Vad innebär AI Act och hur använder ni lagen klokt

Den 2 augusti 2025 trädde nästa fas av EU:s AI Act i kraft. Det innebär att nya regler nu gäller för så kallad general-purpose AI (GPAI), alltså AI-modeller som kan användas för många olika syften. Här hittar vi till exempel de stora språkmodellerna som ligger bakom tjänster som ChatGPT, Claude och Gemini, eller bild- och videomodeller som används i allt från kundservice till beslutsstöd och medicinsk analys.

Vill ni ta första steget?Här finns föreläsningar, workshops och konkreta verktyg.

AI Act är världens första heltäckande lagstiftning för AI. Den klassificerar AI-system efter risknivå, ställer krav på datakvalitet, öppenhet och ansvar, och omfattar både de som utvecklar och de som använder AI.

  • För leverantörer av GPAI gäller från och med 2 augusti 2025 krav på transparens, dokumentation och ansvar. Äldre modeller som redan fanns på marknaden har en övergångstid till 2027 för att fullt ut uppfylla reglerna, men vissa transparenskrav, som märkning av AI-genererat innehåll, gäller redan från 2025.

  • För organisationer som använder AI blir kraven särskilt skarpa från augusti 2026 när reglerna för högrisk-AI börjar gälla (t.ex. AI i rekrytering, hälsa, utbildning, kreditprövning och myndighetsutövning). Men redan nu behöver ni kunna visa hur AI används, bedöma risker och ställa krav på era leverantörer.

Att den här typen av teknik omfattas av regler kring transparens och dokumentation (för högrisk-AI även mänsklig kontroll) innebär en viktig förändring, inte bara för techbolagen som utvecklar modellerna, utan för alla som använder AI i sitt dagliga arbete. Det gäller oavsett om ni är ett företag, en kommun, en region, ett fackförbund eller en myndighet.

Vad innebär det för er?

Det innebär att ni som organisation behöver börja kartlägga var och hur AI används, särskilt när det handlar om GPAI-modeller som kan påverka brett. Ni behöver kunna bedöma och dokumentera risker, skapa riktlinjer som gör det möjligt för medarbetare att agera klokt, och se till att det finns tydlig ansvarsfördelning. Det innebär också att ni måste kunna förklara era AI-användningar för kunder, invånare, medlemmar och vid en eventuell granskning.

Det här är särskilt viktigt i en tid där olika länder väljer olika vägar. I EU har vi en bindande lagstiftning och en frivillig kod för GPAI-leverantörer som gäller i väntan på full tillsyn från EU:s AI Office. Google, Microsoft och OpenAI har valt att skriva under, medan Meta avstår med hänvisning till juridisk osäkerhet och rädsla för att hämma innovation. I USA bygger regleringen främst på frivillighet och marknadsstyrning, medan Kina prioriterar kontroll och censur framför transparens. I den verkligheten behöver ni veta varifrån tekniken ni använder kommer och vilket ansvar ni själva bär.

Sammanfattningsvis behöver ni:

  • Kartlägga er användning av AI, särskilt GPAI-baserade tjänster

  • Bedöma och dokumentera risker

  • Förklara hur AI-systemen används, både internt och externt

  • Tydliggöra ansvar i organisationen

  • Ställa krav på leverantörer

Hur använder man AI Act klokt?

Det handlar inte om att kunna alla paragrafer utan om att omsätta lagen i styrning, kultur och ansvar. Det första steget är att kartlägga risker och användningsområden. Därefter handlar det om att se över hur ansvar är fördelat i organisationen, om det finns riktlinjer som fungerar i vardagen, och om ni har förmåga att agera när något går fel.

Förtroende byggs genom tydlighet. AI Act kan, rätt använd, hjälpa er att ta kontroll, skapa struktur och visa att ni tar både teknik och människor på allvar.

  • Kartlägg risker: Vad använder ni AI till? Vad påverkar den? Vem är ansvarig?

