Hoppa till innehåll på sidan
IMY-bloggen

Frågor & svar om AI-förordningen

Publicerad: 27 juni 2025
I början av juni genomförde vi webbinariet ”Värt att veta om AI-förordningen”. Syftet var att ge en snabb introduktion till AI-förordningen, som är EU:s allmänna reglering av artificiell intelligens (AI). Vi fick många frågor i chatten under webbinariet. I detta blogginlägg besvarar vi ett antal av dessa frågor.

Krävs AI-kunnighet vid användande av generativ AI?

Ja, kravet på AI-kunnighet gäller beträffande alla typer av AI-system, inklusive system för generativ AI.

Begreppet ”AI-kunnighet” definieras i artikel 3.56 i AI-förordningen. Med AI-kunnighet avses ”kompetens, kunskap och förståelse som gör det möjligt för leverantörer, tillhandahållare och berörda personer att, med hänsyn till deras respektive rättigheter och skyldigheter i samband med AI-förordningen, införa AI-system på ett välgrundat sätt samt bli medvetna om möjligheterna och riskerna med AI, och den potentiella skada den kan vålla”.

Av artikel 4 i AI-förordningen framgår att verksamheter som utvecklar eller använder AI-system måste vidta åtgärder för att säkerställa att personalen, och andra som arbetar på deras uppdrag, har tillräcklig AI-kunnighet. Det innebär att man ska ha förståelse för hur tekniken fungerar, vilka risker den kan medföra och hur den kan påverka människor. Syftet är att AI ska användas på ett ansvarsfullt, säkert och medvetet sätt, särskilt när tekniken kan påverka andra eller fatta beslut som rör människor.

EU-kommissionen har tagit fram frågor & svar med mer information om bestämmelsen gällande AI-kunnighet.

Vad ska man tänka på när ett AI-system behandlar personuppgifter?

AI-förordningen och dataskyddsförordningen, GDPR, kommer gälla parallellt. Båda förordningarna är alltså tillämpliga om personuppgifter behandlas i samband med att AI utvecklas eller används. IMY har tagit fram en vägledning om GDPR och AI som syftar till att skapa förutsättningar för att förena utveckling och användning av AI med ett gott dataskydd.

Var lägger EU-kommissionen ut sina riktlinjer avseende AI-förordningen?

EU-kommissionens riktlinjer avseende tillämpningen av AI-förordningen finns publicerade på kommissionens hemsida, men det finns ingen samlingssida för att enkelt nå dessa. IMY:s avsikt är att löpande informera på vår webbplats samt på myndighetens Linkedin när kommissionen publicerar nya riktlinjer. Nedan redovisas länkar till riktlinjer som har publicerats.  

Riktlinjer om de förbjudna AI-användningsområdena (AI-system med oacceptabel risk)

Riktlinjer om definitionen av AI-system

Frågor & svar om bestämmelsen gällande AI-kunnighet

Vilka myndigheter kommer att ansvara för de olika högriskområdena i AI-förordningen?

Flera nationella myndigheter kommer utöva marknadskontroll enligt AI-förordningen. Det är ännu inte klart vilka myndigheter som kommer att få sådana uppdrag. Förmodligen kommer bland annat Arbetsmiljöverket och Läkemedelsverket att utöva marknadskontroll för vissa AI-system med hög risk (artikel 74.3 i AI-förordningen och avsnitt A i bilaga I). IMY kommer troligtvis att utöva marknadskontroll avseende AI-system med hög risk som används för brottsbekämpande ändamål, gränsförvaltning och rättvisa och demokrati (artikel 74.8 i AI-förordningen).

I varje EU-medlemsstat ska det även finnas en myndighet som har det övergripande ansvaret för tillsynen över AI-förordningen (artikel 70.2 i AI-förordningen). Det finns ännu inget besked om vilken svensk myndighet som kommer att få det ansvaret.

En särskild utredare har fått i uppdrag att se över behovet av nationella anpassningar till följd av AI-förordningen. Utredaren ska bland annat lämna förslag på hur system för marknadsövervakning, marknadskontroll, styrning och kontroll av efterlevnad ska utformas samt lämna nödvändiga författningsförslag. Uppdraget ska slutredovisas senast den 30 september 2025.

