AI Act, den nya AI-lagen som många företag fortfarande underskattar
EU AI Act har smugit in i tystnad – till skillnad från GDPR-hypen. Men lagen påverkar långt fler företag än man tror: alla som använder AI behöver förstå risker, ansvar och nya krav– kraven börjar
Det har varit förvånansvärt tyst om EU AI Act.
När GDPR och lönetransparensdirektivet närmade sig exploderade LinkedIn av webinarier, checklistor och experter som förklarade vad företag behövde göra. AI Act har däremot smugit sig in betydligt tystare.
Det är lite märkligt. För AI Act är sannolikt den mest omfattande regleringen av AI som företag kommer att behöva förhålla sig till under många år framöver. Och den gäller långt fler än de bolag som faktiskt utvecklar AI.
Om ditt företag använder AI (vilket de flesta redan gör) är det här något du behöver förstå.
Varför behövdes AI Act?
Under 2010-talet gick utvecklingen inom AI och maskininlärning i en rasande fart. EU såg enorma möjligheter att stärka innovation och konkurrenskraft, men också växande risker. AI kunde effektivisera verksamheter, men också förstärka diskriminering, fatta beslut som ingen kunde förklara eller användas för övervakning och manipulation.
EU började därför med att ta fram etiska riktlinjer för AI. Tekniken skulle vara laglig, robust och användas på ett sätt där människan behåller kontrollen över viktiga beslut.
Problemet var att frivilliga principer inte räckte. Därför började arbetet med AI Act, ett riskbaserat regelverk där kraven beror på hur AI används.
Sedan kom ChatGPT. När generativ AI slog igenom i slutet av 2022 förändrades spelplanen över en natt. AI blev plötsligt tillgängligt för alla, från stora koncerner till småföretag och enskilda medarbetare. EU kompletterade därför AI Act med särskilda regler för så kallade AI-modeller för allmänna ändamål, med krav på bland annat transparens, dokumentation, upphovsrätt och riskhantering.
Den slutliga AI Act antogs 2024 och blev världens första heltäckande lagstiftning för artificiell intelligens.
Vad innebär AI Act?
En viktig sak som många missar är att AI Act är en EU-förordning, inte ett direktiv.
Det innebär att reglerna gäller direkt i samtliga medlemsländer utan att först behöva införas i nationell lagstiftning. Syftet är att företag ska möta samma spelregler oavsett om de verkar i Sverige, Tyskland eller Spanien.
Det mest intressanta med AI Act är egentligen inte de enskilda reglerna, utan synsättet. Tidigare har lagstiftning ofta reglerat teknik utifrån vad den är. AI Act reglerar i stället hur AI används och vilka risker användningen innebär.
Samma AI-modell kan därför omfattas av helt olika krav beroende på om den används för att skriva marknadsföring, hjälpa en läkare att ställa diagnos eller sortera kandidater i en rekryteringsprocess.
Det gör AI Act mer till ett ramverk för ansvar och risk än en traditionell tekniklag.
Fyra risknivåer
AI Act delar in AI i fyra nivåer:
- Oacceptabel risk – vissa användningsområden förbjuds helt, exempelvis vissa former av manipulativ AI och biometrisk massövervakning.
- Hög risk – AI inom bland annat rekrytering, utbildning, kreditbedömning och sjukvård omfattas av omfattande krav på dokumentation, riskhantering och mänsklig kontroll.
- Begränsad risk – AI som interagerar med människor, exempelvis chattbotar, omfattas främst av transparenskrav.
- Minimal risk – de flesta vardagliga AI-verktyg påverkas i liten utsträckning.
Vad betyder det för företag?
En vanlig missuppfattning är att AI Act bara berör företag som bygger AI. Det stämmer inte.
Även företag som använder AI omfattas av regelverket, ex ChatGPT, Microsoft Copilot eller AI-funktioner som redan finns inbyggda i HR-, CRM- eller affärssystem.
För de flesta organisationer handlar det nu om att:
- få en överblick över vilka AI-system som faktiskt används,
- identifiera om någon användning omfattas av högriskreglerna,
- säkerställa att medarbetarna har tillräcklig AI-kompetens,
- införa rutiner för dokumentation, riskbedömning och styrning,
- och använda AI på ett transparent och ansvarsfullt sätt.
För företag som utvecklar eller säljer AI-lösningar är kraven betydligt mer omfattande.
Min reflektion
Det jag tror många underskattar är att AI Act inte i första hand är en fråga för IT eller juridik.
Det är en verksamhetsfråga.
För HR blir det extra tydligt eftersom AI används i rekrytering, urval, kompetensutveckling och prestationsbedömning. Dessa områden klassificeras enligt AI Act som högrisk eftersom besluten kan påverka människors möjlighet att få ett jobb eller utvecklas i sin karriär.
Som grundare och VD för Headcount HR möter jag många organisationer som redan använder AI varje dag, men utan att ha full överblick. Ofta används olika AI-verktyg av enskilda medarbetare utan gemensamma riktlinjer. Jag har till exempel sett hur hela exportfiler med personaldata laddas upp i publika AI-tjänster för att få hjälp med analyser, något som kan innebära både integritetsrisker och bristande kontroll över företagets information.
Det är just därför jag tror att AI Act kommer att få en liknande resa som GDPR. I början uppfattas den som komplex och administrativ. Men om några år kommer den sannolikt att vara en självklar del av hur företag arbetar med styrning, riskhantering och ansvarsfull användning av AI.
För HR innebär det också en möjlighet. Funktionen kan ta en ledande roll i att säkerställa att AI används på ett sätt som är transparent, rättvist och förenligt med både lagstiftning och företagets värderingar. Organisationer som bygger den förmågan redan nu kommer inte bara att vara bättre rustade inför AI Act, de kommer också att skapa större förtroende hos både medarbetare och kandidater.

.avif)
%20(1).avif)
.webp)
