PowerQuantSESkicka ert frågeformulär

Artikel 9 i förordning (EU) 2024/1689 kräver att leverantörer av högrisk-AI-system upprättar, genomför, dokumenterar och upprätthåller ett riskhanteringssystem under hela systemets livscykel. Tillhandahållare är inte primärinnehavare av artikel 9-skyldigheten, men de samspelar med den på tre sätt: genom att förlita sig på leverantörens riskbedömning, genom att återföra data från eftermarknadsövervakning till den, och genom att ha egna operativa riskhanteringsskyldigheter enligt artikel 26. Denna guide förklarar båda sidorna.

Artikel 9 riskhanteringscykel

Artikel 9.2 specificerar att riskhanteringssystemet ska bestå av en kontinuerlig, iterativ process som löper under hela livscykeln och omfattar:

  1. Identifiering och analys av kända och rimligen förutsebara risker. Detta inkluderar risker för hälsa, säkerhet och grundläggande rättigheter som högrisk-AI-systemet kan medföra vid avsedd användning och vid rimligen förutsebar felanvändning. För HR-AI innebär detta analys av risker för partisk kandidatbedömning, diskriminerande uppgiftsfördelning eller integritetskränkande prestationsövervakning.
  2. Uppskattning och utvärdering av risker som kan uppstå under användning. Baserat på det avsedda ändamålet, förutsebar felanvändning och information från eftermarknadsövervakning (artikel 72). Uppskattningen ska beakta sannolikheten för att en risk inträffar och allvarlighetsgraden av dess konsekvenser, inklusive hur reversibla de är och hur många personer som berörs.
  3. Antagande av lämpliga riskhanteringsåtgärder. Dessa ska utformas och genomföras för att eliminera eller minska identifierade risker i den mån det är tekniskt möjligt. Där risker inte kan åtgärdas fullt ut ska kvarstående risker dokumenteras och redovisas i bruksanvisningen.
  4. Testning för att säkerställa att åtgärderna är effektiva och att systemet presterar i enlighet med sitt avsedda ändamål för samtliga avsedda användare och användningsförhållanden, inklusive testning avseende potentiell snedvridning.

Artikel 9.4 – grundläggande rättigheters dimension

Artikel 9.4 kräver att riskhanteringsåtgärderna vederbörligen beaktar de tekniska kunskaper, erfarenheter, utbildning och fortbildning som kan förväntas av användarna, samt den miljö i vilken systemet är avsett att användas. För HR-AI som driftsätts av en organisation där linjechefer tar emot AI-rekommendationer utan teknisk utbildning ska leverantören kalibrera riskåtgärderna till den miljön – och den tillhandahållaren ska säkerställa att den mänskliga tillsynsfunktionen uppfyller den kompetensnivå som leverantören förutsatt.

Artikel 9.4 kräver vidare att riskhanteringen uppmärksammar behovet av att skydda hälsa, säkerhet och grundläggande rättigheter för alla personer som kan beröras av systemets utdata, inklusive tredje parter såsom arbetssökande och övervakade anställda, inte enbart systemets direkta användare.

Tillämpningsdatum

Artikel 9-skyldigheterna för högrisk gäller från 2 augusti 2026 för system som förtecknas i bilaga III. Den provisoriska politiska överenskommelsen om Digital Omnibus (7 maj 2026 – ännu inte antagen eller publicerad i Europeiska unionens officiella tidning) föreslår att fristående bilaga III-skyldigheter för system som redan finns på marknaden skjuts upp till 2 december 2027. Tills detta formellt antagits är 2 augusti 2026 det bindande datumet.

Tillhandahållarens samspel med artikel 9

Leverantörer är primärinnehavare av artikel 9-skyldigheten. Men tillhandahållare samspelar med den på tre konkreta sätt:

  • Förlita sig på leverantörens riskbedömning. När en tillhandahållare väljer och konfigurerar ett högrisk-AI-system bör denne inhämta bevis från leverantören om att artikel 9-riskhanteringssystemet är inrättat och att det specifika driftsättningssammanhanget (användningsfall, användarbas, indata) har inkluderats i riskbedömningen. En artikel 9-riskbedömning genomförd för ett stort teknikföretag täcker inte automatiskt driftsättning av en HR-avdelning i ett företag med 150 anställda.
  • Bidra med eftermarknadsövervakningsdata (art. 72). Artikel 72 kräver att tillhandahållare övervakar prestandan hos högrisk-AI-system i produktion och återrapporterar relevanta data till leverantörer. I praktiken innebär detta: loggning av incidenter där AI producerade oväntade eller uppenbart felaktiga utdata, spårning av felfrekvenser gentemot noggrannhetsmåtten i bruksanvisningen, och eskalering till leverantören när mönster tyder på att riskbedömningen är överspelad.
  • Tillhandahållarens operativa riskhantering. Artikel 26 ålägger parallella skyldigheter: användning inom avsett ändamål (art. 26.1), kompetent mänsklig tillsyn (art. 26.2), indatakvalitet (art. 26.4), incidentövervakning och -rapportering (art. 26.5), loggbevarande (art. 26.6). Dessa utgör den tillhandahållarens eget riskhanteringsskikt och måste dokumenteras separat från leverantörens artikel 9-system.

