Artikel 27 — Konsekvensbedömning avseende grundläggande rättigheter för högrisksystem för artificiell intelligens (EU:s AI-förordning)

Artikel 27 i förordning (EU) 2024/1689 — Konsekvensbedömning avseende grundläggande rättigheter för högrisksystem för artificiell intelligens. Officiell text, praktisk tolkning, centrala skyldigheter och efterlevnadskonsekvenser.

Sammanfattning av den Officiella Texten

Artikel 27 i förordning (EU) 2024/1689 fastställer en skyldighet för vissa driftsättare av högrisksystem för artificiell intelligens att genomföra en konsekvensbedömning avseende grundläggande rättigheter (FRIA) innan sådana system tas i drift. Skyldigheten gäller driftsättare som är organ som regleras av offentlig rätt enligt definitionen i Direktiv 2014/24/EU, och driftsättare som är privata enheter som tillhandahåller tjänster av offentlig karaktär — specifikt inom områdena bankverksamhet, försäkring, hälso- och sjukvård, utbildning och yrkesutbildning, förvaltning av anställning och arbetstagare samt förvaltning av kritisk infrastruktur.

Bedömningen måste genomföras innan driftsättning och måste täcka följande element: en beskrivning av driftsättarens processer där högrisksystemet för artificiell intelligens kommer att användas och deras syfte; de kategorier av fysiska personer och grupper som sannolikt kommer att påverkas; de specifika riskerna för grundläggande rättigheter som kan uppstå till följd av användningen; de konkreta åtgärder som driftsättaren avser att genomföra för att minska dessa risker; en indikation på om klagomåls- eller rättsmedelsmekanismer finns; och, i tillämpliga fall, en beskrivning av påverkan på barn.

Driftsättare som omfattas av skyldigheten måste också anmäla till den relevanta marknadskontrollmyndigheten innan driftsättning av vissa kategorier av högrisksystem för artificiell intelligens som räknas upp i Bilaga III. Bedömningen måste bygga på information som leverantören tillhandahållit enligt Artikel 13 och måste dokumenteras och hållas tillgänglig för behöriga myndigheter.

Vad detta innebär i praktiken

För organisationer inom tillämpningsområdet kräver Artikel 27 en strukturerad, dokumenterad process innan något högrisksystem för artificiell intelligens tas i drift. Detta är inte en engångsformalitet — FRIA måste avspegla det faktiska driftsättningssambandet och ses över när detta sammanhang förändras väsentligt.

Ett offentligt sjukhus som driftsätter ett AI-stött diagnostik- eller triagesystem måste bedöma vilka patientgrupper som kan påverkas oproportionerligt, vilka rättigheter som är på spel (värdighet, icke-diskriminering, tillgång till hälso- och sjukvård) och vilka skyddsåtgärder som finns om systemet ger felaktiga rekommendationer. En lokal myndighet som använder ett AI-system för prövning av bidragsberättigande måste identifiera risker för rätten till socialt skydd och rättssäkerhet och dokumentera hur mänsklig tillsyn kommer att fungera i praktiken.

Privata enheter som tillhandahåller finansiella tjänster riktade mot allmänheten — såsom plattformar för kreditbedömning eller försäkringsteckning — omfattas av tillämpningsområdet om de kvalificerar som driftsättare av högrisksystem i Bilaga III. Ett fintechföretag som använder en AI-modell för att bedöma låneansökningar måste kartlägga de demografiska grupper som exponeras för algoritmiska beslut, bedöma risken för diskriminerande utfall och upprätta en dokumenterad rättsmedelsväg.

I praktiken bör driftsättare integrera FRIA i sina befintliga arbetsflöden för konsekvensbedömning avseende dataskydd (DPIA) enligt GDPR där det är relevant, eftersom Artikel 27(4) uttryckligen tillåter att de två bedömningarna genomförs gemensamt. Organisationer bör utse en ansvarig ägare för bedömningen, använda leverantörens tekniska dokumentation och bruksanvisningar som indata och skapa en versionshanterad dokumentation som kan uppvisas för tillsynsmyndigheter på begäran.

Centrala Skyldigheter

Genomföra en konsekvensbedömning avseende grundläggande rättigheter innan något högrisksystem för artificiell intelligens inom driftsättarens tillämpningsområde driftsätts, med täckning av avsedd användning, berörda personer, identifierade risker och planerade begränsningsåtgärder.
Dokumentera bedömningen skriftligen och bevara den för inspektion av behöriga myndigheter och marknadskontrollmyndigheter på begäran.
Anmäla till den relevanta marknadskontrollmyndigheten innan driftsättning där det krävs av den specifika kategorin av högrisksystem för artificiell intelligens som anges i Bilaga III.
Använda den information och de bruksanvisningar som AI-systemets leverantör har tillhandahållit enligt Artikel 13 som obligatoriska indata till bedömningen.
Uppdatera bedömningen när driftsättningskontexten förändras väsentligt, inklusive förändringar i kategorier av berörda personer, användningssyfte eller systemets riskprofil.
Där en konsekvensbedömning avseende dataskydd enligt Artikel 35 GDPR också krävs, får de två bedömningarna genomföras gemensamt för att minska den administrativa bördan, under förutsättning att alla element i bägge täcks.

