PowerQuantSESkicka ert frågeformulär

Innan ett högrisk-AI-system i Bilaga III kan släppas ut på EU-marknaden måste leverantören genomföra ett förfarande för bedömning av överensstämmelse enligt artikel 43. Det finns två vägar: Bilaga VI (intern kontroll) och Bilaga VII (bedömning av kvalitetsledningssystem och teknisk dokumentation med ett anmält organ). Valet beror på vilken punkt i Bilaga III som är tillämplig och på om harmoniserade standarder har tillämpats.

De två förfarandena

  • Bilaga VI — intern kontroll. Leverantören verifierar att kvalitetsledningssystemet uppfyller kraven i artikel 17, granskar den tekniska dokumentationen för att bedöma AI-systemets överensstämmelse med de väsentliga kraven i avsnitt 2 (artiklarna 8 till 15), och verifierar att konstruktions- och utvecklingsprocessen samt systemet för övervakning efter utsläppande på marknaden stämmer överens med den tekniska dokumentationen. Inget anmält organ är inblandat.
  • Bilaga VII — bedömning med ett anmält organ. Ett anmält organ bedömer kvalitetsledningssystemet och den tekniska dokumentationen, kan begära ytterligare information eller tester, och utfärdar i förekommande fall ett EU-bedömningsintyg för teknisk dokumentation. Intyget gäller i högst fem år för system enligt Bilaga III och fyra år för system enligt Bilaga I, och kan förnyas efter ny bedömning.

Vilken väg som gäller enligt artikel 43

För högrisk-AI-system som avses i punkt 1 i Bilaga III (biometri) ger artikel 43(1) leverantören ett val: om harmoniserade standarder, eller i förekommande fall gemensamma specifikationer som avses i artikel 41, har tillämpats, får leverantören använda Bilaga VI; i annat fall krävs Bilaga VII med ett anmält organ.

För högrisk-AI-system som avses i punkterna 2 till 8 i Bilaga III (kritisk infrastruktur, utbildning, anställning, samhällsviktiga tjänster, brottsbekämpning, migration och gränskontroll, rättskipning och demokratiska processer) kräver artikel 43(2) förfarandet med intern kontroll enligt Bilaga VI. Inget anmält organ är inblandat om inte leverantören frivilligt söker ett sådant eller senare åläggs att göra så.

För högrisk-AI-system som omfattas av Bilaga I (sektorsspecifik produktlagstiftning som redan omfattas av ett anmält organs regelverk — t.ex. maskiner, medicintekniska produkter, medicintekniska produkter för in vitro-diagnostik) kräver artikel 43(3) att det relevanta sektorsspecifika förfarandet för bedömning av överensstämmelse följs, med AI-förordningens krav integrerade i den befintliga granskningen.

Bilaga VI — vad intern kontroll faktiskt innebär

  1. Verifiering av att det upprättade kvalitetsledningssystemet enligt artikel 17 täcker regelefterlevnad, konstruktionsstyrning, utvecklingsstyrning, testning, datahantering, övervakning efter utsläppande på marknaden, incidentrapportering och dokumentation.
  2. Granskning av den tekniska dokumentationen enligt artikel 11 mot de väsentliga kraven i avsnitt 2 (riskhantering artikel 9, datastyrning artikel 10, teknisk dokumentation artikel 11, journalföring artikel 12, transparens artikel 13, mänsklig tillsyn artikel 14, noggrannhet/robusthet/cybersäkerhet artikel 15).
  3. Verifiering av att konstruktions- och utvecklingsprocessen samt systemet för övervakning efter utsläppande på marknaden enligt artikel 72 stämmer överens med den tekniska dokumentationen.
  4. Leverantören undertecknar EU-försäkran om överensstämmelse enligt artikel 47 och anbringas CE-märkning enligt artikel 48. Registrering i EU-databasen enligt artikel 71 innan systemet släpps ut på marknaden eller tas i bruk.