Eftermarknadsövervakning enligt artikel 72

Artikel 72 kräver att leverantörer upprättar och dokumenterar ett eftermarknadsövervakningssystem. Tillhandahållare är skyldiga att samla in och tillhandahålla data som genereras vid användning av AI-systemet till leverantören, i den mån den tillhandahållaren har avtalsenlig rätt till detta. Det är därför leverantörskontraktet måste innehålla en klausul om loggtillgång och datadelning: utan den kan den tillhandahållaren inte fullgöra denna skyldighet.

Ur ett praktiskt riskhanteringsperspektiv bör tillhandahållare:

  • Registrera varje användningsfall där en AI-rekommendation åsidosatts av den mänsklige tillsynsansvarige och skälet till detta.
  • Registrera varje fall där AI-utdata flaggats som potentiellt felaktiga eller partiska av en användare eller berörd person.
  • Jämföra kvartalsvisa felfrekvensdata med noggrannhetsmåtten i artikel 13-bruksanvisningen och flagga avvikelser för leverantören.
  • Återföra allvarliga incidentrapporter enligt art. 73 till leverantörens riskhanteringsuppdateringscykel.

Allvarliga incidenter enligt artikel 73

Artikel 73 kräver att tillhandahållare av högrisk-AI-system rapporterar alla allvarliga incidenter till den nationella marknadskontrollmyndigheten. En allvarlig incident definieras som en incident eller funktionsfel hos ett AI-system som direkt eller indirekt leder till dödsfall för en person, allvarlig personskada, allvarlig och irreversibel störning av förvaltningen och driften av kritisk infrastruktur, eller brott mot skyldigheter enligt unionsrätten som syftar till att skydda grundläggande rättigheter.

I ett HR-sammanhang kan partisk avvisning av alla kandidater från en skyddad grupp, ett orättmätigt avskedande drivet av ett AI-poäng utan meningsfull mänsklig granskning, eller ett prestationssystem som genererar data som används på ett diskriminerande sätt nå tröskeln för en allvarlig incident. Tillhandahållare bör inkludera ett förfarande för rapportering av allvarliga incidenter i sin AI-riskhanteringsdokumentation.

Dokumentationschecklista för riskhantering för tillhandahållare

  • Leverantörsdokumentation av artikel 9-riskhanteringssystem: bekräftelse att det täcker den tillhandahållarens specifika användningskontext och användarmiljö.
  • Tillhandahållarens riskregister: varje högrisk-AI-system med identifierade risker, bedömd sannolikhet/allvarlighetsgrad, begränsande åtgärder och kvarstående risk.
  • Art. 26.2 tillsynsutnämning: kompetensunderlag, utbildningsregistreringar, åsidosättandebefogenhet och -förfarande.
  • Art. 26.6 plan och bevis för loggbevarande: system, bevarandeperiod, åtkomstkontroller, GDPR-samordning.
  • Art. 72 övervakningslogg: felfrekvensuppföljning, åsidosättanderegistreringar, leverantörsrapporterade ändringar av riskbedömningen.
  • Art. 73 incidentresponsförfarande: definition av allvarlig incident, eskaleringsväg, rapporteringsmall, kontaktuppgifter till nationell marknadskontrollmyndighet.
  • Art. 4 AI-kompetensregistreringar som täcker riskhanteringsroller (den mänsklige tillsynsansvarige måste i synnerhet förstå den risk systemet medför).

Sanktioner

Underlåtenhet att följa högrisk-systemskyldigheter, inklusive tillhandahållarens skyldigheter enligt artikel 26, beivras enligt artikel 99.4 med administrativa sanktionsavgifter på upp till 15 000 000 EUR eller 3 % av den totala globala årsomsättningen, beroende på vilket belopp som är högst. För små och medelstora företag samt uppstartsföretag tillämpas det lägsta av de två beloppen enligt artikel 99.6. Underlåtenhet att rapportera en allvarlig incident enligt artikel 73 faller under artikel 99.4 som underlåtenhet att fullgöra operatörsskyldigheter.

Relaterade EU-guider

Källor


Obs: Artikel 9-riskhanteringssystemet är primärt en leverantörssidesskyldighet. Tillhandahållarens riskhanteringsskyldigheter fastställs i artikel 26 och måste dokumenteras separat. PowerQuant tillhandahåller programvara och dokumentation för användning i er interna efterlevnadsprocess – inte juridisk rådgivning.