Vad innebär AI Act och hur använder ni lagen klokt

Den 2 augusti 2025 trädde nästa fas av EU:s AI Act i kraft. Det innebär att nya regler nu gäller för så kallad general-purpose AI alltså de AI-modeller som kan användas för många olika syften. Här hittar vi till exempel de stora språkmodellerna som ligger bakom tjänster som ChatGPT, Claude och Gemini, eller bild- och videomodeller som används i allt från kundservice till beslutsstöd och medicinsk analys.

Vill ni ta första steget? Här finns föreläsningar, workshops och konkreta verktyg.

AI Act är världens första heltäckande lagstiftning för AI. Den klassificerar AI-system efter risknivå, ställer krav på datakvalitet, öppenhet och ansvar, och omfattar både de som utvecklar och de som använder AI. Det betyder att ni omfattas även om ni har köpt in AI-lösningar och även om tekniken är inbäddad i ett externt system.

Att den här typen av teknik nu omfattas av regler kring transparens, dokumentation och mänsklig kontroll innebär en viktig förändring inte bara för techbolagen som utvecklar modellerna, utan för alla som använder AI i sitt dagliga arbete. Det gäller oavsett om ni är ett företag, en kommun, en region, ett fackförbund eller en myndighet.

För att uppfylla lagen behöver ni kunna visa hur ni använder AI, vilka risker som finns och vem som bär ansvaret. Det handlar inte bara om efterlevnad utan om att förstå konsekvenserna av beslutsstöd som påverkar människor. Här räcker det inte längre att överlåta frågan till IT-avdelningen eller enskilda leverantörer. AI Act är en styrningsfråga. Och det är i styrelse- och ledningsarbete som ansvaret behöver börja.

Vad innebär det för er?

Det innebär att ni som organisation behöver kartlägga var och hur AI används, särskilt när det handlar om GPAI-modeller med bred påverkan. Ni behöver kunna bedöma och dokumentera risker, skapa riktlinjer som gör det möjligt för medarbetare att agera klokt, och se till att det finns tydlig ansvarsfördelning. Det innebär också att ni måste kunna förklara era AI-användningar för era kunder, invånare, medlemmar och vid en eventuell granskning.

Det här är särskilt viktigt i en tid där olika länder väljer olika vägar. I EU har vi en bindande lagstiftning och en ny frivillig kod för GPAI-leverantörer. Google, Microsoft och OpenAI har valt att skriva under medan Meta avstår med hänvisning till juridisk osäkerhet och rädsla för att hämma innovation. I USA bygger regleringen främst på frivillighet och marknadsstyrning, medan Kina prioriterar kontroll och censur framför transparens. I den verkligheten behöver ni veta varifrån tekniken ni använder kommer och vilket ansvar ni själva bär.

Sammanfattningsvis behöver ni:

  • Kartlägga er användning av GPAI

  • Bedöma och dokumentera risker

  • Förklara hur AI-systemen används, både internt och externt

  • Tydliggöra ansvar i organisationen

  • Ställa krav på leverantörer

Hur använder man AI Act klokt?

Det handlar inte om att kunna alla paragrafer utan om att omsätta lagen i styrning, kultur och ansvar. Det första steget är att kartlägga risker och användningsområden. Därefter handlar det om att se över hur ansvar är fördelat i organisationen, om det finns riktlinjer som fungerar i vardagen, och om ni har förmåga att agera när något går fel.

Förtroende byggs genom tydlighet. AI Act kan, rätt använd, hjälpa er att ta kontroll, skapa struktur och visa att ni tar både teknik och människor på allvar.

  1. Kartlägg risker: Vad använder ni AI till? Vad påverkar den? Vem är ansvarig?

  2. Bygg in ansvar i roller: Vem äger besluten i styrelsen? I ledningen? I vardagen?

  3. Skapa riktlinjer och stöd: Policy i all ära men riktlinjer måste vara begripliga, användbara och levande.

  4. Förklara era val: Transparens bygger förtroende både för medarbetare, kunder och tillsyn.

Fakta: Vad är GPAI? (General-Purpose AI)

GPAI står för General-Purpose Artificial Intelligence – alltså AI-modeller som kan användas för flera olika syften. Det är en av de viktigaste delarna i AI Act 2025, eftersom det är just dessa modeller som nu börjar regleras.

Exempel på GPAI är:
– språkmodeller som ChatGPT, Claude, Gemini
– bild- och videomodeller som DALL·E, Midjourney
– AI-system som kan användas för allt från textgenerering och översättning till analys, beslutsstöd och automatisering

Det som skiljer GPAI från annan AI är att modellerna inte är bundna till ett specifikt ändamål – och därför kan dyka upp i oväntade delar av en verksamhet.

Vad innebär det enligt AI Act?
Från och med 2 augusti 2025 omfattas GPAI av nya krav:

  • ni måste kunna dokumentera hur de används

  • ni ska ha en plan för riskhantering

  • ni behöver tydliggöra vem som är ansvarig

  • och ni måste kunna förklara systemens funktion, internt och externt

Det gäller även om ni har köpt in ett system där GPAI ingår som en del, till exempel i ett rekryteringsverktyg, ett intranät eller en analysplattform.

Internationell utblick:
AI-reglering i tre olika spår

Reglering av AI skiljer sig stort mellan EU, USA och Kina. Här är en snabb överblick över tre olika synsätt och varför det spelar roll för er strategi.

EU – Gemensamma regler och ansvar

  • AI Act är en bindande lag som gäller inom hela EU från 2025

  • GPAI-koden (frivillig men vägledande) har fokus på transparens, säkerhet och ansvar

  • Google, Microsoft och OpenAI har undertecknat koden

  • Meta har valt att stå utanför med hänvisning till innovation och juridisk osäkerhet

USA – Innovation först, frivilliga ramar

  • Inget gemensamt lagkrav, men flera initiativ på gång

  • Executive Order on Safe AI kräver ökad rapportering kring kraftfulla modeller

  • Reglering bygger främst på frivilliga riktlinjer och konkurrensdrivna incitament

Kina – Kontroll framför transparens

  • Skärpta regler för datainsamling, innehåll och AI-användning

  • Stark statlig kontroll med fokus på säkerhet, censur och teknisk övervakning

  • Mindre fokus på individuell eller organisatorisk transparens

Dessa skillnader gör det ännu viktigare att ni vet vilken AI-teknik ni använder, varifrån den kommer och vilket regelverk ni i praktiken omfattas av.

Stödmaterial: Frågor i styrelserummet

När AI blir en del av verksamheten förändras också styrelsens ansvar. Det handlar inte om att vara teknisk expert utan om att förstå risk, styrning, förtroende och etik.

Jag har samlat en konkret frågelista som hjälper er att börja prata om rätt saker och ställa de frågor som verkligen spelar roll.

Exempel på frågor:
– Vet vi var AI används i vår organisation och varför?
– Vem har mandat att godkänna eller stoppa en AI-lösning?
– Har vi rutiner om något går fel?
– Hur påverkar våra AI-val människor, internt och externt?

Här hittar du hela frågelistan, indelad i fem teman:
👉 Frågor att hantera i styrelsen

Vill ni börja i liten skala? Ett kort samtal eller en workshop kan vara ett klokt första steg.

Fyll i formuläret så hör jag av mig.
Namn E-post Meddelande Jag accepterar reglerna och villkoren och integritetspolicyn Skicka in