Ett strukturerat schema för tillhandahållare enligt förordning (EU) 2024/1689 artikel 26. Varje fält är knutet till ett specifikt stycke i artikel 26, underpunkt i Bilaga III eller GDPR-samordningsskyldighet, så att granskare kan se varför varje kolumn finns. Ett genomarbetat exempel för ett HR-tech CV-screeningsystem följer varje fält.
De 12 fälten
Bygg registret i ett kalkylblad, en wiki-sida eller din GRC-plattform — formatet spelar ingen roll för tillsynsmyndigheten. Det som spelar roll är att varje högrisk-AI-system som du tar i bruk finns representerat och att varje fält är spårbart till en skyldighet enligt artikel 26.
01 — Systemnamn + version
Varför: Identifierar AI-systemet unikt. Version krävs eftersom övervakningsskyldigheter enligt artikel 26(5) är knutna till den driftsatta versionen.
Exempel: TalentFit Screener v3.2.1
02 — Leverantör (juridisk enhet + CVR/VAT)
Varför: Artikel 26(1) kräver användning i enlighet med leverantörens instruktioner. Du behöver motparten för incidenteskalering.
Exempel: TalentFit ApS, CVR 12345678
03 — Leverantörens CE-märkning + DoC-referens
Varför: Artikel 26(1) förutsätter att leverantören har släppt ut ett kompatibelt högrisk-system på marknaden. Fånga referensen till EU-försäkran om överensstämmelse.
Exempel: DoC-ref TF-2026-014 daterad 2026-03-12
04 — Avsett syfte (ordagrant från leverantören)
Varför: Artikel 26(1) knyter dina skyldigheter till leverantörens angivna avsedda syfte. Användning utanför det avsedda syftet kan omklassificera dig som leverantör enligt artikel 25.
Exempel: Förhandsgranskning av jobbansökningar för IT-ingenjörsroller i Danmark
05 — Riskklassificering (hög / begränsad / minimal / förbjuden)
Varför: Styr hela efterlevnadsregimen. Bilaga III punkt 4 täcker HR-tech-rekrytering och arbetsplatsbeslut.
Exempel: Högrisk — Bilaga III(4)(a)
06 — Bilaga III-underpunkt (om högrisk)
Varför: Flera underpunkter kan vara tillämpliga (t.ex. 4(a) rekrytering + 4(b) prestationer). Varje utlöser hela artikel 26-stacken.
Exempel: Bilaga III(4)(a) rekrytering + Bilaga III(4)(b) kandidatrankning
07 — Indatakällor kontrollerade av dig
Varför: Skyldigheten avseende indatarelevans enligt artikel 26(4) gäller endast data som tillhandahållare kontrollerar. Dokumentera källorna för att avgränsa skyldigheten.
Exempel: Sökandes CV:n uppladdade via karriärportal; LinkedIn-importerade profiler
08 — Utdatatyp + nedströmsbeslut
Varför: Artikel 26(11) kräver att du informerar berörda personer när utdata bidrar till ett beslut som ger rättsliga eller på liknande sätt väsentliga effekter.
Exempel: 0-100 matchningspoäng; används för att korta ned de 30 bästa kandidaterna per roll
09 — Namngiven mänsklig tillsynsroll + kompetens
Varför: Artikel 26(2) kräver tilldelning till en namngiven fysisk person med kompetens, utbildning och befogenhet — inte en generisk teampostlåda.
Exempel: Chef för Talent Acquisition, genomförde AI-läskunnighetsmodul enligt artikel 4 april 2026
10 — Loggbevarandeplats + period
Varför: Artikel 26(6) kräver att automatiskt genererade loggar bevaras i minst 6 månader om inte annan unions- eller nationell rätt kräver längre bevarandetid.
Exempel: AWS S3 eu-north-1 bucket talentfit-logs, 24 månaders bevarandetid, oföränderlig
11 — DPIA-referens (GDPR artikel 35)
Varför: Profilering och automatiserat beslutsfattande om jobbsökande utlöser typiskt DPIA. Artikel 26(9) tillåter dig att återanvända leverantörens dokumentation, men DPIA-ansvaret är ditt.
Exempel: DPIA-2026-007, senast granskad 2026-05-15, ansvarig DPO@example.com
12 — Bevis på arbetstagaravisering (artikel 26(7))
Varför: Arbetsgivare måste informera arbetstagarrepresentanter och berörda arbetstagare innan ett högrisk-system tas i bruk på arbetsplatsen. GDPR-informationsskyldigheter löper parallellt.
Exempel: Protokoll från företagsrådets möte 2026-02-08; intranätmeddelande publicerat 2026-02-15
Driftsanmärkningar
- Behåll en rad per (system + version + avsett syfte)-kombination. En materiell ändring av något av dessa skapar en ny rad, inte en redigering.
- Korslänka till ditt GDPR artikel 30-register över behandlingsverksamhet — de två registren tjänar olika tillsynsmyndigheter (nationell AI-myndighet kontra dataskyddsmyndighet) men refererar till samma system.
- Granskningskadans: minst årligen, och omedelbart vid (a) leverantörens versionsuppgraderingar, (b) ny exponering för Bilaga III-underpunkt, (c) eventuell allvarlig incidentrapport som du lämnar in enligt artikel 73.
- Ansvarig: en enda ansvarig roll (Efterlevnadschef, DPO eller CIO). Redigerare kan vara många; en ansvarig undertecknare per rad.
Vad denna mall inte täcker
Inventeringen är grunden, inte hela efterlevnadsfilen. Du behöver fortfarande separat:
- Konsekvensbedömningen avseende grundläggande rättigheter (FRIA) enligt artikel 27 för de tillhandahållare som är skyldiga att utföra en — offentliga organ, privata operatörer av offentliga tjänster och vissa Bilaga III-tillhandahållare.
- AI-läskunnighetsregistret enligt artikel 4 (utbildningsdokumentation per person som hanterar systemet), gäller sedan 2 februari 2025.
- Transparensupplysningar enligt artikel 50 för chatbots, emotionsigenkänning, biometrisk kategorisering och AI-genererat innehåll (gäller från 2 augusti 2026).
- Din handbok för allvarlig incidentrapportering enligt artikel 26(5) och artikel 73.
Källor
- Förordning (EU) 2024/1689 (AI Act), artiklarna 4, 25, 26, 27, 50, 73 och Bilaga III — EUR-Lex: eur-lex.europa.eu/eli/reg/2024/1689/oj
- Förordning (EU) 2016/679 (GDPR), artiklarna 22, 30, 35 — EUR-Lex: eur-lex.europa.eu/eli/reg/2016/679/oj
- Europeiska kommissionens AI Act Service Desk Q&A om AI-läskunnighet och artikel 4 (aktuell 2026).
Anmärkning: PowerQuant levererar programvara och dokumentation för användning i din interna efterlevnadsprocess — inte juridisk rådgivning. Konkreta skyldigheter beror på varje systems klassificering, din roll (leverantör, tillhandahållare, båda) och tillämplig fas av EU AI Act.