PowerQuantSESkicka ert frågeformulär

Förtroende

PowerQuant levererar efterlevnadsbevisning för EU AI Act och NIS2 till HR-tech-bolag. Vårt arbete utförs med samma noggrannhet som en revisionsbyrå förväntar sig av sitt underlag: varje påstående är spårbart, varje leverans är verifierbar och varje juridisk referens är korrekt. Den här sidan beskriver hur vi gör det möjligt för din DPO, CISO och upphandlingsfunktion att granska — inte enbart förlita sig på — det vi levererar.

Källhänvisat till förordningen

Varje påstående i våra leveranser är försett med direkt hänvisning till exakt artikel, bilaga eller skäl i Europaparlamentets och rådets förordning (EU) 2024/1689 (EU AI Act). Vi anger artikelnummer, stycke och version av den konsoliderade texten. Om en bedömning bygger på riktlinjer från Europeiska kommissionen, AI Office eller European Data Protection Board hänvisas dessa separat. Inga lösa formuleringar, inga oattribuerade tolkningar — vill du verifiera ett påstående leder fotnoten dig till källtexten.

Verifierbart signerat

Samtliga leveranser — bedömningar, registerutdrag, tekniska underlag — signeras kryptografiskt med Ed25519. Den publika nyckeln publiceras på powerquant.se och kan användas av en oberoende tredje part för att kontrollera att dokumentet inte har manipulerats efter leverans. Signaturen kopplas till ett tidsstämplat hashvärde av innehållet. Det innebär att din interna revision, en upphandlande myndighet eller en extern granskare kan styrka leveransens äkthet utan att behöva förlita sig på vår utsago.

Anpassat efter standarder

Vårt arbetssätt är utformat för att stödja och samverka med etablerade ledningssystem:

  • ISO/IEC 27001 — informationssäkerhet. Våra rutiner för åtkomst, loggning, klassificering och tillgångshantering är avsedda att passa in i ett befintligt ISMS.
  • ISO/IEC 42001 — ledningssystem för AI. Vår bevisningsmodell är uppbyggd för att stödja kontrollerna i Annex A, särskilt rörande riskhantering, livscykelhantering och loggföring.

Vi gör inga anspråk på certifiering i kundens namn; vi levererar underlag som passar in i kundens egen certifieringsresa.

Dataskydd

Behandlingen av personuppgifter sker i enlighet med dataskyddsförordningen (EU) 2016/679 (GDPR) och dataskyddslagen (2018:218).

  • Personuppgiftsbiträdesavtal (DPA) enligt artikel 28 GDPR tillhandahålls innan behandling påbörjas.
  • Underbiträdesförteckning med samtliga anlitade underbiträden, behandlingsändamål och lokalisering tillhandahålls på begäran och uppdateras vid förändringar.
  • Tekniska och organisatoriska säkerhetsåtgärder enligt artikel 32 GDPR dokumenteras och kan granskas.
  • Vid överföring till tredje land tillämpas standardavtalsklausuler (SCC) och kompletterande åtgärder enligt aktuell vägledning från EDPB.

Förankrat i svensk tillsyn

Vi följer det svenska genomförandet av EU AI Act löpande och anpassar vår praxis till det som föreslås i den nationella beredningen:

  • Post- och telestyrelsen (PTS) föreslås i SOU 2025:101 bli samordnande marknadskontrollmyndighet för AI Act i Sverige.
  • Integritetsskyddsmyndigheten (IMY) föreslås som behörig myndighet för flera högrisktillämpningar och för de användningar som omfattas av förbuden i artikel 5, särskilt där behandling av personuppgifter aktualiseras.
  • En nationell AI-sandlåda enligt artikel 57 AI Act planeras som stöd för innovation under tillsyn.

Dessa uppgifter återspeglar förslag i utredningsbetänkande och är ännu inte antagen lag. Vi uppdaterar våra leveranser när riksdagen fattar beslut och när tillsynsmyndigheterna publicerar bindande vägledning.

Regelstatus

Per dags dato gäller följande för bolag som tillhandahåller eller använder AI-system inom EU:

  • 2 augusti 2026 kvarstår som tillämpningsdatum för huvuddelen av AI Act, inklusive skyldigheter för leverantörer av högrisksystem enligt artikel 6.2 och bilaga III.
  • AI för rekrytering, urval, utvärdering och övervakning av anställda klassas som högrisk enligt bilaga III punkt 4 i AI Act. För HR-tech faller därmed centrala användningsfall under regelverkets högriskregim — och det är dessa skyldigheter som ett eventuellt uppskov skulle beröra.
  • En politisk överenskommelse — den s.k. Digital Omnibus, träffad 7 maj 2026 — skulle skjuta upp vissa högriskskyldigheter enligt bilaga III till 2 december 2027. Överenskommelsen är ännu inte formellt antagen av lagstiftaren. Tills den är antagen är 2 augusti 2026 alltjämt gällande lag.
  • Förbuden i artikel 5 är tillämpliga sedan 2 februari 2025. Bestämmelserna om allmänt användbara AI-modeller (GPAI) gäller från 2 augusti 2025 för nya modeller, med övergångsregler för modeller som släppts före det datumet.

Vi planerar leveranser efter gällande rätt — inte efter förhoppningar om uppskov. När och om Digital Omnibus antas justeras tidslinjer i samråd med kunden.


Önskar din DPO, CISO eller upphandlingsfunktion granska vår signeringsnyckel, vår underbiträdesförteckning eller ett exempel på källhänvisad leverans? Skriv till kontakt@powerquant.dk.