Artikel 26 i förordning (EU) 2024/1689 fastställer skyldigheterna för tillhandahållare avseende högrisk-AI-system. De tolv styckena nedan är var och ett omformulerade på lättförståelig svenska, med de bevis en tillhandahållare bör ha för att styrka efterlevnad. Artikel 4 (AI-kompetens) och artikel 50 (transparens) kompletterar artikel 26 och ingår som separata överlager.
Artikel 26 — de tolv styckena
Art 26(1) — Använd systemet i enlighet med leverantörens bruksanvisningar
Krav: Vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att högrisk-AI-systemet används i enlighet med de bruksanvisningar som medföljer systemet.
Bevis att ha: Standardiserade driftsrutiner per system; undertecknat bekräftelsedokument från varje operatör att de har mottagit bruksanvisningarna.
Art 26(2) — Tilldela mänsklig tillsyn till en kompetent fysisk person
Krav: Mänsklig tillsyn ska tilldelas fysiska personer som har nödvändig kompetens, utbildning och befogenhet, samt nödvändigt stöd.
Bevis att ha: Namngiven tillsynsroll med rollbeskrivning; utbildningsdokumentation kopplad till artikel 4; dokumenterad befogenhet att ingripa eller avbryta.
Art 26(3) — Utan att det påverkar annan unions- eller nationell rätt
Krav: Styckena 1 och 2 påverkar inte andra skyldigheter för den tillhandahållaren eller den tillhandahållarens frihet att organisera egna resurser och aktiviteter för att genomföra de mänskliga tillsynsåtgärder som leverantören angivit.
Bevis att ha: Intern notering som kartlägger skyldigheterna enligt artikel 26 mot parallella skyldigheter enligt GDPR, sektorslagstiftning och företagsrådsavtal.
Art 26(4) — Säkerställ relevant och representativ indata — där du kontrollerar den
Krav: I den utsträckning den tillhandahållaren utövar kontroll över indata ska den tillhandahållaren säkerställa att indata är relevant och tillräckligt representativ med hänsyn till det avsedda ändamålet med högrisk-AI-systemet.
Bevis att ha: Policy för datastyrning; kontrollförteckning som identifierar vilka indatafält den tillhandahållaren (kontra leverantören) äger; dokumenterade datakvalitetskontroller av de kontrollerade fälten.
Art 26(5) — Övervaka driften; avbryt och anmäl vid allvarlig risk
Krav: Övervaka driften på grundval av bruksanvisningarna. Om den tillhandahållaren har skäl att anse att användningen kan innebära en risk i den mening som avses i artikel 79(1), informera leverantören eller distributören och marknadskontrollmyndigheten utan onödigt dröjsmål och avbryt användningen av systemet. Rapportera allvarliga incidenter enligt artikel 73.
Bevis att ha: Övervakningsrutiner; incidentlogg med tidsstämplar; eskaleringsstig till leverantör och behörig myndighet; dokumenterat avbrottsförfarande.
Art 26(6) — Bevara automatiskt genererade loggar i minst sex månader
Krav: Bevara de loggar som automatiskt genereras av högrisk-AI-systemet i den utsträckning de är under den tillhandahållarens kontroll. Lagringsperioden är minst 6 månader, såvida inte annan tillämplig unions- eller nationell rätt (framförallt GDPR) kräver annat.
Bevis att ha: Förfarande för loggexport; lagringsrutin; bevis på oföränderlig lagring; integrering med GDPR:s lagringsregler.
Art 26(7) — Informera arbetstagarrepresentanter och berörda arbetstagare före driftsättning på arbetsplatsen
Krav: Arbetsgivare som är tillhandahållare för ett högrisk-AI-system på arbetsplatsen måste, innan det tas i drift eller används, informera arbetstagarrepresentanter och de berörda arbetstagarna om att de kommer att vara föremål för dess användning.
Bevis att ha: Mötesprotokoll från företagsrådet; skriftlig underrättelse till berörda arbetstagare daterad före driftsättning; bevis på publicering på intranätet.
