TL;DR: EU AI Act är inte en stor sak för de flesta svenska SMB — om ni bara använder AI som verktyg (ChatGPT, Copilot, Claude). Den blir en stor sak om ni utvecklar egna AI-system som påverkar människor (rekrytering, kreditbedömning, biometri). Praktisk minimi-checklista nedan.
Mina kunder har frågat om EU AI Act mer på sex månader än om GDPR de senaste tre åren. Bra anledning: bötesbeloppen är högre (upp till 35 miljoner EUR eller 7 % av global omsättning) och rättsakten täcker fler områden än de flesta tror.
Den här artikeln är skriven för 10–500-personers bolag i Sverige som använder AI i arbetsflödet — inte för regulatoriska experter eller stora plattformsbolag. Om ni vill ha den auktoritativa juridiska texten, hänvisar jag till regulation (EU) 2024/1689; om ni vill ha en praktisk handlingsplan, läs vidare.
Vem omfattas av EU AI Act?
Kort svar: i princip alla som utvecklar, distribuerar eller använder AI-system inom EU. Det inkluderar:
- Providers — bolag som utvecklar AI-system (även om ni bara byter ut beteendet på en open-source-modell)
- Deployers — bolag som använder AI-system i sin verksamhet (det är där de flesta SMB hamnar)
- Importers/distributors — bolag som säljer eller återförsäljer AI-system
Som svensk SMB är ni nästan alltid deployer. Och då är kraven betydligt enklare än om ni vore provider — men inte noll.
De fyra riskklasserna
EU AI Act delar in AI-system i fyra klasser, beroende på risk:
| Klass | Exempel | Vad gäller |
|---|---|---|
| Förbjudet | Social scoring av medborgare, manipulativ AI som utnyttjar sårbarhet, oriktad biometrisk insamling | Helt förbjudet — har varit i kraft sedan 2 februari 2025 |
| High-risk | AI för rekrytering, kreditbedömning, betygsättning, kritisk infrastruktur, medicinsk diagnostik | Tunga krav: riskhanteringssystem, datakvalitet, dokumentation, mänsklig översyn, registreras i EU-databas |
| Limited risk | Chatbottar, deepfakes, AI som genererar innehåll | Transparenskrav: användaren ska veta att de interagerar med AI |
| Minimal risk | Spamfilter, AI i spel, rekommendationsalgoritmer | Inga obligatoriska krav (frivilliga uppförandekoder uppmuntras) |
För de flesta SMB faller AI-användningen i limited risk eller minimal risk — vilket innebär att kraven mest handlar om transparens och dokumentation, inte om tunga compliance-processer.
Tidslinje: vad har trätt i kraft, vad kommer
| Datum | Vad börjar gälla |
|---|---|
| 2 februari 2025 | Förbud mot oacceptabla AI-system (social scoring m.m.). AI-litteracitet bland personalen krävs. |
| 2 augusti 2025 | Regler för general-purpose AI-modeller (GPAI) — påverkar OpenAI, Anthropic m.fl., inte SMB direkt |
| 2 augusti 2026 | Huvuddelen av rättsakten gäller, inklusive high-risk-kraven |
| 2 augusti 2027 | Övriga regler (vissa övergångsperioder för specifika sektorer) |
Den deadline som flesta SMB behöver bry sig om är 2 augusti 2026 — strax efter att den här artikeln publiceras. Om ni har AI-system som potentiellt klassas som high-risk är det dags att börja dokumentera nu.
Vad svenska SMB faktiskt behöver göra
Här är en pragmatisk handlingsplan beroende på er användning:
Om ni bara använder AI som verktyg (ChatGPT, Copilot, n8n med GPT-anrop)
Ni är deployer av minimal eller limited risk-system. Minimi-checklista:
- AI-litteracitet (krävs sedan februari 2025). Säkerställ att personal som använder AI-verktyg förstår vad systemen kan och inte kan, vilka risker som finns och hur output ska tolkas. En 1–2-timmars intern utbildning + en kort policy räcker för de flesta SMB.
- Transparens. Om ni har en chatbot på er webb (typ "Chatta med Max") — gör tydligt att det är AI. Lägg till en disclaimer eller använd märkning. Det är ett krav från limited risk-klassen.
- AI-användningsregister. Lista vilka AI-system som används internt, för vad och vem som ansvarar. Behöver inte vara komplicerat — ett kalkylblad räcker.
- GDPR-överlapp. AI-anrop som processar personuppgifter omfattas både av GDPR och AI Act. Säkerställ DPA med leverantörer (OpenAI, Anthropic m.fl.) och att data stannar inom EU om det är personuppgifter.
Det är cirka 1–2 dagars arbete om ni redan har GDPR-rutiner på plats.