  • Bygg in ansvar i roller: Vem äger besluten i styrelsen? I ledningen? I vardagen?

  • Skapa riktlinjer och stöd: Policy i all ära men riktlinjer måste vara begripliga, användbara och levande.

  • Förklara era val: Transparens bygger förtroende både för medarbetare, kunder och tillsyn.

Fakta: Vad är GPAI? (General-Purpose AI)

GPAI står för General-Purpose Artificial Intelligence – alltså AI-modeller som kan användas för flera olika syften. Det är en av de viktigaste delarna i AI Act 2025, eftersom det är just dessa modeller som nu börjar regleras.

Exempel på GPAI är:
– språkmodeller som ChatGPT, Claude, Gemini
– bild- och videomodeller som DALL·E, Midjourney
– AI-system som kan användas för allt från textgenerering och översättning till analys, beslutsstöd och automatisering

Det som skiljer GPAI från annan AI är att modellerna inte är bundna till ett specifikt ändamål – och därför kan dyka upp i oväntade delar av en verksamhet.

Vad innebär det enligt AI Act?
Från och med 2 augusti 2025 omfattas GPAI av nya krav:

  • ni måste kunna dokumentera hur de används

  • ni ska ha en plan för riskhantering

  • ni behöver tydliggöra vem som är ansvarig

  • och ni måste kunna förklara systemens funktion, internt och externt

Det gäller även om ni har köpt in ett system där GPAI ingår som en del, till exempel i ett rekryteringsverktyg, ett intranät eller en analysplattform.

Internationell utblick:
AI-reglering i tre olika spår

Reglering av AI skiljer sig stort mellan EU, USA och Kina. Här är en snabb överblick över tre olika synsätt och varför det spelar roll för er strategi.

EU – Gemensamma regler och ansvar

  • AI Act är en bindande lag som gäller inom hela EU från 2025

  • GPAI-koden (frivillig men vägledande) har fokus på transparens, säkerhet och ansvar

  • Google, Microsoft och OpenAI har undertecknat koden

  • Meta har valt att stå utanför med hänvisning till juridisk osäkerhet och risk för hämmande innovation

USA – Innovation först, frivilliga ramar

  • Inget gemensamt federalt lagkrav ännu, men flera initiativ på gång

  • Executive Order on Safe, Secure, and Trustworthy AI kräver ökad rapportering kring kraftfulla modeller

  • Reglering bygger främst på frivilliga riktlinjer och marknadsdrivna incitament

Kina – Kontroll framför transparens

  • Skärpta regler för datainsamling, innehåll och AI-användning

  • Stark statlig kontroll med fokus på säkerhet, censur och teknisk övervakning

  • Mindre fokus på individuell eller organisatorisk transparens

Dessa skillnader gör det ännu viktigare att ni vet vilken AI-teknik ni använder, varifrån den kommer och vilket regelverk ni i praktiken omfattas av.

Stödmaterial: Frågor i styrelserummet

När AI blir en del av verksamheten förändras också styrelsens ansvar. Det handlar inte om att vara teknisk expert utan om att förstå risk, styrning, förtroende och etik.

Jag har samlat en konkret frågelista som hjälper er att börja prata om rätt saker och ställa de frågor som verkligen spelar roll.

Exempel på frågor:
– Vet vi var AI används i vår organisation och varför?
– Vem har mandat att godkänna eller stoppa en AI-lösning?
– Har vi rutiner om något går fel?
– Hur påverkar våra AI-val människor, internt och externt?

Här hittar du hela frågelistan, indelad i fem teman:
👉 Frågor att hantera i styrelsen

Fler "bra-att-ha-dokument" hittar du här:

Vill ni börja i liten skala? Ett kort samtal eller en workshop kan vara ett klokt första steg.

Fyll i formuläret så hör jag av mig.
Namn E-post Meddelande Jag accepterar reglerna och villkoren och integritetspolicyn Skicka in