Läser in
Läser in
Artikeln är unikt fördelad mellan provider och deployer. Provider ska designa systemet så att human oversight är möjlig. Det kräver user interface som ger oversight-personen tillräckligt med information, mekanismer för att stoppa systemet eller åsidosätta utdata, och dokumentation av hur oversighten ska organiseras.
Deployer ska implementera human oversight i praktiken. Det kräver att utse en eller flera personer som har kompetens, tid, auktoritet och resurser att utföra oversighten. Oversight-personen ska kunna förstå systemets kapacitet och begränsningar, identifiera automation bias (tendensen att lita på AI-utdata oreserverat), korrekt tolka utdata, ignorera eller åsidosätta utdata när det är motiverat, och stoppa systemet via en interventions- eller nödstoppfunktion.
Art. 14 är inte hands-on-granskning av varje utdata. Det är en strukturerad förmåga och beredskap att ingripa. Nivån av aktiv oversight anpassas till systemets risker: mer aktiv vid säkerhetskritiska system, mer reaktiv vid lägre-risk-högrisksystem.
Både providers och deployers av högrisksystem. Provider-skyldigheten är design: hur systemet byggs och vad det levereras med. Deployer-skyldigheten är praktik: vem som gör jobbet och hur.
Oversight-personen är en fysisk person, inte en organisatorisk enhet. En vårdcentral kan utse överläkaren som oversight för ett diagnosstödsystem. En bank kan utse kreditchefen för en kreditbedömningsmodell. Flera personer kan dela rollen om det är praktiskt (skiftarbete, olika tidszoner). Varje person måste individuellt uppfylla Art. 14-kompetenskraven.
Human oversight i praktiken kräver fyra komponenter. Utsedd person med namngivet mandat, inte bara organisatorisk roll. Kompetens som dokumenteras i Art. 4-kompetensmatrisen. Tid som är realistiskt avsatt: en läkare kan inte granska varje AI-analys manuellt, men kan granska stickprov och ingripa vid avvikelser. Auktoritet som är explicit dokumenterad, oftast via delegation från CISO eller affärsägare.
Design som möjliggör oversight: user interface med begriplig utdata, konfidensgrad eller felmarginal, historik över tidigare beslut, interventionsmöjlighet som kan triggas manuellt, loggning av alla interventioner. Provider levererar grunden, deployer anpassar för sin miljö.
Protokoll: dokumenterad process för hur oversighten utförs, inklusive frekvens (kontinuerlig, stickprov, eskalering), kriterier för intervention, rapportering av avsteg från AI-utdata, och loggning som är granskbar av tillsynsmyndighet.
Hög-frekvens-domäner (trafikstyrning, nätverksförsvar, SIEM) kräver särskild modell. Human oversight kan inte vara manuell granskning av varje händelse. Istället: oversight över systemets beteende över tid, dokumenterade kill-switches, rollback-procedurer, och automatisk eskalering vid ovanliga mönster.
Art. 14 överlappar med flera svenska regelverk. Patientsäkerhetslagen kräver klinisk bedömning som kan inte delegeras till AI, vilket förstärker Art. 14 i vården. Förvaltningslagen 9 paragraf kräver att offentliga beslut är begripligt motiverade, vilket kräver att offentlig deployer kan åsidosätta och förklara AI-beslut.
Arbetsmiljölagen 6 kap. 6 paragraf om arbetsgivarens ansvar för arbetsmiljö påverkar oversight-personens arbetssituation: om tiden inte räcker för meningsfull oversight kan arbetsgivaren bryta mot både Art. 14 och arbetsmiljölagen. MBL-förhandlingar kan behövas vid införande av AI-system som påverkar oversight-rollens arbetsuppgifter.
Nej, inte för högrisksystem. Art. 14 kräver att human oversight är möjlig oavsett systemets prestanda. Träffsäkerhet på 99 procent betyder fortfarande 1 procent felaktig utdata, och om konsekvensen är hög måste människa kunna ingripa.
Oftast inte. CISO har inte tid, domänkunskap eller operativ närhet till varje system. Oversight utses per system eller system-familj, vanligen operativ expert i domänen. CISO övervakar att Art. 14-strukturen fungerar, inte själva utdata-granskningen.
Nej. Art. 14 kräver förmåga att ingripa, inte obligatorisk manuell granskning av varje utdata. Stickprov, eskalering vid avvikelser, och loggning av mönster är vanligen tillräckligt. Nivån anpassas till risk.
Nej. Automation bias är en mänsklig kognitiv tendens att lita på AI-utdata oreflekterat. Providern kan designa UI som motverkar det (tvinga granskningstid, kräva explicit bekräftelse), men slutansvaret ligger hos deployer och oversight-personen.