Om ni utvecklar AI-system som påverkar människor
Här blir det mer omfattande. Om något av följande gäller, klassas systemet potentiellt som high-risk:
- AI för rekrytering (CV-screening, intervju-AI)
- AI för kreditbedömning eller försäkringsanalys
- AI för bedömning av studenter i utbildningssammanhang
- AI för biometrisk identifiering (även för åtkomstkontroll)
- AI som påverkar tillgång till offentliga tjänster eller socialförsäkring
- AI som används i kritisk infrastruktur (vatten, el, telekom)
Om något av detta gäller behöver ni:
- Riskhanteringssystem — dokumenterad process för att identifiera, utvärdera och hantera risker över systemets livscykel.
- Datakvalitetsstandarder — träningsdata måste granskas för bias, representativitet och kvalitet. Dokumenteras.
- Teknisk dokumentation — kapabiliteter, begränsningar, träningsdata, prestandamått, mätbara KPI:er.
- Loggning — automatisk loggning av systemets beslut och input, sparad enligt regulatoriska krav.
- Mänsklig översyn — en människa måste kunna ingripa, åsidosätta beslut, eller stoppa systemet.
- Registrering i EU-databasen — high-risk-system listas centralt.
- Conformity assessment — verifiering att systemet uppfyller kraven, antingen internt eller via tredjepartsbedömning.
Det här är inte "fyll i en blankett" — det är en compliance-process som tar 2–6 månader att etablera och som behöver underhållas. För svenska SMB som inte har dedikerad compliance-funktion: räkna med extern hjälp.
Om ni utvecklar generativ AI (egna LLM-baserade produkter)
Om ni säljer en GPT-driven produkt till andra bolag finns ytterligare krav:
- Märkning av AI-genererat innehåll — användare måste veta när text, bild eller video är AI-genererat.
- Transparens kring träningsdata — för general-purpose AI måste ni publicera en sammanfattning av vad modellen är tränad på.
- Säkerhetstester — vid systemic risk (typiskt vid mycket stora modeller) krävs ytterligare red-teaming och rapportering.
För de flesta svenska SMB som byggt en GPT-wrapper-produkt är detta hanterbart. Men det kräver att ni dokumenterar.
Tre vanliga missuppfattningar
1. "Vi använder bara ChatGPT, så AI Act gäller inte oss."
Fel. Som deployer har ni transparens- och AI-litteracitetskrav även om ni inte utvecklar något själva. De är dock relativt enkla att uppfylla.
2. "Eftersom vi är ett litet bolag är vi undantagna."
Fel. AI Act har inga storleksgränser. Ett 5-personers bolag som använder AI för rekrytering måste uppfylla samma high-risk-krav som ett storbolag. Däremot finns vissa lättnader för SMB i form av regulatoriska sandlådor.
3. "Bötesbeloppen är teoretiska — de kommer inte komma ut förrän om flera år."
Också fel. Förbudsklassen och AI-litteracitetskravet har gällt sedan februari 2025. Tillsynsmyndigheter (i Sverige: IMY) har redan börjat granska. Bötesbelopp för förbudsbrott är upp till 35 miljoner EUR eller 7 % av global omsättning — vilket som är högst.
Var IMY står (svensk tillsyn)
Sverige har utsett Integritetsskyddsmyndigheten (IMY) som primär tillsynsmyndighet, kompletterat med sektorsspecifika myndigheter (Finansinspektionen, Läkemedelsverket m.fl. för deras områden). IMY har publicerat vägledning som är värd att läsa om ni hanterar persondata med AI.
Praktisk takeaway: om ni redan har ett GDPR-arbete på plats och en bra relation med IMY, kommer EU AI Act-arbetet bygga på den grunden snarare än vara en helt ny vertikal.
Praktisk minimi-checklista för svenska SMB
Om ni inte har gjort något ännu, så här prioriterar jag det:
- Den här veckan: Inventera vilka AI-system ni använder och kategorisera per riskklass.
- Den här månaden: AI-litteracitetsutbildning (1–2 timmar internt). Skriv en kort AI-användningspolicy.
- Före augusti 2026: Om något system potentiellt är high-risk, börja dokumentera (riskhantering, datakvalitet, mänsklig översyn).
- Löpande: Uppdatera DPA:er med AI-leverantörer (OpenAI, Anthropic m.fl.) så de täcker AI Act, inte bara GDPR.
Om ni vill ha hjälp att kartlägga er AI-användning och göra en initial bedömning är det en del av vad jag täcker i en AI-mognadsbedömning — vi går igenom era system, gör en första riskklassificering och prioriterar vad som behöver göras före deadline. Inte juridisk rådgivning (jag är ingen jurist), men en teknisk- och processgrund som er compliance-funktion eller jurist kan bygga vidare på.
Boka 30 min om ni vill diskutera er specifika situation.