Artikel | 26 september 2025

Nya krav vid användning av AI-verktyg – hur kan ni som arbetsgivare göra regelverket till en konkurrensfördel?

Responsive image

Många känner säkert till att EU:s AI-förordning[1] har trätt i kraft. Kraven tillämpas i etapper där vissa krav redan har börjat gälla, medan andra träder i kraft under de kommande två åren. I den här artikeln går vi igenom några av de frågor som ni som arbetsgivare bör beakta när ni använder AI-verktyg i er verksamhet och avslutar med en checklista för AI-compliance. Med rätt AI-användning och strategi finns möjlighet att se AI-förordningen som en kvalitetsstämpel och konkurrensfördel i stället för en compliance-börda.

Kort om AI-förordningen

Förordningen syftar bl.a. till att skapa harmoniserade regler för utveckling och användning av AI inom EU. Förordningen klassificerar AI-system utifrån dess risknivå: oacceptabel, hög, begränsad och minimal risk där de olika risknivåerna resulterar i olika krav. Generellt gäller att ju högre risk ett system medför, desto högre krav ställs på tillverkare och användare av systemet. Vidare tillämpas olika krav på olika aktörer, exempelvis omfattas tillverkare av AI-system av andra regler än användare.

I det följande utgår vi från att arbetsgivaren är att betrakta som användare av ett AI-system. Om ni vill veta vad som gäller för utvecklare, så rekommenderar vi att läsa den här artikeln. En arbetsgivare kan exempelvis anses vara utvecklare genom att vara med och utarbeta funktioner och liknande i utvecklingsstadiet av ett verktyg.

Särskilt att beakta i arbetslivet

För arbetsgivare är det viktigt att vara medveten om att många HR-relaterade AI-system eller applikationer är att betrakta som AI-system med hög risk. Exempel på det föregående är verktyg för:

  • Rekrytering (t.ex. publicering av riktade platsannonser, analys och filtrering av ansökningar och utvärdering av kandidater).
  • Performance management (t.ex. om systemet är avsett för att fatta beslut om befordringar eller utvärdera arbetstagares prestationer).
  • Uppgiftsfördelning baserat på beteende, personlighetsdrag eller egenskaper.

Gemensam nämnare för verktygen ovan, och anledningen till att de betraktas som högrisk-system, är att de har möjlighet att märkbart påverka framtida karriärutsikter och försörjning för arbetstagarna.

Av den anledningen är en arbetsgivare skyldig att informera arbetstagarrepresentanterna och de berörda arbetstagarna om att de kommer att vara föremål för användning av ett AI-system med hög risk. Sådan information ska ges innan systemet tas i bruk eller används på arbetsplatsen.

Det bör också framhållas att förordningen inte hindrar att medlemsstaterna behåller eller inför lagar som är förmånligare för arbetstagare när det gäller att skydda deras rättigheter i fråga om arbetsgivares användning av AI-system, eller att uppmuntra eller tillåta tillämpning av kollektivavtal som är förmånligare för arbetstagare. Det är således inte tillräckligt att enbart se över kraven i AI-förordningen utan arbetsgivare behöver även hålla sig informerade om eventuella tillkommande regler.

Vilka krav gäller vid användning av AI-system med hög risk?

Som framgått av ovan riskerar många system att falla inom kategorin med hög risk vilket innebär omfattande krav på både processer och dokumentation. Dessa krav innefattar bl.a. att arbetsgivaren, utöver informationskravet som berördes ovan, ska:

  • Vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att de AI-system som används, används enligt tillverkarens instruktioner/bruksanvisningar.
  • Utse personer med rätt kompetens för att övervaka och kontrollera AI-systemet.
  • Kontrollera att den data som matas in i AI-systemet är relevant och tillräckligt representativt med tanke på det avsedda ändamålet med AI-systemet (i den mån arbetsgivaren har kontroll över detta).
  • Övervaka AI-systemets drift och rapportera allvarliga incidenter eller risker till leverantör, distributör och myndigheter.
  • Spara automatiskt genererade loggar från AI-systemet i minst sex månader (i den mån arbetsgivaren har kontroll över dessa loggar och om inte annat föreskrivs i annan lag).
  • Genomföra konsekvensbedömning av dataskydd vid behov (gäller om personuppgifter kan komma att behandlas i samband med användning av systemet).
  • Samarbeta med relevanta myndigheter vid utredningar och tillsyn.