Art 26(8) — Registrera användning i EU-databasen — offentliga organ och unionsinstitutioner
Krav: Tillhandahållare som är offentliga myndigheter, byråer eller organ, eller unionsinstitutioner, organ, kontor eller byråer, ska registrera sin användning av högrisk-AI-system i EU-databasen som avses i artikel 71 innan de tas i drift.
Bevis att ha: Bekräftad registrering; intern hänvisning till de uppgifter som lämnats i enlighet med Bilaga VIII avsnitt C.
Art 26(9) — Använd leverantörens information för GDPR DPIA där det är tillämpligt
Krav: I tillämpliga fall ska tillhandahållare använda den information som lämnas enligt artikel 13 för att uppfylla sin skyldighet att genomföra en konsekvensbedömning avseende dataskydd enligt artikel 35 GDPR. DPIA förblir den tillhandahållarens ansvar.
Bevis att ha: DPIA-dokument som uttryckligen hänvisar till leverantörens bruksanvisningar enligt artikel 13; godkännande av DPO; schema för periodisk översyn.
Art 26(10) — Domstolstillstånd för efterhandsidentifiering vid biometrisk fjärridentifiering
Krav: Tillhandahållare för system för biometrisk fjärridentifiering i efterhand i samband med utredningar av en riktad sökning av en misstänkt eller dömd person måste begära förhandsgodkännande från en rättslig eller administrativ myndighet vars beslut är bindande (med det begränsade undantaget i artikel 26(10)).
Bevis att ha: Tillståndslogg per användning; intern granskning av aktualitet; begränsad till brottsbekämpande tillhandahållare — gäller inte HR-tech.
Art 26(11) — Informera berörda personer om beslut som fattas med stöd av högrisk-AI
Krav: Tillhandahållare för högrisk-AI-system som avses i Bilaga III och som fattar beslut, eller bistår vid fattande av beslut, rörande fysiska personer måste informera de berörda personerna om att de är föremål för användningen av högrisk-AI-systemet.
Bevis att ha: Standardiserad upplysningstext inbyggd i beslutsbrev (erbjudande, avslag, prestationsbedömning); revisionsspår som visar att upplysningen har skickats.
Art 26(12) — Samarbeta med behöriga myndigheter
Krav: Tillhandahållare ska samarbeta med de berörda behöriga myndigheterna vid varje åtgärd som dessa myndigheter vidtar avseende högrisk-AI-systemet för att genomföra denna förordning.
Bevis att ha: Identifierad kontaktpunkt; handbok för dokumentproduktion; rättsligt uppehållsförfarande för AI-systemets register.
Överlager för artikel 4 och artikel 50
Art 4 — Säkerställ tillräcklig AI-kompetens hos personal och andra personer som hanterar systemet
Krav: Leverantör och tillhandahållare ska vidta åtgärder för att i bästa möjliga mån säkerställa tillräcklig AI-kompetens hos sin personal och andra personer som hanterar driften och användningen av AI-system för deras räkning, med beaktande av tekniska kunskaper, erfarenhet, utbildning och det sammanhang i vilket AI-systemen ska användas. Gäller från och med den 2 februari 2025.
Bevis att ha: Rollbaserad kompetensmappning; dokumenterad utbildning per person med tidsstämpel; schema för återkommande kompetensutveckling.
Art 50(1) — Meddelande om AI-interaktion till användare
Krav: Leverantör ska säkerställa att AI-system som är avsedda att direkt interagera med fysiska personer är utformade så att dessa personer informeras om att de interagerar med ett AI-system, såvida detta inte är uppenbart utifrån sammanhanget. Gäller från och med den 2 augusti 2026.
Bevis att ha: Granskad upplysningstext; placering vid den första interaktionspunkten; tillgänglighetskontroll.
Art 50(3) — Meddelande om system för känsloigenkänning / biometrisk kategorisering (tillhandahållare)
Krav: Tillhandahållare för system för känsloigenkänning eller biometrisk kategorisering ska informera de fysiska personer som exponeras för systemet om dess drift och behandla personuppgifter i enlighet med GDPR och direktivet om brottsbekämpning. Gäller från och med den 2 augusti 2026.
