EU:s AI-förordning fördelar skyldigheter efter roll, inte efter företagsstorlek. En korrekt rollbedömning är det första steget i efterlevnadsarbetet: den avgör om du bär det tunga ansvaret som leverantör enligt artikel 16 eller de operativa skyldigheterna som tillhandahållare enligt artikel 26. Bedömningen är faktabaserad och görs per AI-system, inte per organisation.
Definitioner (artikel 3)
- Leverantör (art 3(3)) — en fysisk eller juridisk person, en offentlig myndighet, ett organ eller en annan enhet som utvecklar ett AI-system eller en AI-modell för allmänna ändamål, eller låter ett sådant utvecklas, och som släpper ut det på marknaden eller tar det i drift under eget namn eller varumärke, oavsett om det sker mot betalning eller kostnadsfritt.
- Tillhandahållare (art 3(4)) — en fysisk eller juridisk person, en offentlig myndighet, ett organ eller en annan enhet som använder ett AI-system under sin behörighet, utom när AI-systemet används inom ramen för en personlig icke-yrkesmässig aktivitet.
- Importör (art 3(6)) — den som släpper ut på EU-marknaden ett AI-system som bär namn eller varumärke för en person etablerad utanför EU.
- Distributör (art 3(7)) — varje person i leveranskedjan, utom leverantören eller importören, som tillgängliggör ett AI-system på EU-marknaden.
Skyldighetsfördelning för högrisk-AI
Leverantör bär huvuddelen av skyldigheterna avseende design och marknadstillträde. Tillhandahållare bär de operativa skyldigheterna från det ögonblick de tar ett system i drift inom sin egen organisation.
| Skyldighet | Leverantör (art 16) | Tillhandahållare (art 26) |
|---|---|---|
| Riskhanteringssystem (art 9) | Ja | Nej (men använder leverantörens resultat) |
| Data och datastyrning (art 10) | Ja | Enbart indatakvalitet (art 26(4)) |
| Teknisk dokumentation (art 11, Bilaga IV) | Ja | Nej |
| Registerföring / loggar (art 12) | Design | Bevara i minst 6 månader (art 26(6)) |
| Transparens gentemot tillhandahållare (art 13) | Ja — bruksanvisningar | Följ bruksanvisningarna (art 26(1)) |
| Mänsklig tillsyn (art 14) | Design | Tilldela kompetenta personer (art 26(2)) |
| Noggrannhet, robusthet, cybersäkerhet (art 15) | Ja | Upprätthåll driftsförutsättningar |
| Bedömning av överensstämmelse + CE-märkning | Ja | Nej |
| Registrering i EU-databasen (art 49) | Ja | Där tillhandahållare är offentlig myndighet (art 49(1a)) |
| Information till arbetstagare (art 26(7)) | Nej | Ja — innan driftsättning på arbetsplatsen |
| Information till berörda personer (art 26(11)) | Nej | Ja |
| Konsekvensbedömning för grundläggande rättigheter (art 27) | Nej | Ja för offentliga organ och listade fall |
| Övervakning efter utsläppande på marknaden (art 72) | Ja | Samarbeta / rapportera incidenter (art 26(5)) |
| Rapportering av allvarliga incidenter (art 73) | Ja | Informera leverantören utan dröjsmål |
När en tillhandahållare blir leverantör (artikel 25)
Artikel 25(1) listar fyra utlösare som gör en tillhandahållare (eller distributör, importör eller annan tredje part) till leverantör av ett högrisk-AI-system, med alla skyldigheter enligt artikel 16:
- Omprofilering. Att sätta sitt namn eller varumärke på ett högrisk-AI-system som redan släppts ut på marknaden eller tagits i drift, utan att det påverkar avtalsarrangemang med den ursprungliga leverantören.
- Väsentlig modifiering. Att göra en väsentlig modifiering av ett högrisk-system som förblir högrisk enligt artikel 6.
- Ändring av avsett ändamål. Att ändra det avsedda ändamålet med ett AI-system som inte klassificerats som högrisk på ett sådant sätt att det blir högrisk enligt artikel 6.
- Åtgärder avseende en GPAI-modell. Att integrera en AI-modell för allmänna ändamål i ett eget AI-system som släpps ut på marknaden under eget namn, utan att använda GPAI-modellen enbart som en standardprodukt.
Artikel 25(2) kräver att den ursprungliga leverantören samarbetar med den nya leverantören så att denne kan uppfylla sina skyldigheter.
Typisk rolltilldelning inom HR-tech
- HR-tech SaaS-leverantör som bygger och levererar en CV-sorteringsmodell under eget varumärke: leverantör av ett högrisk-AI-system (Bilaga III punkt 4(a)).
- Arbetsgivare som använder den SaaS-lösningen för att filtrera sökande: tillhandahållare för ett högrisk-AI-system.
- Arbetsgivare som finjusterar en grundmodell på egna data och driftsätter resultatet för rekrytering: leverantör enligt artikel 25(1)(b) (väsentlig modifiering) eller artikel 25(1)(d) (GPAI-integrering), beroende på omständigheterna.
- Återförsäljare som profilerar om en tredjeparts HR-tech-modell under eget namn: leverantör enligt artikel 25(1)(a).
Varför detta är viktigt inför upphandling
Tillhandahållarens skyldigheter enligt artikel 26 kan inte uppfyllas utan leverantörens medverkan. Förhandla innan du undertecknar: vem tillhandahåller bruksanvisningarna, vem garanterar maskinläsbar märkning enligt art 50(2), vem ansvarar för analys av allvarliga incidenter enligt art 73, hur loggar görs tillgängliga för att uppfylla skyldigheten om sex månaders lagring enligt art 26(6), och hur utlösare för art 25 flaggas i ändringshanteringsprocessen.
Relaterade EU-guider
- EU:s AI-förordning för rekrytering-AI
- Transparens enligt artikel 50 från och med den 2 augusti 2026
- Krav på AI-register
- NIS2 och HR-system
Källor
- Förordning (EU) 2024/1689, artiklarna 3, 16, 25, 26, 27, 49, 50, 72, 73 — EUR-Lex: https://eur-lex.europa.eu/eli/reg/2024/1689/oj
Obs: Rollbedömning är faktabaserad; samma organisation kan vara tillhandahållare för ett system och leverantör för ett annat. PowerQuant tillhandahåller programvara och dokumentation för användning i din interna efterlevnadsprocess — inte juridisk rådgivning.