PowerQuantSESkicka ert frågeformulär

Som tillhandahållare kvarstår du ansvarig för efterlevnad av dina skyldigheter enligt förordning (EU) 2024/1689 oavsett vad din leverantör gör. Artikel 25 gör detta explicit: om en tillhandahållare sätter sitt eget varumärke på ett AI-system, gör en väsentlig modifiering eller ändrar det avsedda ändamålet, blir den tillhandahållaren den rättsliga leverantören och tar på sig det fullständiga leverantörsskyldighetsregistret. Även utan dessa utlösande faktorer är en tillhandahållare som inte kan tillgå loggar, aldrig fått en bruksanvisning eller saknar ett incidentnotifieringsförfarande exponerad enligt artikel 26. Ditt leverantörskontrakt är efterlevnadens första försvarslinje.

Varför ditt leverantörskontrakt är ett efterlevnadsdokument

Artikel 13 i EU AI Act kräver att leverantörer av högrisk-AI-system utformar och utvecklar dem så att deras drift är tillräckligt transparent för att tillhandahållare ska kunna tolka systemets utdata och använda det på ett lämpligt sätt. Den bruksanvisning som ska åtfölja varje högrisk-AI-system är en rättslig leverans, inte en användarhandbok.

Artikel 26.1 kräver sedan att tillhandahållare använder systemet i enlighet med den bruksanvisningen. Om leverantören inte har tillhandahållit en korrekt bruksanvisning kan den tillhandahållaren inte fullgöra art. 26.1. Om leverantören inte har möjliggjort loggtillgång kan den tillhandahållaren inte fullgöra art. 26.6. Kontraktet måste explicit täppa till dessa luckor.

12-punkters checklista

  1. Riskklassificering – Leverantören bekräftar AI-systemets klassificering enligt förordning (EU) 2024/1689 (minimal risk, begränsad risk, hög risk enligt bilaga III eller GPAI-modell) och dokumenterar bilaga III-bedömningen på begäran.
  2. Bruksanvisning (art. 13) – Leverantören tillhandahåller dokumenterad bruksanvisning som täcker: avsett ändamål, teknisk kapacitet och begränsningar, förutsebar felanvändning som den tillhandahållaren måste skydda mot, åtgärder för mänsklig tillsyn samt noggrannhets- och robusthetsmätetal.
  3. Tillgång till teknisk dokumentation – För högrisk-system kan den tillhandahållaren erhålla en sammanfattning av bilaga IV teknisk dokumentation eller ett ISAE 3000 / SOC 2 Type II-intyg som täcker bedömningen av överensstämmelse.
  4. Riskhanteringsbevis (art. 9) – Leverantören tillhandahåller bevis på att ett artikel 9-riskhanteringssystem är upprättat, underhålls och uppdateras under systemets livscykel, samt meddelar den tillhandahållaren om varje väsentlig förändring av den bedömda risken.
  5. Datakvalitetsutlåtande (art. 10) – För högrisk-system: leverantören bekräftar att träningsdata undersökts avseende snedvridning som påverkar grundläggande rättigheter och att datakvalitetsåtgärder enligt artikel 10 tillämpats. Inkluderar undersökta skyddade egenskaper och vidtagna åtgärder mot snedvridning.
  6. Loggtillgänglighet (art. 26.6) – Automatiska loggar som genereras av AI-systemet är tillgängliga för den tillhandahållaren och bevaras i minst 6 månader. Leverantörens SLA täcker loggformat, export och tillgång vid tillsynsförfrågan.
  7. SLA för incidentnotifiering (art. 73) – Leverantören förbinder sig att meddela den tillhandahållaren inom en definierad tidsram (rekommenderat ≤24 timmar) vid upptäckt av en allvarlig incident enligt definitionen i artikel 73, för att möjliggöra för den tillhandahållaren att rapportera till den nationella marknadskontrollmyndigheten.
  8. Bevis för bedömning av överensstämmelse (art. 47) – Leverantören tillhandahåller EU-försäkran om överensstämmelse och, för bilaga III-system som kräver tredjepartsbedömning, intyget om överensstämmelse från ett anmält organ, innan systemet tas i drift.
  9. Ändringshantering (art. 43.4) – Överenskommet förfarande för väsentliga modifieringar: leverantören meddelar den tillhandahållaren i förväg, genomför ny bedömning av överensstämmelse vid behov och tillhandahåller uppdaterad bruksanvisning. Den tillhandahållarens samtycke krävs för modifieringar som ändrar riskklassificeringen eller det avsedda ändamålet.
  10. GDPR-avtal om personuppgiftsbiträde (art. 28 GDPR) – Artikel 28 GDPR-biträdesavtal som täcker: rättslig grund, behandlingsinstruktioner, stöd för registrerades rättigheter, radering/återlämning vid avtalets upphörande och underbiträdeslista med notifiering om ändringar.
  11. Överföringar till tredjeland – Schrems II-konsekvensbedömning av överföring (TIA) där personuppgifter behandlas utanför EES. Giltig överföringsmekanism identifierad: adekvansbestämmelse, standardavtalsklausuler (SCC) eller bindande företagsbestämmelser.
  12. Revisions- och inspektionsrättigheter – Den tillhandahållarens rätt att genomföra eller beställa revisioner (ISAE 3000 / SOC 2 Type II), eller att ta emot revisionsrapporter från leverantörens befintliga ackrediterade bedömningar, inklusive uppföljning av eventuella fynd relevanta för den tillhandahållarens efterlevnad.

