT-4, Claude, Gemini) omfattas av specifika bestämmelser (Artiklarna 51 till 56). När en modell för allmänna ändamål integreras i ett AI-system klassificerat som högrisk gäller högrisk-skyldigheterna för systemet som helhet — även om den underliggande modellen i sig är ett generalistiskt verktyg.

Detta innebär att användning av ChatGPT för att svara kandidater i en rekryteringsprocess kan omvandla ett “generalistiskt” verktyg till en komponent i ett högrisk-system.