Väsentliga ändringar utlöser en ny bedömning

Artikel 43(4) föreskriver att för högrisk-AI-system som redan har genomgått ett förfarande för bedömning av överensstämmelse ska ett nytt förfarande genomföras vid en väsentlig ändring, oavsett om det ändrade systemet är avsett att distribueras vidare eller om det fortsätter att användas av den nuvarande tillhandahållare.

För högrisk-AI-system som fortsätter att lära sig efter att de har släppts ut på marknaden eller tagits i bruk klargör artikel 43(4) att ändringar av högrisk-AI-systemet och dess prestanda som leverantören har förutbestämt vid den ursprungliga bedömningen av överensstämmelse och som ingår i informationen i den tekniska dokumentationen som avses i punkt 2(f) i Bilaga IV inte anses utgöra väsentliga ändringar.

Vad detta innebär för tillhandahållare (artikel 25)

Artikel 25(1) omklassificerar en tillhandahållare till leverantör — med alla skyldigheter avseende bedömning av överensstämmelse och dokumentation enligt Bilaga IV — i tre situationer: (a) att de sätter sitt namn eller varumärke på ett högrisk-system som redan släppts ut på marknaden; (b) att de gör en väsentlig ändring av ett högrisk-system på ett sådant sätt att det fortsätter att utgöra ett högrisk-system; eller (c) att de ändrar det avsedda syftet med ett AI-system, inklusive ett allmänt AI-system, på ett sådant sätt att det resulterande systemet blir högrisk enligt artikel 6.

I praktiken: en HR-tech-tillhandahållare som ommärker en leverantörs screeningmodell, finjusterar den på egna data på sätt som förändrar beteendet, eller omvandlar ett allmänt AI-system till ett rekryteringssystem enligt Bilaga III punkt 4(a), behandlas som leverantör och måste genomföra bedömningen enligt Bilaga VI på egen hand.

Checklista inför inköp för tillhandahållare

  • Leverantören bekräftar vilken punkt i Bilaga III som gäller och vilken väg enligt artikel 43 som har använts.
  • Kopia av EU-försäkran om överensstämmelse (artikel 47) och CE-märkningsförklaring (artikel 48).
  • Registrering i EU-databasen enligt artikel 71 med det offentliga registreringsnumret.
  • Index för teknisk dokumentation enligt Bilaga IV som är tillräckligt för tillhandahållarens skyldigheter enligt artikel 26 och artikel 27 FRIA.
  • Leverantörens åtagande att genomföra en ny bedömning av överensstämmelse vid väsentlig ändring (artikel 43(4)).
  • Intern bekräftelse på att inga utlösande faktorer enligt artikel 25 föreligger (ingen ommärkning, ingen finjustering, ingen ändring av syfte).

Vanliga missuppfattningar

  • "Ett anmält organ är alltid inblandat." För Bilaga III punkterna 2 till 8, inklusive HR/anställningsrelaterade användningsfall, är standarden intern kontroll enligt Bilaga VI utan anmält organ.
  • "Finjustering är inte väsentlig." Huruvida en finjustering är väsentlig bedöms mot den tekniska dokumentationen. Om ändringen inte förhandsdeklarerades i Bilaga IV punkt 2(f) är den presumtivt väsentlig enligt artikel 43(4).
  • "CE-märkning är tillhandahållarens ansvar." CE-märket tillhör leverantören. Tillhandahållare verifierar det; de anbringer det inte — om inte artikel 25 har omklassificerat dem till leverantör.

Relaterade EU-guider

Källor

  • Förordning (EU) 2024/1689, artiklarna 6, 17, 25, 43, 47, 48, 71, 72; Bilaga VI; Bilaga VII — EUR-Lex: eur-lex.europa.eu/eli/reg/2024/1689/oj
  • Europeiska kommissionen — AI Act Service Desk, artikel 43: ai-act-service-desk.ec.europa.eu/en/ai-act/article-43

Anmärkning: Vägval för bedömning av överensstämmelse beror på den specifika punkten i Bilaga III, tillämpningen av harmoniserade standarder eller gemensamma specifikationer samt på om någon omklassificeringsutlösare enligt artikel 25 är tillämplig. PowerQuant levererar programvara och dokumentation för användning i din interna efterlevnadsprocess — inte juridisk rådgivning.