Förhållande till Andra Artiklar

Artikel 27 finns i Kapitel 3 i Avdelning III, som fördelar skyldigheterna mellan leverantörer och driftsättare. Den bör läsas tillsammans med Artikel 26 (driftsättarnas skyldigheter i allmänhet), som fastställer driftsättarnas bredare skyldighet att använda högrisksystem i enlighet med leverantörens instruktioner och att genomföra mänsklig tillsyn. FRIA bygger direkt på den information som leverantören är skyldig att tillhandahålla enligt Artikel 13 (transparens och tillhandahållande av information till driftsättare) och Artikel 16(d) (leverantörens skyldighet att upprätta teknisk dokumentation).

Artikel 27(4) skapar en direkt procedurell koppling till GDPR: där en DPIA enligt Artikel 35 i förordning (EU) 2016/679 också krävs, får de två bedömningarna slås samman. Denna koppling är särskilt relevant för driftsättare som behandlar personuppgifter, vilket kommer att vara fallet i de flesta reglerade sammanhang som täcks av Bilaga III.

Artikel 27 anknyter också till Artikel 72 (marknadsövervakning) och Artikel 74 (tillgång till data), eftersom den färdigställda bedömningen måste vara tillgänglig för behöriga myndigheter som utövar tillsynsfunktioner.

Tidsplan för Efterlevnad

EU:s AI-förordning trädde i kraft den 1 augusti 2024 (tjugo dagar efter offentliggörandet i Europeiska unionens officiella tidning den 12 juli 2024). Dess bestämmelser tillämpas i faser:

2 februari 2025 — Förbud mot AI-metoder med oacceptabel risk (Artikel 5) blev tillämpliga.
2 augusti 2025 — Skyldigheter avseende AI-modeller för allmänt bruk (Avdelning VIII, Kapitel 2) och styrningsbestämmelser blev tillämpliga.
2 december 2026 — Skyldigheter för högrisksystem för artificiell intelligens som anges i Bilaga I (produktsäkerhetslagstiftning) blir tillämpliga.
2 augusti 2027 — Skyldigheter för högrisksystem för artificiell intelligens som anges i Bilaga III (fristående högrisksystem, inklusive de som mest sannolikt kommer att utlösa FRIA enligt Artikel 27 inom områden som anställning, utbildning, biometrisk identifiering och tillgång till offentliga tjänster) blir tillämpliga.

Artikel 27 faller inom ramen för driftsättarnas skyldigheter avseende högrisksystem och blir därför verkställbar den 2 augusti 2027 för system i Bilaga III och den 2 december 2026 för system i Bilaga I. Driftsättare bör inte vänta till dessa deadlines: att bygga upp FRIA-processer nu gör det möjligt för organisationer att identifiera och åtgärda risker för grundläggande rättigheter innan verkställighet inleds och att anpassa bedömningar till pågående GDPR DPIA-program.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-23 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Vem är skyldig att genomföra en konsekvensbedömning avseende grundläggande rättigheter enligt Artikel 27?

Artikel 27 gäller specifikt för driftsättare av högrisksystem för artificiell intelligens som är organ som regleras av offentlig rätt enligt definitionen i Direktiv 2014/24/EU, eller privata enheter som tillhandahåller tjänster av offentlig karaktär, såsom bank, försäkring, hälso- och sjukvård eller utbildning. Inte alla driftsättare omfattas — privata företag som uteslutande verkar i kommersiella sammanhang utan en dimension av offentlig tjänst faller i allmänhet utanför denna specifika skyldighets tillämpningsområde, även om de kvarstår bundna av andra driftsättarskyldigheter enligt AI-förordningen.

När måste konsekvensbedömningen avseende grundläggande rättigheter vara genomförd?

Bedömningen måste genomföras innan högrisksystemet för artificiell intelligens tas i drift. Det är en skyldighet som gäller före driftsättningen, vilket innebär att driftsättaren måste genomföra och dokumentera bedömningen innan systemet tas i bruk. Bedömningen bör uppdateras när det sker väsentliga förändringar i driftsättningskontexten eller i systemets användning.

Vad är skillnaden mellan FRIA enligt Artikel 27 och överensstämmelsebedömningen enligt Artikel 43?

Överensstämmelsebedömningen enligt Artikel 43 genomförs av eller på uppdrag av leverantören för att verifiera att AI-systemet uppfyller de tekniska kraven i Kapitel 2 innan det släpps ut på marknaden. FRIA enligt Artikel 27 genomförs av driftsättaren för att bedöma den konkreta påverkan på grundläggande rättigheter i det specifika driftsättningssambandet. De är kompletterande: överensstämmelsebedömningen hanterar systemets inneboende efterlevnad, medan FRIA hanterar den verkliga påverkan på enskilda i ett visst användningsfall.

Kräver Artikel 27 externa revisorer eller kan bedömningen genomföras internt?

Artikel 27 kräver inte uttryckligen extern revision. Bedömningen kan genomföras internt av driftsättaren. Driftsättare måste dock i vissa fall anmäla till den relevanta marknadskontrollmyndigheten innan driftsättning, och den dokumenterade bedömningen måste göras tillgänglig för behöriga myndigheter på begäran. Att involvera extern sakkunskap är bästa praxis, särskilt för komplexa eller känsliga driftsättningssammanhang.

Vilken information från leverantören måste en driftsättare använda när FRIA genomförs?

Driftsättare måste använda den information som leverantören har gjort tillgänglig enligt Artikel 13 (transparens och tillhandahållande av information) och bruksanvisningarna. Leverantörer är skyldiga att tillhandahålla tillräcklig information om systemets avsedda syfte, förmågor, begränsningar och risker för att göra det möjligt för driftsättare att genomföra en meningsfull bedömning av påverkan på grundläggande rättigheter.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.