Det farliga AI-systemet är inte alltid det mest avancerade.
Det är ofta systemet som påverkar en människa utan att någon i bolaget har klassificerat risken.
AI Act gör riskklassning till ett praktiskt ledningsarbete. Ni behöver veta vilka AI-system ni använder och vilka beslut de påverkar.
Börja med påverkan, inte teknik
Fråga inte först vilken modell ni använder.
Fråga vad systemet påverkar.
Påverkar AI:
- vem som får komma på intervju?
- hur anställda utvärderas eller fördelas arbete?
- kredit, pris, försäkring eller tillgång till tjänst?
- utbildningsbedömning?
- kundärenden där fel beslut kan påverka rättigheter?
- biometrisk identifiering eller kategorisering?
Om svaret är ja ska ni inte behandla systemet som “bara ett AI-verktyg”.
Fyra praktiska risknivåer
1. Stoppa och utred
Användning nära förbjudna praktiker: social scoring, skadlig manipulation, vissa biometriska användningar eller emotion recognition i arbetsliv/utbildning.
Här ska ni pausa innan ni bygger vidare.
2. Hög risk
AI i rekrytering, arbetsledning, utbildning, kredit, försäkring, kritisk infrastruktur eller andra områden där output kan påverka individers möjligheter och rättigheter.
Här behöver ni dokumentation, mänsklig tillsyn, leverantörskontroll, loggar och ofta juridisk rådgivning.
3. Transparensrisk
Chatbots, AI-genererat innehåll, syntetisk bild, ljud eller video.
Här behöver mottagaren förstå när AI är inblandad.
4. Minimal risk
Interna stödverktyg som inte påverkar personer externt eller fattar beslut om dem.
Här behöver ni fortfarande AI-literacy, dataregler och sunt godkännande.
Leverantören löser inte allt
Många svenska SMBs använder AI via SaaS.
Det gör er ofta till deployer: ni använder systemet i er verksamhet. Leverantören har egna skyldigheter, men ni behöver fortfarande veta hur systemet används hos er.
Fråga leverantören:
- Är funktionen klassad enligt AI Act?
- Är den avsedd för ett hög-risk-område?
- Vilka instruktioner för användning gäller?
- Vilka loggar finns?
- Hur fungerar mänsklig tillsyn?
- Kan vi få dokumentation för vår egen riskbedömning?
Om leverantören inte kan svara får ni ett internt riskproblem.
Dokumentera även när svaret är “inte hög risk”
Ett vanligt misstag är att bara dokumentera stora system.
Dokumentera också varför ni bedömer att ett AI-flöde inte är hög risk.
Skriv kort:
- systemnamn
- användning
- påverkade personer
- riskklass
- motivering
- owner
- nästa review-datum
En enkel risklogg ger bättre kontroll än muntliga antaganden.
Readiness-frågan
Om AI Act-revisorn, kunden eller styrelsen frågar “vilka AI-system använder ni och hur är de riskklassade?”
Då ska ni inte behöva leta i Slack.
Ni ska kunna öppna ett register.