Läser in
Läser in
Artikeln är kort men har bred räckvidd. Den kräver att providers och deployers vidtar åtgärder för att säkerställa att personal som driver eller påverkas av AI-systemen har tillräcklig AI-kompetens, med hänsyn till teknisk kunskap, erfarenhet, utbildning och kontexten där AI-systemet används. Kravet gäller även kontraktsanställda och konsulter.
Förordningen definierar inte vad tillräcklig betyder i siffror. EU:s AI Office har signalerat att praxis bygger på proportionalitet: ju mer kritisk rollen är för säker AI-användning, desto djupare kompetens krävs. Art. 4 saknar egen sanktionstrappa i förordningen men påverkar praxis genom att tillsynsmyndigheten kan peka på kompetensbrister som orsak till att andra krav inte uppfyllts.
Alla organisationer oavsett storlek, sektor eller AI-systemets risknivå. Ett tioperson-bolag som använder en enda AI-funktion i Excel omfattas, så gör en stor bank med tusentals AI-integrationer. Rollbaserat fokus: alla anställda som interagerar med AI-system ska ha kompetens som motsvarar deras arbetsuppgifter, men djupet varierar.
Tre grupper som ofta underskattar sin exponering: anställda med privata ChatGPT-konton som används yrkesmässigt, chefer som beslutar om AI-inköp utan teknisk insyn, och styrelseledamöter som inte fått specifik AI Act-utbildning. Alla tre fallen kan trigga Art. 4-brist om tillsynsmyndigheten granskar.
Svensk praxis: en rollbaserad kompetensmatris som kopplar varje jobbroll i organisationen till en kompetensnivå och ett utbildningsutbud. Matrisen ska vara dokumenterad, uppdaterad årligen och spårbar per individ. I praktiken består detta av tre delar. En kompetenstaxonomi som definierar vilka nivåer som finns (exempelvis översikt, användare, systemägare, expert). En mappning från jobbroll till nivå. En utbildningslogg per anställd med datum, innehåll och eventuell tentamen.
Utbildningen kan ofta paketeras in i befintlig säkerhetsutbildning (MSB, NIS2-utbildning, GDPR-utbildning) så att anställda inte behöver genomgå separata kurser för varje regelverk. Viktigt: varje kursmodul som ska täcka Art. 4 bör markeras uttryckligen i utbildningsloggen.
Storlek påverkar ambition men inte princip. Ett bolag med 50 anställda klarar en enkel matris med 5 till 10 rollklasser. Ett bolag med 5 000 anställda kan ha 40 till 60 klasser. Utbildningsintensiteten skiljer sig men strukturen är densamma.
Art. 4 är direktverkande i Sverige och kräver ingen svensk implementationslag. Men kravet överlappar med andra svenska regelverk som förstärker skyldigheten. Cybersäkerhetslagen (SFS 2025:1506) kräver utbildning enligt 4 kap. 7 punkten (cyberhygien), vilket kan samköras med Art. 4 för AI-specifik del. GDPR Art. 32 kräver att personuppgiftsansvariga säkerställer kompetens hos dem som hanterar personuppgifter, vilket överlappar med Art. 4 för AI som behandlar personuppgifter. Arbetsmiljölagen 3 kap. 3 paragraf om introduktionsutbildning kan tillämpas på AI-verktyg som anställda ska använda.
Nej. Generell IT-säkerhetsutbildning täcker inte AI-specifika risker som bias, hallucinering, prompt injection eller modellmanipulation. Art. 4 kräver AI-specifikt innehåll även om det paketeras in i befintlig kurs. Kursbeskrivning och innehållsförteckning bör markera AI-delen uttryckligen.
Nej. Art. 4 gäller alla som interagerar med eller påverkas av AI-system. En marknadsassistent som använder Copilot omfattas. En jobbsökande som screenas av AI-verktyg omfattas inte, eftersom hen inte är organisationens personal. Men organisationens HR-personal som beslutar baserat på AI-utdata omfattas.
Det finns inget storleksundantag. Ett enmansbolag som använder ChatGPT yrkesmässigt omfattas av Art. 4. Skillnaden ligger i ambition och dokumentationsnivå, inte om kravet gäller.
Art. 4 gäller oavsett risknivå. Minimal risk-system (spamfilter, rekommendationslogik) triggar också kravet eftersom personalen fortfarande interagerar med AI. Utbildningens djup anpassas, men grundkravet finns.