EU AI Act för HR-tech
EU:s AI-förordning (förordning (EU) 2024/1689, "AI Act") är direkt tillämplig i hela unionen och påverkar varje HR-tech-leverantör som utvecklar, släpper ut på marknaden eller driftsätter AI-system för rekrytering, urval, prestationsutvärdering eller arbetsledning. Förordningen reglerar både leverantörer (providers) och tillhandahållare (deployers) — vilket innebär att både ni och era HR-kunder bär konkreta skyldigheter.
Den här sidan sammanfattar varför HR-AI typiskt klassas som högrisk, vilka skyldigheter klassificeringen utlöser, hur tidslinjen ser ut efter Digital Omnibus, och hur PowerQuant levererar källhänvisade bevispaket som dokumenterar er efterlevnad.
Varför HR-AI typiskt klassas som högrisk
Bilaga III punkt 4 i AI Act listar uttryckligen AI-system inom områdena sysselsättning, arbetstagarförvaltning och tillgång till egenföretagande som högrisk. Det omfattar AI som används för att:
- rekrytera eller välja ut fysiska personer (inklusive annonsriktning, screening av ansökningar och utvärdering av kandidater),
- fatta eller väsentligt påverka beslut om anställningsvillkor, befordran eller uppsägning,
- fördela arbetsuppgifter baserat på individuellt beteende eller personlighetsdrag,
- övervaka och utvärdera anställdas prestationer och beteende.
Klassificeringen styrs i huvudsak av användningsändamålet enligt bilaga III, inte av teknisk implementering eller affärsmodell. Art. 6.3 innehåller dock en derogation: ett Annex III-system anses inte högrisk om det inte utgör betydande risk för hälsa, säkerhet eller grundläggande rättigheter — exempelvis vid snäva processuella uppgifter eller rent förberedande funktioner. Undantaget gäller dock aldrig när systemet utför profilering av fysiska personer, vilket är vanligt i HR-AI. De flesta HR-system kommer därmed att vara högrisk, men bedömningen ska göras dokumenterat per system.
Vilka skyldigheter gäller
För högrisksystem gäller en sammanhängande kedja av krav som ska kunna styrkas med dokumentation och processer:
- Riskhanteringssystem (art. 9) — en kontinuerlig, dokumenterad process för identifiering, analys, utvärdering och hantering av kända och rimligen förutsebara risker över systemets hela livscykel.
- Data och datastyrning (art. 10) — tränings-, validerings- och testdata ska uppfylla kvalitetskriterier avseende relevans, representativitet, frihet från fel och statistiska egenskaper, med särskild uppmärksamhet på bias som kan leda till diskriminering.
- Teknisk dokumentation (art. 11 och bilaga IV) — fullständig dokumentation av systemets utformning, syfte, kapacitet, begränsningar och prestanda, sammanställd före marknadsintroduktion och uppdaterad löpande.
- Loggning (art. 12) — automatisk loggning av händelser under driftstid i den omfattning som krävs för spårbarhet, riskövervakning och efterhandsrevision.
- Transparens och information till tillhandahållare (art. 13) — bruksanvisning som tydligt anger systemets ändamål, prestandanivåer, kända begränsningar och nödvändiga tillsynsåtgärder.
- Mänsklig tillsyn (art. 14) — systemet ska utformas så att fysiska personer kan övervaka det effektivt, förstå dess utdata och vid behov åsidosätta eller stoppa det.
- Tillhandahållarens skyldigheter (art. 26) — era HR-kunder ska använda systemet enligt bruksanvisningen, säkerställa mänsklig tillsyn med rätt kompetens, övervaka driften, spara loggar samt informera arbetstagare och arbetstagarrepresentanter innan systemet tas i bruk på arbetsplatsen.
- Registrering i EU-databasen (art. 49) — leverantörer ska registrera högrisksystem i den unionsomfattande databasen innan de släpps ut på marknaden eller tas i drift. Tillhandahållare som är offentliga myndigheter ska dessutom registrera sin användning.
Tillhandahållare ska genomföra en konsekvensbedömning för grundläggande rättigheter (art. 27) när de är offentliga organ eller tillhandahåller offentliga tjänster. För privata HR-kunder gäller detta krav typiskt sett inte för Annex III punkt 4-system, men bör bedömas per kund.
Tidslinje
- 2 februari 2025 — förbuden i artikel 5 är tillämpliga. Bland annat förbjuds AI-system som drar slutsatser om känslor på arbetsplatsen utöver medicinska eller säkerhetsrelaterade ändamål.
- 2 augusti 2025 — skyldigheterna för leverantörer av AI-modeller för allmänna ändamål (GPAI) börjar tillämpas.
- 2 augusti 2026 — AI Act blir generellt tillämplig, inklusive sanktionsregimen och tillsynsstrukturen. Detta är gällande lag.
- Annex III-högriskskyldigheter — i den nu gällande lagtexten gäller dessa från 2 augusti 2026. Genom Digital Omnibus-paketet, där politisk överenskommelse nåddes den 7 maj 2026, föreslås tillämpningen för Annex III-system uppskjuten till 2 december 2027. Förslaget är ännu inte formellt antaget och har inte publicerats i EUT. Tills dess gäller den ursprungliga tidsplanen — ni bör planera för att vara redo den 2 augusti 2026 och parallellt följa Digital Omnibus-processen.
Förseningen, om den antas, påverkar inte förbuden i art. 5 eller GPAI-skyldigheterna, som löper på i oförändrad takt.
Svensk tillsynskontext (förslag)
Den svenska tillsynsstrukturen är ännu inte beslutad. SOU 2025:101 föreslår att Post- och telestyrelsen (PTS) blir samordnande marknadskontrollmyndighet, och att Integritetsskyddsmyndigheten (IMY) får tillsyn över flera högrisk- och förbjudna användningar. Förslagen är ännu inte antagna — slutlig myndighetsstruktur fastställs först när regering och riksdag tagit ställning.
Hur PowerQuant hjälper
Vi levererar bevispaket som dokumenterar er efterlevnad av AI Act — inte mallar, inte konsultprojekt på timpenning, utan färdiga arbetsprodukter:
- Källhänvisade bevispaket — varje påstående om er efterlevnad är knutet till en specifik artikel, ett bilageavsnitt eller en officiell vägledning. Inga obelagda formuleringar.
- Fast pris — ni vet vad leveransen kostar innan arbetet påbörjas.
- Fast leveranstid — definierad slutleverans, inte ett öppet uppdrag.
Paketen täcker både er roll som leverantör enligt art. 16 och era HR-kunders roll som tillhandahållare enligt art. 26, så att samma underlag stödjer hela kedjan.
Vill ni se ett exempel på ett bevispaket för ett HR-tech-användningsfall? Kontakta oss för en konkret genomgång.