Läser in
Vid acceptans laddas Google Analytics 4. Inget körs om ni avböjer. Integritetspolicy ·
Läser in
Artikeln listar konkreta skyldigheter som gäller för deployer av högrisksystem. Skyldigheterna är per system, inte per organisation. En svensk bank med tre högrisksystem har alltså tre separata Art. 26-paket att upprätthålla.
Skyldigheterna i kronologisk ordning: följa providerns bruksanvisning enligt Art. 13, implementera mänsklig översyn enligt Art. 14, säkerställa datakvalitet på indata som deployer kontrollerar enligt Art. 10, bevara loggar som systemet automatiskt genererar i minst 6 månader (längre vid sektorsspecifik lag), informera fysiska personer när de omfattas av AI-beslut (punkt 11), genomföra FRIA där det krävs enligt Art. 27, rapportera allvarliga incidenter enligt Art. 73, och samarbeta med tillsynsmyndighet vid begäran.
Punkt 11 om informationsplikt har bredare räckvidd än det ser ut: berörda fysiska personer har rätt att veta att de omfattas av AI-beslut, vilket utlöser dokumentation, processbeskrivning och kommunikationskanal. Relaterar till Art. 86 om rätt till förklaring.
Alla deployers av högrisksystem enligt Art. 6. Svenska deployers inkluderar privata företag (banker, försäkringsbolag, vårdgivare, stora industrikoncerner), offentliga organ (myndigheter, regioner, kommuner, kommunala bolag), och vissa föreningar och stiftelser som bedriver yrkesmässig verksamhet.
Deployer-rollen aktiveras vid första användning. Om ni inte har aktiverat systemet ännu, börja efterlevnad innan drift. Att starta utan Art. 26-dokumentation är ett regelbrott från dag ett.
Särskild vikt: offentliga deployers har tilläggskrav via Art. 27 FRIA. Banker och försäkringsbolag som använder AI för kredit eller liv har också FRIA-krav. Övriga deployers har inte Art. 27 FRIA-krav men har alla övriga Art. 26-punkter.
Svensk praxis: Art. 26-paket per system med åtta sektioner. Första sektionen arkiverar providerns bruksanvisning enligt Art. 13. Andra sektionen dokumenterar mänsklig översyn enligt Art. 14 med namngiven person. Tredje sektionen specificerar datakvalitetskrav på indata (källa, validering, rensning, bias-kontroll). Fjärde sektionen aktiverar och dokumenterar loggning med minst 6 månaders arkivering. Femte sektionen har informationsmall till berörda personer. Sjätte sektionen har FRIA om det krävs. Sjunde sektionen har incidentprocess kopplad till Art. 73. Åttonde sektionen har kontaktuppgifter för tillsynskommunikation.
Informationsplikten enligt punkt 11 är ofta underskattad. För rekryterings-AI ska jobbsökande informeras att AI används i screening. För kreditbedömning ska låntagare informeras om AI-inblandning. För vård ska patient informeras om AI-stöd i diagnos. Informationen kan vara del av existerande processer (rekryteringsbrev, låneansökan, patientinformation) men måste vara tydlig.
Logg-arkivering: 6 månader är miniminivå. Sektorsspecifik lag förlänger ofta: patientdatalagen kräver 10 år i vård, bokföringslag kräver 7 år, arbetsrättslag kräver 5 år för rekrytering. Deployer ansvarar för att välja längsta tillämpliga tidsfrist.
Art. 26 är direktverkande men har tät överlappning med svensk lag. Cybersäkerhetslagen (SFS 2025:1506) 2 kap. 3 § p. 4 om leveranskedjesäkerhet överlappar med deployer-providerrelationen. CSL 2 kap. 4 § kräver att personer i ledningen genomgår utbildning. 4 kap. 6 § ger möjlighet till förbud att inneha ledningsfunktion vid uppsåt eller grov oaktsamhet i en väsentlig verksamhet, vilket kopplar AI-efterlevnad till en personlig konsekvens via NIS2-spåret.
GDPR Art. 22 om automatiserade beslut gäller parallellt när AI behandlar personuppgifter. Informationsplikten i Art. 26 punkt 11 överlappar med GDPR Art. 13/14 om informationsplikt till registrerade. Samordnad informationstext kan täcka båda regelverken.
Förvaltningslagen 32 § kräver motivering av offentliga beslut, vilket förstärker Art. 26-krav för offentliga deployers. Patientsäkerhetslagen kräver klinisk bedömning som kompletterar Art. 14 mänsklig översyn i vården.
Det stämmer inte. Provider har Art. 8–15. Deployer har Art. 26. Skyldigheterna överlappar inte. Om provider gör sitt jobb men deployer inte gör sitt, är det deployer som sanktioneras. Provider-efterlevnad ersätter inte Art. 26.
Felaktigt antagande. Punkt 11 kräver transparens om att AI används. Detaljerad teknisk information kan förbli konfidentiell, men personer ska veta att AI omfattas i beslutet. Balansen är mellan affärshemlighet och individens rätt att förstå.
Den slutsatsen håller inte. 6 månader är miniminivå enligt Art. 26. Sektorsspecifik lag kräver ofta längre: vård 10 år, bokföring 7 år, rekrytering 5 år. Deployer ansvarar för att välja längsta tillämpliga tidsfrist. Datahantering måste också följa GDPR Art. 5 om lagringstid.
Inte riktigt. Art. 27 kräver FRIA för offentliga deployers och vissa privata: banker som använder AI i kreditbedömning, försäkringsbolag som använder AI i livförsäkringsriskbedömning. Andra privata deployers har inte formellt FRIA-krav men frivilligt genomförande är god praxis.