Läser in
Läser in
Artikeln listar konkreta skyldigheter som gäller för deployer av högrisksystem. Skyldigheterna är per system, inte per organisation. En svensk bank med tre högrisksystem har alltså tre separata Art. 26-paket att upprätthålla.
Skyldigheterna i kronologisk ordning: följa providerns bruksanvisning enligt Art. 13, implementera human oversight enligt Art. 14, säkerställa datakvalitet på indata som deployer kontrollerar enligt Art. 10, bevara loggar som systemet automatiskt genererar i minst 6 månader (längre vid sektorsspecifik lag), informera fysiska personer när de omfattas av AI-beslut (punkt 11), genomföra FRIA där det krävs enligt Art. 27, rapportera allvarliga incidenter enligt Art. 73, och samarbeta med tillsynsmyndighet vid begäran.
Punkt 11 om informationsplikt har bredare räckvidd än det ser ut: berörda fysiska personer har rätt att veta att de omfattas av AI-beslut, vilket utlöser dokumentation, processbeskrivning och kommunikationskanal. Relaterar till Art. 86 om rätt till förklaring.
Alla deployers av högrisksystem enligt Art. 6. Svenska deployers inkluderar privata företag (banker, försäkringsbolag, vårdgivare, stora industrikoncerner), offentliga organ (myndigheter, regioner, kommuner, kommunala bolag), och vissa föreningar och stiftelser som bedriver yrkesmässig verksamhet.
Deployer-rollen aktiveras vid första användning. Om ni inte har aktiverat systemet ännu, börja efterlevnad innan drift. Att starta utan Art. 26-dokumentation är ett regelbrott från dag ett.
Särskild vikt: offentliga deployers har tilläggskrav via Art. 27 FRIA. Banker och försäkringsbolag som använder AI för kredit eller liv har också FRIA-krav. Övriga deployers har inte Art. 27 FRIA-krav men har alla övriga Art. 26-punkter.
Svensk praxis: Art. 26-paket per system med åtta sektioner. Sektion 1 arkiverar providerns bruksanvisning enligt Art. 13. Sektion 2 dokumenterar human oversight enligt Art. 14 med namngiven person. Sektion 3 specificerar datakvalitetskrav på indata (source, validering, rensning, bias-check). Sektion 4 aktiverar och dokumenterar loggning med minst 6 månaders arkivering. Sektion 5 har informationsmall till berörda personer. Sektion 6 har FRIA om krävs. Sektion 7 har incidentprocess kopplad till Art. 73. Sektion 8 har kontaktuppgifter för tillsynskommunikation.
Informationsplikten enligt punkt 11 är ofta underskattad. För rekryterings-AI: jobbsökande ska informeras att AI används i screening. För kreditbedömning: låntagare ska informeras om AI-inblandning. För vård: patient ska informeras om AI-stöd i diagnos. Informationen kan vara del av existerande processer (rekryteringsbrev, låneansökan, patientinformation) men måste vara tydlig.
Logg-arkivering: 6 månader är miniminivå. Sektorsspecifik lag förlänger ofta: patientdatalagen kräver 10 år i vård, bokföringslag kräver 7 år, arbetsrättslag kräver 5 år för rekrytering. Deployer ansvarar för att välja längsta tillämpliga tidsfrist.
Art. 26 är direktverkande men har tät överlappning med svensk lag. Cybersäkerhetslagen (SFS 2025:1506) Art. 21(2)(d) om leverantörskedjesäkerhet överlappar med deployer-providerrelationen. 6 kap. Cybersäkerhetslagen om styrelseansvar sätter personligt ansvar även för AI-efterlevnad för väsentliga entiteter.
GDPR Art. 22 om automatiserade beslut gäller parallellt när AI behandlar personuppgifter. Informationsplikten i Art. 26 punkt 11 överlappar med GDPR Art. 13/14 om informationsplikt till registrerade. Samordnad informationstext kan täcka båda regelverken.
Förvaltningslagen 32 paragraf kräver motivering av offentliga beslut, vilket förstärker Art. 26-krav för offentliga deployers. Patientsäkerhetslagen kräver klinisk bedömning som kompletterar Art. 14 human oversight i vården.
Nej. Provider har Art. 8 till 15. Deployer har Art. 26. Skyldigheterna överlappar inte. Om provider gör sitt jobb men deployer inte gör sitt, är det deployer som sanktioneras. Provider-efterlevnad ersätter inte Art. 26.
Punkt 11 kräver transparens om att AI används. Detaljerad teknisk information kan förbli konfidentiell. Men personer ska veta att AI omfattas i beslutet. Balansen är mellan proprietary och rättighet att förstå.
Nej. 6 månader är miniminivå enligt Art. 26. Sektorsspecifik lag ofta kräver längre: vård 10 år, bokföring 7 år, rekrytering 5 år. Deployer ansvarar för att välja längsta tillämpliga tidsfrist. Datahantering måste också följa GDPR Art. 5 om lagringstid.
Inte bara. Art. 27 kräver FRIA för offentliga deployers och vissa privata: banker som använder AI i kreditbedömning, försäkringsbolag som använder AI i livförsäkringsriskbedömning. Andra privata deployers har inte formell FRIA-krav men frivillig genomförande är god praxis.