Utbildning & EdTech — EU AI Act-efterlevnad

EU AI Act-skyldigheter för AI inom utbildning: antagning, automatiserad betygssättning, övervakning av tentamina och lärplattformar. Täcker Annex III kategori 3 och särskilt skydd för studenter.

Utbildningssektorn och EU AI Act — Varför studenters rättigheter är centrala

EU AI Act (förordning (EU) 2024/1689) identifierar utbildning och yrkesutbildning som ett område med förhöjd risk och klassificerar specifika AI-applikationer inom detta område som högrisk enligt Annex III, kategori 3. Denna klassificering återspeglar ett grundläggande ställningstagande av den europeiska lagstiftaren: AI-system som formar tillgången till utbildningsmöjligheter eller avgör akademiska utfall berör rättigheter av djupgående individuell betydelse — rätten till utbildning (Art. 14, EU:s stadga om de grundläggande rättigheterna), rätten till icke-diskriminering (Art. 21) och, för den stora andel studenter som är minderåriga, det förstärkta skyddet i GDPR Art. 8 och internationella ramverk inklusive FN:s konvention om barnets rättigheter (UNCRC).

Utbildningssektorn uppvisar en särskild efterlevnadsprofil. De flesta utbildningsinstitutioner — universitet, skolor och yrkesutbildningsorganisationer — intar rollen som driftsättare enligt EU AI Act: de upphandlar och driver AI-system byggda av EdTech-leverantörer snarare än att utveckla AI internt. Denna distinktion minskar inte deras skyldigheter. Driftsättare av högrisk-AI enligt Art. 26 bär självständiga rättsliga skyldigheter som inte kan fullgöras enbart genom att köpa en CE-märkt produkt. Samtidigt är EdTech-företag som utvecklar och tillhandahåller AI-system på EU-marknaden leverantörer som omfattas av det fullständiga regelverket för konformitetsbedömning enligt kapitel III, avsnitt 2.

Sektorn kännetecknas också av en betydande koncentration av känsliga personuppgifter. Studenters beteendedata, bedömningsunderlag, engagemangsmönster, inlärningssvårigheter och demografiska profiler behandlas i stor skala av adaptiva lärplattformar och analytikverktyg. Denna datakoncentration innebär att efterlevnad av EU AI Act inom utbildning inte kan utformas isolerat från GDPR — de två regelverken måste hanteras som en integrerad efterlevnadsskyldighet.

Högrisk-AI inom utbildning — Antagning, betygssättning och tentamensövervakning

Annex III, kategori 3 definierar två distinkta kategorier av högrisk-AI inom utbildning. Förståelsen av varje kategoris räckvidd är avgörande för klassificeringsbeslut.

Antagnings-AI — Bestämmande av tillträde till utbildningsinstitutioner

Annex III, kategori 3(a) omfattar AI-system som är avsedda att användas för bestämmande av tillträde till eller placering vid utbildnings- och yrkesutbildningsinstitutioner eller program. Denna kategori fångar upp AI som poängsätter, rangordnar eller filtrerar sökande i universitetsantagningsprocesser, AI som bedömer tidigare kvalifikationer eller erkännande av yrkesmeriter samt AI som avgör behörighet till specifika akademiska inriktningar eller specialiserade program.

Högriskklassificeringen gäller när AI-systemets utdata har en väsentlig effekt på en sökandes tillgång till en utbildningsmöjlighet. Denna tröskel uppnås av de flesta operativt driftsatta antagnings-AI-system: en poängsättningsmodell vars utdata granskas och ageras på av antagningshandläggare utan systematisk omprövning av den underliggande bedömningen avgör effektivt utfallen även om ett formellt mänskligt godkännande sker för varje beslut. Leverantörer av sådana system måste efterleva Arts. 9–15 (datastyrning, teknisk dokumentation, loggning, transparens, mänsklig tillsyn, noggrannhet och robusthet). Driftsättande institutioner måste kontrollera efterlevnaden och genomföra Art. 26:s driftsättarskyldigheter innan systemet används i något antagningsförfarande.

Risken för snedvridning är särskilt stor i antagnings-AI. System tränade på historiska antagnings- och akademiska framgångsdata kan kodifiera befintliga ojämlikheter — könsgap inom vissa discipliner, socioekonomiska skillnader i akademisk förberedelse, skild prestanda mellan inhemska och internationella sökande. Art. 10 kräver att träningsdata omfattas av styrningsrutiner som hanterar kända snedvridningar, och Art. 9 föreskriver riskhanteringsåtgärder kalibrerade efter potentiell skadas allvarlighetsgrad, vilket i detta sammanhang innefattar nekad utbildningsmöjlighet för kvalificerade sökande från missgynnade grupper.