Checklista för AI-compliance

För att säkerställa efterlevnad av AI-förordningen rekommenderar vi att ni vidtar följande åtgärder:

  • Steg 1: Inventera och klassificera era AI-verktyg (hög risk, minimal risk, etc.) och kartlägg respektive användningsområde och ändamål samt de risker som är förknippade med respektive system.
  • Steg 2: Avgör vilken roll ni har i relation till respektive verktyg (dvs. om ni är användare eller kan betraktas som leverantör) då detta påverkar vilka krav som tillämpas.
  • Steg 3: Genomför en GAP-analys mot förordningens krav där ni jämför era nuvarande rutiner, processer och system mot förordningens krav. Notera var ni inte uppfyller kraven, t.ex. avseende information till arbetstagare, datakvalitet eller mänsklig kontroll av systemet. Fokusera initialt på de system och verktyg som ni har klassificerat som hög risk.
  • Steg 4: Minimera de risker och åtgärda de brister som ni identifierat i tidigare steg, t.ex. genom att upprätta och implementera nödvändiga styrdokument, processer och rutiner. Exempel på det föregående är en AI-strategi där det framgår hur ni vill arbeta med AI och hur ni säkerställer att den används på ett etiskt och korrekt sätt. Ni bör även ta fram interna instruktioner om hur AI får användas på arbetsplatsen, rutiner för mänsklig tillsyn av era AI-system, incidentrapporteringsrutiner och rutiner för bevarande av loggar.
  • Steg 5: Utbilda verksamheten och säkerställ att er personal har tillräcklig utbildning och förståelse för AI-regelverket, tekniken och dess risker. Observera att kravet på AI-kunnighet redan har trätt i kraft och att det är viktigt att anpassa utbildningen till de olika delarna av verksamheten så att den blir relevant.
  • Steg 6: Säkerställ transparens och information genom att informera er personal om AI-användning och deras rättigheter.

Genom att arbeta proaktivt med AI-compliance enligt checklistan ovan, så kan ni stärka både verksamhetens konkurrenskraft och arbetsgivarvarumärke. Att ha en strukturerad och välarbetad AI-strategi ses som en kvalitetsstämpel och ger er inte bara en lägre riskexponering; det kan också hjälpa er att bygga starkare förtroende hos nuvarande och framtida medarbetare, förbättra datakvaliteten i de verktyg ni använder och därmed beslutsunderlagets träffsäkerhet samt skapa en differentierad position gentemot kunder och investerare som alltmer efterfrågar ansvarsfull AI.

Vi rekommenderar därför att ni påbörjar ert arbete redan nu. Vi på Setterwalls bistår er gärna med att sätta upp en struktur för ert AI-arbete eller ser över befintlig struktur. Vi kan även vara behjälpliga i riskbedömningar och klassificeringsbedömningar samt i framtagandet eller granskningen av styrdokument, rutiner och annan information. Om ni vill veta mer om AI-förordningen eller vill att vi håller en dragning för er och er personal om reglerna, så är ni självklart varmt välkomna att höra av er till oss.

[1] Europaparlamentets och rådets förordning (EU) 2024/1689 av den 13 juni 2024 om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (förordning om artificiell intelligens).

Kontakt:

Elin Holm

Verksamhetsområde:

IT-rätt och dataskydd

  • Detta fält används för valideringsändamål och ska lämnas oförändrat.

Vill du komma i kontakt med oss?

Fyll i formuläret samt vilket kontor du vill bli kontaktad av, så hör vi av oss inom kort.

Relaterade nyheter

HD:s beslut om utlämnande av allmänna handlingar – vad innebär de för arbetsgivares bakgrundskontroller?

Artikel | 26 september 2025

HD:s beslut om utlämnande av allmänna handlingar – vad innebär de för arbetsgivares bakgrundskontroller?

Läs mer
Seminarium om nya cybersäkerhetslagen och NIS2-direktivet

Event | Göteborg | 23 september 2025

Seminarium om nya cybersäkerhetslagen och NIS2-direktivet

Läs mer
Omfattas vi av AI-förordningen? Er guide för att identifiera ett AI-system

Artikel | 3 juli 2025

Omfattas vi av AI-förordningen? Er guide för att identifiera ett AI-system

Läs mer
Ladda fler