PowerQuantSESkicka ert frågeformulär

Ett strukturerat schema för tillhandahållare enligt förordning (EU) 2024/1689 artikel 26. Varje fält är knutet till ett specifikt stycke i artikel 26, underpunkt i Bilaga III eller GDPR-samordningsskyldighet, så att granskare kan se varför varje kolumn finns. Ett genomarbetat exempel för ett HR-tech CV-screeningsystem följer varje fält.

De 12 fälten

Bygg registret i ett kalkylblad, en wiki-sida eller din GRC-plattform — formatet spelar ingen roll för tillsynsmyndigheten. Det som spelar roll är att varje högrisk-AI-system som du tar i bruk finns representerat och att varje fält är spårbart till en skyldighet enligt artikel 26.

01 — Systemnamn + version

Varför: Identifierar AI-systemet unikt. Version krävs eftersom övervakningsskyldigheter enligt artikel 26(5) är knutna till den driftsatta versionen.

Exempel: TalentFit Screener v3.2.1


02 — Leverantör (juridisk enhet + CVR/VAT)

Varför: Artikel 26(1) kräver användning i enlighet med leverantörens instruktioner. Du behöver motparten för incidenteskalering.

Exempel: TalentFit ApS, CVR 12345678


03 — Leverantörens CE-märkning + DoC-referens

Varför: Artikel 26(1) förutsätter att leverantören har släppt ut ett kompatibelt högrisk-system på marknaden. Fånga referensen till EU-försäkran om överensstämmelse.

Exempel: DoC-ref TF-2026-014 daterad 2026-03-12


04 — Avsett syfte (ordagrant från leverantören)

Varför: Artikel 26(1) knyter dina skyldigheter till leverantörens angivna avsedda syfte. Användning utanför det avsedda syftet kan omklassificera dig som leverantör enligt artikel 25.

Exempel: Förhandsgranskning av jobbansökningar för IT-ingenjörsroller i Danmark


05 — Riskklassificering (hög / begränsad / minimal / förbjuden)

Varför: Styr hela efterlevnadsregimen. Bilaga III punkt 4 täcker HR-tech-rekrytering och arbetsplatsbeslut.

Exempel: Högrisk — Bilaga III(4)(a)


06 — Bilaga III-underpunkt (om högrisk)

Varför: Flera underpunkter kan vara tillämpliga (t.ex. 4(a) rekrytering + 4(b) prestationer). Varje utlöser hela artikel 26-stacken.

Exempel: Bilaga III(4)(a) rekrytering + Bilaga III(4)(b) kandidatrankning


07 — Indatakällor kontrollerade av dig

Varför: Skyldigheten avseende indatarelevans enligt artikel 26(4) gäller endast data som tillhandahållare kontrollerar. Dokumentera källorna för att avgränsa skyldigheten.

Exempel: Sökandes CV:n uppladdade via karriärportal; LinkedIn-importerade profiler


08 — Utdatatyp + nedströmsbeslut

Varför: Artikel 26(11) kräver att du informerar berörda personer när utdata bidrar till ett beslut som ger rättsliga eller på liknande sätt väsentliga effekter.

Exempel: 0-100 matchningspoäng; används för att korta ned de 30 bästa kandidaterna per roll


09 — Namngiven mänsklig tillsynsroll + kompetens

Varför: Artikel 26(2) kräver tilldelning till en namngiven fysisk person med kompetens, utbildning och befogenhet — inte en generisk teampostlåda.

Exempel: Chef för Talent Acquisition, genomförde AI-läskunnighetsmodul enligt artikel 4 april 2026


10 — Loggbevarandeplats + period

Varför: Artikel 26(6) kräver att automatiskt genererade loggar bevaras i minst 6 månader om inte annan unions- eller nationell rätt kräver längre bevarandetid.

Exempel: AWS S3 eu-north-1 bucket talentfit-logs, 24 månaders bevarandetid, oföränderlig


11 — DPIA-referens (GDPR artikel 35)

Varför: Profilering och automatiserat beslutsfattande om jobbsökande utlöser typiskt DPIA. Artikel 26(9) tillåter dig att återanvända leverantörens dokumentation, men DPIA-ansvaret är ditt.

Exempel: DPIA-2026-007, senast granskad 2026-05-15, ansvarig DPO@example.com


12 — Bevis på arbetstagaravisering (artikel 26(7))

Varför: Arbetsgivare måste informera arbetstagarrepresentanter och berörda arbetstagare innan ett högrisk-system tas i bruk på arbetsplatsen. GDPR-informationsskyldigheter löper parallellt.

Exempel: Protokoll från företagsrådets möte 2026-02-08; intranätmeddelande publicerat 2026-02-15


Driftsanmärkningar

  • Behåll en rad per (system + version + avsett syfte)-kombination. En materiell ändring av något av dessa skapar en ny rad, inte en redigering.
  • Korslänka till ditt GDPR artikel 30-register över behandlingsverksamhet — de två registren tjänar olika tillsynsmyndigheter (nationell AI-myndighet kontra dataskyddsmyndighet) men refererar till samma system.
  • Granskningskadans: minst årligen, och omedelbart vid (a) leverantörens versionsuppgraderingar, (b) ny exponering för Bilaga III-underpunkt, (c) eventuell allvarlig incidentrapport som du lämnar in enligt artikel 73.
  • Ansvarig: en enda ansvarig roll (Efterlevnadschef, DPO eller CIO). Redigerare kan vara många; en ansvarig undertecknare per rad.

Vad denna mall inte täcker

Inventeringen är grunden, inte hela efterlevnadsfilen. Du behöver fortfarande separat:

  • Konsekvensbedömningen avseende grundläggande rättigheter (FRIA) enligt artikel 27 för de tillhandahållare som är skyldiga att utföra en — offentliga organ, privata operatörer av offentliga tjänster och vissa Bilaga III-tillhandahållare.
  • AI-läskunnighetsregistret enligt artikel 4 (utbildningsdokumentation per person som hanterar systemet), gäller sedan 2 februari 2025.
  • Transparensupplysningar enligt artikel 50 för chatbots, emotionsigenkänning, biometrisk kategorisering och AI-genererat innehåll (gäller från 2 augusti 2026).
  • Din handbok för allvarlig incidentrapportering enligt artikel 26(5) och artikel 73.

Källor

  • Förordning (EU) 2024/1689 (AI Act), artiklarna 4, 25, 26, 27, 50, 73 och Bilaga III — EUR-Lex: eur-lex.europa.eu/eli/reg/2024/1689/oj
  • Förordning (EU) 2016/679 (GDPR), artiklarna 22, 30, 35 — EUR-Lex: eur-lex.europa.eu/eli/reg/2016/679/oj
  • Europeiska kommissionens AI Act Service Desk Q&A om AI-läskunnighet och artikel 4 (aktuell 2026).

Anmärkning: PowerQuant levererar programvara och dokumentation för användning i din interna efterlevnadsprocess — inte juridisk rådgivning. Konkreta skyldigheter beror på varje systems klassificering, din roll (leverantör, tillhandahållare, båda) och tillämplig fas av EU AI Act.