Vem har ansvaret för att klassificera AI-systemen enligt de risknivåer som finns?

AI-förordningen skiljer mellan fyra olika risknivåer: AI-system med oacceptabel risk, AI-system med hög risk, AI-system med begränsad risk och AI-system med minimal eller ingen risk. Riskerna med AI-system kan ha att göra med hur systemen utformas, men de kan även utgå från hur AI-systemen används (se skäl 93 till AI-förordningen). Det är leverantören som behöver göra en bedömning om AI-systemet omfattas av någon av de risknivåer som ställs upp i AI-förordningen. 

Har organet, säg en myndighet, som köper in ett system för användning skyldighet att säkerställa att kraven är uppfyllda? Eller ska den förlita sig på att om systemet finns tillgängligt så uppfyller det kraven? 

Innan ett AI-system med hög eller begränsad risk tillgängliggörs på den fria inre marknaden så ska ett antal krav uppfyllas. Dessa skyldigheter följer för den som gör systemet tillgängligt, bland annat ska högrisksystem förses med en CE-märkning som kan ses som en godkännadestämpel för systemet. För en tillhandahållare (dvs. den som använder systemet) kan andra skyldigheter följa som att se till att användning av systemet sker korrekt eller att en konsekvensbedömning avseende grundläggande skyldigheter upprättas innan dess att ett system tas i bruk. Gör en tillhandahållare väsentliga ändringar av systemet eller använder det för ett annat ändamål än det avsedda följer i stort samma skyldigheter för tillhandahållaren som leverantören.

Är CE-märkning av högrisksystem ett bör-krav eller ett ska-krav?

För att ett AI-system med hög risk ska kunna omfattas av fri rörlighet på den inre marknaden krävs att den är CE-märkt (se skäl 129, artikel 23 och artikel 24 i AI-förordningen). 

Hur länge kommer loggar att behöva sparas?

Av AI-förordningen följer att loggar som genereras automatiskt av högrisksystem ska sparas så länge som är lämpligt med hänsyn till det avsedda ändamålet, dock minst sex månader. Det är dock viktigt att komma ihåg att regler kring loggning även kan följa av annan lagstiftning såsom dataskyddslagstiftning. 

Jag tycker det känns oklart med artikel 11 i AI-förordningen, är er förståelse att den ska gälla för leverantörer eller för tillhandahållare?

Av artikel 11 i AI-förordningen följer att den tekniska dokumentationen ska vara upprättad innan systemet släpps på marknaden. Vem skyldigheten åligger beror på vem som avser att släppa ut systemet på marknaden. Det kan vara en leverantör men det kan också vara till exempel en importör. En operatör enligt AI-förordningen kan också ha flera roller, man kan själv utveckla AI-systemet och sedan själv använda det och då träffas av regler som gäller både leverantörer och tillhandahållare.

Vilka regler ska man tillämpa om man endast utvecklar ett AI-system för internt bruk och inte tänker släppa ut det på marknaden?

Av artikel 2.1 a i AI-förordningen framgår att förordningen är tillämplig på leverantörer som släpper ut AI-system på marknaden eller tar sådana system i bruk.

Med leverantörer avses fysiska eller juridiska personer, offentliga myndigheter, byråer eller andra organ som bland annat utvecklar ett AI-system och släpper ut det på marknaden eller tar AI-systemet i bruk (artikel 3.3 i AI-förordningen).

Av artikel 2 i AI-förordningen framgår de undantagsfall då AI-förordningen inte ska vara tillämplig. Det rör sig bland annat om fall då ett AI-system släpps ut på marknaden eller tas i bruk uteslutande för militära ändamål (artikel 2.3 i AI-förordningen) eller ett AI-system som specifikt utvecklas och tas i bruk enbart i vetenskapligt forsknings- och utvecklingssyfte (artikel 2.6 i AI-förordningen).

Här finns fler frågor & svar

Fler frågor & svar om AI-förordningen finns i det blogginlägg som vi publicerade efter webbinariet i september 2024.

Senast uppdaterad: 27 juni 2025

Senaste blogginläggen

Se fler blogginlägg

Senaste blogginläggen

Se fler blogginlägg
Senast uppdaterad: 27 juni 2025
Sidans etiketter