EU AI Act namnger inte "AI-inventering" som ett fristående leveransobjekt, men du kan inte uppfylla kraven på AI-läskunnighet enligt artikel 4, klassificering enligt artikel 6, tillhandahållarskyldigheter enligt artikel 26 eller transparens enligt artikel 50 utan ett fullständigt register över varje AI-system du tar i bruk. Denna guide listar de fält ett försvarbart register innehåller och hur det kopplar till GDPR, NIS2 och artikel 27 FRIA.
Varför du behöver det
- Artikel 4 (gäller sedan 2 februari 2025): tillhandahållare måste säkerställa en tillräcklig nivå av AI-läskunnighet bland personal som hanterar AI-system. Utan att veta vilka system som används kan du inte avgränsa utbildningen.
- Artikel 6 + Bilaga III (högrisk-regim från 2 augusti 2026): du måste fastställa om varje system är högrisk för att veta vilka skyldigheter som gäller.
- Artikel 26 (tillhandahållarskyldigheter): tilldelning av mänsklig tillsyn, loggbevarande, övervakning och aviseringsskyldigheter mot arbetstagare förutsätter att du kan lista de system som omfattas.
- GDPR artikel 30: register över behandlingsverksamhet måste återspegla AI-baserad behandling. En AI-inventering matar RoPA.
Obligatoriska fält
- Systemnamn, leverantör och version (eller intern modellidentifierare).
- Avsett syfte (beskrivet i affärstermer, inte marknadsföring).
- Din organisations roll: leverantör, tillhandahållare, importör, distributör — och om systemet är en AI-modell för allmänt ändamål (GPAI).
- Riskklassificering enligt artikel 5 (förbjuden), artikel 6(1) (säkerhetskomponent eller Bilaga I-produkt), artikel 6(2) (Bilaga III högrisk), artikel 50 (begränsad risk/transparens) eller minimal risk.
- Bilaga III-punkt och underpunkt om högrisk (t.ex. punkt 4(a) för rekryterings-AI).
- Bedömning av undantag enligt artikel 6(3), om det åberopas (och skälen).
- Datakategorier för indata och -källor; utdata och nedströms konsumenter.
- Personuppgiftsflaggor (GDPR, känsliga kategorier, automatiserade beslut enligt artikel 22).
- Gränsöverskridande överföringar (Schrems II/TIA där relevant).
- Tilldelning av mänsklig tillsyn: roll, eskaleringsväg, utbildningsreferens.
- Loggbevarandekonfiguration och minimiperiod (artikel 26(6): minst 6 månader).
- FRIA-referens (artikel 27) och DPIA-referens (GDPR artikel 35) om tillämpligt.
- Incidentrapporteringsväg (artikel 73 allvarlig incident; NIS2 artikel 23 om också i tillämpningsområdet).
- Datum för idrifttagning, datum för senaste genomgång och ansvarig för genomgång.
Livscykelutlösare
Uppdatera inventeringsposten när något av följande inträffar:
- Leverantören släpper en väsentlig ändring av modellen eller det avsedda syftet.
- Du ändrar det avsedda syftet, användargruppen eller det beslut som systemet påverkar.
- En ny Bilaga III-underpunkt gäller (typiskt efter en arbetsflödesändring).
- Systemet integreras med en ny datakälla eller ett nedströmssystem.
- En allvarlig incident eller ett nästintill-tillbud inträffar.
Vanliga avgränsningsmisstag
- Utesluta inbyggd AI i vardagliga SaaS-tjänster (t.ex. AI-funktioner i Microsoft 365, Google Workspace, ATS eller HRIS). Inbyggd användning som materiellt påverkar ett beslut ingår i tillämpningsområdet.
- Listning av enbart modeller, inte system. AI-förordningen reglerar AI-system och deras användning; en modell blir ett system när den ges ett avsett syfte och driftsätts.
- Behandling av "shadow AI" (anställdaprocurerade verktyg, gratis chatbots) som utanför tillämpningsområdet. De ingår i tillämpningsområdet från det ögonblick de hanterar arbetsdata eller påverkar arbetsbeslut.
- Behandling av begränsade-risk-transparensskyldigheter (artikel 50) som "inte högrisk, alltså inte vårt problem". Från 2 augusti 2026 medför chatbots, system för emotionsigenkänning och AI-genererat innehåll tillhandahållarskyldigheter även när systemet inte är högrisk.
Var du bör bevara inventeringen
En signerad CSV i ett versionsstyrt arkiv räcker för att börja. Granskningsspåret enligt artikel 26 bryr sig om fullständighet, noggrannhet och datering — inte om verktyget. Koppla varje post till ditt DPIA-arkiv och till det leverantörsregister som används för NIS2-hantering av leveranskedjerisker.
Relaterade EU-guider
- EU AI Act för rekryterings-AI
- Tillhandahållare mot leverantör
- Artikel 50-transparens från 2 augusti 2026
- NIS2 och HR-system
Källor
- Förordning (EU) 2024/1689, artiklarna 3, 4, 5, 6, 26, 27, 50, 73 och Bilaga III — EUR-Lex: eur-lex.europa.eu/eli/reg/2024/1689/oj
- Förordning (EU) 2016/679 (GDPR), artiklarna 22, 30, 35 — EUR-Lex: eur-lex.europa.eu/eli/reg/2016/679/oj
Anmärkning: Konkreta skyldigheter beror på varje systems klassificering och tillämplig fas av EU AI Act. PowerQuant levererar programvara och dokumentation för användning i din interna efterlevnadsprocess — inte juridisk rådgivning.