Automatiserad bedömnings-AI — Betygssättning och tilldelning av akademisk bana

Annex III, kategori 3(b) omfattar AI-system som utvärderar och bedömer studenter, inklusive AI-automatiserade betygssättningsverktyg och system som tilldelar studenter till differentierade akademiska spår, där dessa system har en väsentlig effekt på deras utbildningsbanor. Ett automatiserat betygssättningsverktyg för essäer som producerar slutbetyg som avgör om en student godkänns eller underkänns på en kurs, erhåller en kvalifikation eller beviljas progression till nästa akademiska nivå är högrisk. På samma sätt har AI som placerar studenter i kompletterande, ordinarie eller avancerade spår baserat på prestationsdata en väsentlig effekt på utbildningsbanor och faller inom denna kategori.

Gränsen för formativa bedömningsverktyg — verktyg som uteslutande används för att ge studenter återkoppling där en mänsklig lärare behåller full och faktisk kontroll över alla betygda utfall — är snävare. Sådana verktyg kan falla utanför kategori 3(b), men denna klassificering måste dokumenteras och motiveras, och institutioner måste säkerställa att den mänskliga tillsynen är genuint substantiell snarare än en formell stämpel på AI-genererade resultat.

AI för distansövervakning av tentamina

System för distansövervakning av tentamina som övervakar studenters beteende under prov via videoanalys, ögonrörelsespårning, webbläsarlåsning, tangentbordsloggning eller detektion av beteendeavvikelser utgör en av de rättsligt mest komplexa AI-applikationerna inom utbildning. När sådana system flaggar eller diskvalificerar studenter baserat på sin automatiserade analys — eller när deras utdata används av mänskliga granskare på sätt som i väsentlig utsträckning avgör utfallen — utgör de högrisk-AI enligt Annex III, kategori 3 som AI som utvärderar studenter och har väsentliga effekter på deras akademiska banor.

Övervaknings-AI aktualiserar även förbudet i Art. 5(1)(d) mot realtidsbaserad biometrisk fjärridentifiering i allmänt tillgängliga utrymmen. När övervakningssystem använder ansiktsigenkänning för att kontinuerligt verifiera studenters identitet under ett prov i realtid utgör detta förbjuden biometrisk identifiering, om inte ett mycket snävt lagstiftningsbaserat undantag för en medlemsstat enligt Art. 5(2)–(6) är tillämpligt. Institutioner som driftsätter övervaknings-AI måste noga skilja mellan identitetsverifiering vid provtillfällets start (potentiellt laglig när regelkonform) och kontinuerlig realtids-biometrisk övervakning under hela tentamenssessionen (som omfattas av förbudet i Art. 5).

Leverantör kontra driftsättare — EdTech-företag och utbildningsinstitutioner

EU AI Act fördelar skyldigheter asymmetriskt mellan leverantörer och driftsättare. Förståelsen av denna fördelning är grundläggande för efterlevnadsplanering för såväl EdTech-leverantörer som de institutioner som använder deras produkter.

EdTech-leverantörers skyldigheter

EdTech-företag som utvecklar och tillhandahåller högrisk-AI-system på EU-marknaden är leverantörer enligt Art. 3(3) och måste efterleva de fullständiga högrisk-AI-kraven i kapitel III, avsnitt 2:

Art. 9 — Upprätta och upprätthålla ett riskhanteringssystem för AI-systemets hela livscykel
Art. 10 — Genomföra datastyrning för tränings-, validerings- och testdataset, med hantering av snedvridning, representativitet och statistiska begränsningar
Art. 11 och Annex IV — Upprätthålla fullständig teknisk dokumentation som styrker överensstämmelse
Art. 12 — Säkerställa automatisk loggning av systemets drift som möjliggör efterhandsgranskning av AI-beslut
Art. 13 — Tillhandahålla transparensinformation som gör det möjligt för driftsättare att förstå systemets kapacitet och begränsningar
Art. 14 — Utforma systemet så att driftsättare kan utöva effektiv mänsklig tillsyn
Art. 15 — Uppnå lämplig noggrannhet, robusthet och cybersäkerhet för det avsedda utbildningssammanhanget
Art. 49 — Registrera systemet i EU:s AI-databas före eller vid marknadstillhandahållandet

Leverantörer måste också förse driftsättande institutioner med bruksanvisningar som är tillräckligt specifika för att möjliggöra för institutionerna att uppfylla sina egna driftsättarskyldigheter — inklusive information om de studentpopulationsundergrupper för vilka systemet har testats, kända prestandabegränsningar, resultat av tester för snedvridning och förfaranden för logghantering.

Institutionella driftsättares skyldigheter

Universitet, skolor och yrkesutbildningsorganisationer som driftsätter högrisk-EdTech-AI enligt Art. 26 måste:

Kontrollera att AI-systemet bär CE-märkning och att en EU-försäkran om överensstämmelse finns tillgänglig
Genomföra leverantörens bruksanvisningar i sin helhet
Säkerställa att kvalificerad personal tilldelas ansvar för mänsklig tillsyn, med tillräcklig teknisk kompetens och praktisk befogenhet att ingripa i AI-genererade utdata
Bevara driftsloggar under en minimiperiod och göra dem tillgängliga för nationella tillsynsmyndigheter på begäran
Rapportera allvarliga incidenter eller funktionsfel till leverantören och, i relevanta fall, till nationella AI-tillsynsmyndigheter
Genomföra eller beställa en konsekvensbedömning avseende grundläggande rättigheter (FRIA) enligt Art. 27 innan driftsättning av AI-bedömnings- eller antagningssystem
Inte modifiera högrisk-AI-system på sätt som förändrar deras avsedda ändamål utan att en ny bedömning av leverantören utlöses

Samspel med GDPR, barns rättigheter och nationell utbildningslagstiftning

GDPR och behandling av studentdata

AI inom utbildning behandlar data som är i sig känslig. Läranalysplattformar, adaptiva handledningssystem och beteendeövervakningsverktyg behandlar data som kan inkludera akademiska prestationsrekord, engagemangsstatistik, beteendesignaler och kommunikation — allt kopplat till identifierbara studenter.

