PowerQuantSESkicka ert frågeformulär

När en myndighet, kommun eller region upphandlar och driftsätter ett AI-system blir organisationen sällan bara en köpare. I AI-förordningens (EU AI Act) mening blir ni oftast en tillhandahållare (deployer, även kallad driftsättare) — den som använder systemet under eget ansvar. Det är en roll med konkreta skyldigheter, och grunden för att kunna uppfylla dem läggs redan i inköpsprocessen. Den här guiden visar hur du som upphandlare ställer rätt krav och undviker att bygga in regelbrott i kontraktet.

Myndigheten som tillhandahållare

Den som utvecklar eller sätter ett AI-system på marknaden under eget namn är en leverantör (provider). Den som använder systemet i sin verksamhet är en tillhandahållare. Vid upphandling blir er myndighet normalt tillhandahållare av det system ni köper in.

Detta är särskilt viktigt eftersom ni är ett offentligrättsligt organ. För högrisk-AI enligt Bilaga III ställer förordningen krav som är specifika för det offentliga — framför allt den grundläggande konsekvensbedömningen i artikel 27 (FRIA), som måste göras innan ibruktagande.

Ställ AI Act-krav i upphandlingen

En tillhandahållare kan inte uppfylla sina skyldigheter utan underlag från leverantören. Begär därför i upphandlingsunderlaget:

  • Leverantörens (providerns) tekniska dokumentation.
  • Bruksanvisning som beskriver systemets syfte, begränsningar och krav på mänsklig tillsyn.
  • Bevis på CE-märkning och EU-försäkran om överensstämmelse för högrisk-AI.
  • Uppgifter om loggningsfunktioner så att ni kan spara loggar enligt artikel 26.

Utan detta underlag riskerar ni att ta över ett system som ni inte kan driftsätta lagligt.

Grundläggande konsekvensbedömning (artikel 27 FRIA)

Offentligrättsliga organ måste enligt artikel 27 göra en grundläggande konsekvensbedömning av inverkan på grundläggande rättigheter (FRIA) innan ett högrisk-AI-system enligt Bilaga III tas i bruk. Bedömningen ska bland annat beskriva processerna där systemet används, berörda personer, risker för skada samt åtgärder för mänsklig tillsyn. Planera för FRIA redan i tidsplanen — den är en förutsättning för ibruktagande, inte en efterhandsdokumentation.

Tillhandahållarens skyldigheter (artikel 26)

Som tillhandahållare av högrisk-AI ansvarar ni enligt artikel 26 bland annat för att:

  • Använda systemet enligt leverantörens bruksanvisning.
  • Säkerställa mänsklig tillsyn av kompetenta personer.
  • Övervaka driften och rapportera allvarliga incidenter.
  • Spara automatiskt genererade loggar.
  • Vid behov informera berörda personer om att de omfattas av systemet.

Rollfördelningen mellan leverantör och tillhandahållare klargörs i artikel 25, som också reglerar när en tillhandahållare kan bli betraktad som leverantör. Ställ krav i kontraktet på roll-klarhet (artikel 25), loggning, mänsklig tillsyn och incidentrapportering. Väsentliga tjänster, brottsbekämpning, migration och utbildning är områden i Bilaga III som är särskilt relevanta för det offentliga.

Tidslinje

  • 2 februari 2025: Artikel 4 (AI-kompetens) och artikel 5 (förbjudna metoder) i kraft.
  • 2 augusti 2026: Artikel 50 (transparens) och tillhandahållarskyldigheter kopplade till Bilaga III börjar gälla.
  • Förslag — 2 december 2027: Digital Omnibus föreslår att Bilaga III-skyldigheterna skjuts upp. Europaparlamentet godkände förslaget 16 juni 2026, men rådet inväntar publicering i EUT. Förslaget är ännu ej i kraft och bör hanteras som just ett förslag.

Sanktioner

Överträdelser kan bli mycket kostsamma (artikel 99):

  • Förbjudna metoder (artikel 5): upp till 35 miljoner EUR eller 7 % av global årsomsättning.
  • Överträdelser av transparens (artikel 50) och högriskkrav: upp till 15 miljoner EUR eller 3 %.
  • Oriktig information till myndigheter: upp till 7,5 miljoner EUR eller 1 %.

Inför upphandling

  • Fastställ er roll: bli medvetna om att ni troligen blir tillhandahållare.
  • Klassificera systemet: omfattas det av Bilaga III?
  • Skriv in dokumentationskrav (teknisk dokumentation, bruksanvisning, CE) i underlaget.
  • Planera artikel 27 FRIA innan ibruktagande.
  • Reglera roll-klarhet (artikel 25), loggning, tillsyn och incidentrapportering i kontraktet.
  • Samordna med NIS2-krav på cybersäkerhet för väsentliga och viktiga entiteter.

PowerQuant levereras som dokumentationsstöd: Modul 1 (AI-inventering + Artikel 4-register) och Modul 2 (Leverantörsdokumentationspaket). SEK-priser är preliminära.

Detta är allmän information om AI-förordningen och utgör inte juridisk rådgivning.