Artikel 25-fällan – när leverantörsrollen skiftar

Artikel 25 i EU AI Act fastställer under vilka förutsättningar en tredje part – inklusive en tillhandahållare – blir den rättsliga leverantören för ett AI-system. De utlösande förutsättningarna är:

  • Att AI-systemet tillhandahålls på marknaden eller tas i drift under tredje partens eget namn eller varumärke.
  • Att en väsentlig modifiering görs av ett högrisk-AI-system som redan tillhandahållits på marknaden eller tagits i drift.
  • Att det avsedda ändamålet ändras för ett AI-system som tidigare inte klassificerats som högrisk, på ett sådant sätt att det blir ett högrisk-system.

Tillhandahållare som "white-labelar" SaaS-verktyg, konfigurerar system utöver deras avsedda tillämpningsområde eller tränar om modeller på egna data måste bedöma om de överskridit artikel 25-tröskeln. Att göra det utan förberedelse innebär att det fullständiga leverantörsskyldighetsregistret tas på sig – bilaga IV-dokumentation, bedömning av överensstämmelse, EU-databasregistrering enligt artikel 71 – ofta utan förvarning.

Vanliga kontraktsluckor och deras konsekvenser

  • Leverantören hävdar att de "uppfyller AI Act" utan att specificera klassificering eller artiklar. Den tillhandahållaren har ingen grund för att verifiera vilka skyldigheter leverantören har fullgjort och vilka som kvarstår hos den tillhandahållaren.
  • Ingen loggtillgångsklausul. Artikel 26.6 kräver att den tillhandahållaren bevarar loggar i minst 6 månader. Om leverantören kontrollerar loggarna och kontraktet är tyst, saknas rättslig grund för att hämta dem vid en tillsynsförfrågan.
  • Ingen incident-SLA. Allvarliga incidenter enligt artikel 73 måste rapporteras till den nationella marknadskontrollmyndigheten. Om leverantören inte meddelar dig missar du rapporteringsfönstret och blir ansvarig för underlåtenheten att rapportera.
  • Ingen ändringshanteringsbestämmelse. En leverantör som uppdaterar modellen eller ändrar systemarkitekturen utan att meddela detta kan utlösa en ny skyldighet till bedömning av överensstämmelse eller ändra det avsedda ändamålet på ett sätt som förändrar dina skyldigheter som tillhandahållare.
  • White-label-arrangemang utan dokumentationsöverföring. Om du varumärkessätter systemet som ditt eget utan att erhålla bilaga IV-dokumentation är du en oregistrerad leverantör utan dokumentationskedja.

Tidslinje för tillämpning

Tillhandahållarens skyldigheter enligt artikel 26 och bruksanvisningskravet i artikel 13 gäller från 2 augusti 2026 för högrisk-system förtecknade i bilaga III. Den provisoriska politiska överenskommelsen om Digital Omnibus (7 maj 2026 – ännu inte antagen eller publicerad i Europeiska unionens officiella tidning) föreslår att vissa bilaga III-högrisk-skyldigheter för system som redan finns på marknaden skjuts upp till 2 december 2027. Tills detta formellt antagits är 2 augusti 2026 bindande. AI-kompetensskyldigheten i artikel 4 och förbudet mot förbjudna metoder i artikel 5 gäller redan sedan 2 februari 2025.

Sanktioner vid tillhandahållarens bristande efterlevnad

Överträdelser av tillhandahållarens högrisk-skyldigheter (artikel 26) beivras enligt artikel 99.4 med administrativa sanktionsavgifter på upp till 15 000 000 EUR eller 3 % av den totala globala årsomsättningen, beroende på vilket belopp som är högst. För små och medelstora företag samt uppstartsföretag tillämpas det lägsta av de två beloppen enligt artikel 99.6.

Relaterade EU-guider

Källor


Obs: Denna checklista speglar skyldigheter i förordning (EU) 2024/1689. Vägledning om AI Act från Europeiska AI-kontoret och nationella behöriga myndigheter kan ytterligare specificera kraven. PowerQuant tillhandahåller programvara och dokumentation för användning i er interna efterlevnadsprocess – inte juridisk rådgivning.