PowerQuantSESkicka ert frågeformulär

EU AI Act namnger inte "AI-inventering" som ett fristående leveransobjekt, men du kan inte uppfylla kraven på AI-läskunnighet enligt artikel 4, klassificering enligt artikel 6, tillhandahållarskyldigheter enligt artikel 26 eller transparens enligt artikel 50 utan ett fullständigt register över varje AI-system du tar i bruk. Denna guide listar de fält ett försvarbart register innehåller och hur det kopplar till GDPR, NIS2 och artikel 27 FRIA.

Varför du behöver det

  • Artikel 4 (gäller sedan 2 februari 2025): tillhandahållare måste säkerställa en tillräcklig nivå av AI-läskunnighet bland personal som hanterar AI-system. Utan att veta vilka system som används kan du inte avgränsa utbildningen.
  • Artikel 6 + Bilaga III (högrisk-regim från 2 augusti 2026): du måste fastställa om varje system är högrisk för att veta vilka skyldigheter som gäller.
  • Artikel 26 (tillhandahållarskyldigheter): tilldelning av mänsklig tillsyn, loggbevarande, övervakning och aviseringsskyldigheter mot arbetstagare förutsätter att du kan lista de system som omfattas.
  • GDPR artikel 30: register över behandlingsverksamhet måste återspegla AI-baserad behandling. En AI-inventering matar RoPA.

Obligatoriska fält

  1. Systemnamn, leverantör och version (eller intern modellidentifierare).
  2. Avsett syfte (beskrivet i affärstermer, inte marknadsföring).
  3. Din organisations roll: leverantör, tillhandahållare, importör, distributör — och om systemet är en AI-modell för allmänt ändamål (GPAI).
  4. Riskklassificering enligt artikel 5 (förbjuden), artikel 6(1) (säkerhetskomponent eller Bilaga I-produkt), artikel 6(2) (Bilaga III högrisk), artikel 50 (begränsad risk/transparens) eller minimal risk.
  5. Bilaga III-punkt och underpunkt om högrisk (t.ex. punkt 4(a) för rekryterings-AI).
  6. Bedömning av undantag enligt artikel 6(3), om det åberopas (och skälen).
  7. Datakategorier för indata och -källor; utdata och nedströms konsumenter.
  8. Personuppgiftsflaggor (GDPR, känsliga kategorier, automatiserade beslut enligt artikel 22).
  9. Gränsöverskridande överföringar (Schrems II/TIA där relevant).
  10. Tilldelning av mänsklig tillsyn: roll, eskaleringsväg, utbildningsreferens.
  11. Loggbevarandekonfiguration och minimiperiod (artikel 26(6): minst 6 månader).
  12. FRIA-referens (artikel 27) och DPIA-referens (GDPR artikel 35) om tillämpligt.
  13. Incidentrapporteringsväg (artikel 73 allvarlig incident; NIS2 artikel 23 om också i tillämpningsområdet).
  14. Datum för idrifttagning, datum för senaste genomgång och ansvarig för genomgång.

Livscykelutlösare

Uppdatera inventeringsposten när något av följande inträffar:

  • Leverantören släpper en väsentlig ändring av modellen eller det avsedda syftet.
  • Du ändrar det avsedda syftet, användargruppen eller det beslut som systemet påverkar.
  • En ny Bilaga III-underpunkt gäller (typiskt efter en arbetsflödesändring).
  • Systemet integreras med en ny datakälla eller ett nedströmssystem.
  • En allvarlig incident eller ett nästintill-tillbud inträffar.

Vanliga avgränsningsmisstag

  • Utesluta inbyggd AI i vardagliga SaaS-tjänster (t.ex. AI-funktioner i Microsoft 365, Google Workspace, ATS eller HRIS). Inbyggd användning som materiellt påverkar ett beslut ingår i tillämpningsområdet.
  • Listning av enbart modeller, inte system. AI-förordningen reglerar AI-system och deras användning; en modell blir ett system när den ges ett avsett syfte och driftsätts.
  • Behandling av "shadow AI" (anställdaprocurerade verktyg, gratis chatbots) som utanför tillämpningsområdet. De ingår i tillämpningsområdet från det ögonblick de hanterar arbetsdata eller påverkar arbetsbeslut.
  • Behandling av begränsade-risk-transparensskyldigheter (artikel 50) som "inte högrisk, alltså inte vårt problem". Från 2 augusti 2026 medför chatbots, system för emotionsigenkänning och AI-genererat innehåll tillhandahållarskyldigheter även när systemet inte är högrisk.

Var du bör bevara inventeringen

En signerad CSV i ett versionsstyrt arkiv räcker för att börja. Granskningsspåret enligt artikel 26 bryr sig om fullständighet, noggrannhet och datering — inte om verktyget. Koppla varje post till ditt DPIA-arkiv och till det leverantörsregister som används för NIS2-hantering av leveranskedjerisker.

Relaterade EU-guider

Källor

  • Förordning (EU) 2024/1689, artiklarna 3, 4, 5, 6, 26, 27, 50, 73 och Bilaga III — EUR-Lex: eur-lex.europa.eu/eli/reg/2024/1689/oj
  • Förordning (EU) 2016/679 (GDPR), artiklarna 22, 30, 35 — EUR-Lex: eur-lex.europa.eu/eli/reg/2016/679/oj

Anmärkning: Konkreta skyldigheter beror på varje systems klassificering och tillämplig fas av EU AI Act. PowerQuant levererar programvara och dokumentation för användning i din interna efterlevnadsprocess — inte juridisk rådgivning.