Bevis att ha: Förhandsinformation; bedömning av rättslig grund enligt GDPR; register över eventuellt uttryckligt samtycke om sådant åberopas.
Art 50(4) — Upplysning om djupförfalskningar och allmänintressetext (tillhandahållare)
Krav: Tillhandahållare för ett AI-system som genererar eller manipulerar bild-, ljud- eller videoinnehåll som utgör en djupförfalskning ska upplysa om att innehållet har genererats eller manipulerats på konstgjord väg. Tillhandahållare för AI-system som genererar text som publiceras i syfte att informera allmänheten om frågor av allmänt intresse måste upplysa om AI-genereringen, med begränsade undantag. Gäller från och med den 2 augusti 2026.
Bevis att ha: Standardiserad upplysningsbilaga; kontroll av redaktionellt arbetsflöde; undantagsmotivering om undantaget i artikel 50(4) åberopas.
Hur du använder denna checklista
- Gå igenom de tolv raderna i artikel 26 och de fyra överlagerraderna för varje högrisk-AI-system i ditt register.
- Markera varje rad som Förhanden / Partiell / Saknas och bifoga dokumentreferensen för beviskolumnen.
- Saknade punkter blir arbetspaketärenden med en ansvarig och ett måldatum. Partiella punkter antingen avslutas eller utlöser en explicit anteckning om accepterad risk undertecknad av den verksamhetsansvarige chefen.
- Kör om checklistan efter varje versionsuppgradering av leverantören, varje rapportering av en allvarlig incident enligt artikel 73 och minst en gång per år.
Artikel 27 FRIA — separat arbetsflöde
Artikel 27 förpliktar vissa tillhandahållare (offentliga organ, privata operatörer av tjänster av allmänt intresse, och tillhandahållare för två specifika underpunkter i Bilaga III) att genomföra en konsekvensbedömning avseende grundläggande rättigheter innan systemet tas i drift. Den är inte inbakad i artikel 26-checklistan eftersom utlösarna och bevisunderlaget skiljer sig. Privata HR-tech-tillhandahållare bör ändå överväga att genomföra FRIA som bästa praxis och som förberedelse inför kundernas due diligence-frågeformulär.
Fasning — vad gäller när
- 2 februari 2025: AI-kompetens enligt artikel 4 och förbjudna metoder enligt artikel 5 gäller.
- 2 augusti 2025: Styrnings-, GPAI- och påföljdsbestämmelserna gäller.
- 2 augusti 2026: Högriskregimen enligt Bilaga III, tillhandahållarens skyldigheter enligt artikel 26, FRIA enligt artikel 27 och transparens enligt artikel 50 gäller; tillsyns- och tillsynsramverket är operativt.
- 2 augusti 2027: Högriskregimen för produkter inbyggda i Bilaga I enligt artikel 6(1) (AI som säkerhetskomponent eller produkt som omfattas av unionens harmoniseringslagstiftning — maskiner, medicintekniska produkter m.m.).
- Obs: Den politiska överenskommelsen om Digital Omnibus av den 7 maj 2026 föreslår att vissa tidsfrister för högrisk i Bilaga III ska skjutas upp. Till dess att den har antagits formellt och publicerats i Europeiska unionens officiella tidning är datumen ovan auktoritativa.
Källor
- Förordning (EU) 2024/1689 (AI-förordningen), artiklarna 4, 5, 26, 27, 50, 71, 73, 79 och Bilaga III — https://eur-lex.europa.eu/eli/reg/2024/1689/oj
- Förordning (EU) 2016/679 (GDPR), artiklarna 13, 22, 35.
- Europeiska kommissionens AI Act Service Desk — förklarande anteckningar för artikel 26 (aktuella 2026).
Obs: PowerQuant tillhandahåller programvara och dokumentation för användning i din interna efterlevnadsprocess — inte juridisk rådgivning. Tillämpligheten av varje stycke i artikel 26 beror på ditt specifika driftsättningssammanhang.