När studenter är minderåriga begränsar GDPR Art. 8 behandling av personuppgifter baserat på samtycke: medlemsstaterna har fastställt åldersgränsen under vilken föräldrars eller vårdnadshavares samtycke krävs till mellan 13 och 16 år. EdTech-plattformar som förlitar sig på studenters samtycke som rättslig grund för behandling måste åldersklassificera sina system och implementera mekanismer för att verifiera och dokumentera föräldrasamtycke när sådant krävs. Institutioner som agerar som personuppgiftsansvariga enligt GDPR måste säkerställa att deras avtal med EdTech-leverantörer innehåller lämpliga personuppgiftsbiträdesavtal enligt GDPR Art. 28 och att studentdata inte överförs utanför EES utan tillräckliga skyddsåtgärder.

Behandling av särskilda kategorier av personuppgifter — vilket kan uppstå när bedömningar av inlärningssvårigheter, psykisk hälsoscreening eller demografisk profilering är involverad — kräver en uttrycklig rättslig grund enligt GDPR Art. 9(2) och vanligtvis en konsekvensbedömning avseende dataskydd enligt Art. 35.

Art. 50 — Transparens för AI-handledningschatbottar

Art. 50 i EU AI Act ålägger AI-system som är utformade för att direkt interagera med fysiska personer en specifik transparensskyldighet. AI-drivna handledningschatbottar, virtuella lärandeassistenter och AI-genererade återkopplingsverktyg som driftsätts i utbildningsmiljöer måste tydligt för studenter vid varje interaktions inledning upplysa om sin AI-natur. När studentpubliken inkluderar minderåriga måste upplysningen anpassas för att vara åldersanpassad och genuint begriplig. Institutioner som driftsätter AI-handledningsverktyg måste kontrollera att leverantörens implementering uppfyller denna skyldighet och får inte konfigurera systemet på sätt som undertrycker eller döljer AI-upplysningen.

Nationell utbildningslagstiftning

Nationell utbildningslagstiftning i EU:s medlemsstater kan ålägga ytterligare skyldigheter vid AI-användning i akademiska miljöer — t.ex. krav avseende tentamensintegritet, datalagring för akademiska register och processrättslig rättvisa vid antagningsöverklaganden. Efterlevnadsprogram för utbildningsinstitutioner måste kartlägga skyldigheter enligt EU AI Act och GDPR mot tillämplig nationell rätt, inklusive sektorspecifik ministeriel vägledning utfärdad av nationella utbildningsministerier. När AI-system producerar utdata som används i formellt reglerade processer (statliga prov, ackrediterade kvalifikationer) kräver gränssnittet mellan AI Act-skyldigheter och nationell tentamenslagstiftning specifik rättslig analys.

Tillsyn — Dataskyddsmyndigheter och utbildningsmyndigheter

Tillsynen inom utbildningssektorn innefattar en skiktad struktur av behöriga myndigheter. Nationella AI-tillsynsmyndigheter (utsedda enligt Art. 70) har primär jurisdiktion över efterlevnad av EU AI Act, inklusive konformitetsbedömning, marknadskontroll och sanktioner. För utbildningsinstitutioner kan denna myndighet vara en allmän AI-tillsynsmyndighet eller, i vissa medlemsstater, ett utsett sektoriellt organ.

Dataskyddsmyndigheter (DPA:er) spelar en betydande självständig tillsynsroll. Med hänsyn till volymen och känsligheten hos studentdata som behandlas av AI inom utbildning utövar dataskyddsmyndigheter aktivt tillsyn över AI-driftsättningar i skolor och på universitet. GDPR-överträdelser relaterade till AI inom utbildning — otillåten behandling av barns uppgifter, otillräckliga personuppgiftsbiträdesavtal med EdTech-leverantörer, underlåtenhet att genomföra krävda konsekvensbedömningar avseende dataskydd — kan medföra DPA-böter på upp till 20 miljoner euro eller 4 % av den globala årsomsättningen enligt GDPR Art. 83. Dataskyddsmyndigheternas tillsynsåtgärder har historiskt sett föregått formell AI Act-tillsyn inom reglerade sektorer, och AI inom utbildningssektorn bör planeras med DPA-granskning som en nära förestående risk.

Universitets styrorgan och nationella ackrediteringsmyndigheter kan ålägga institutionella konsekvenser — inklusive anseendemässiga sanktioner, suspension av automatiserade processer och krav på oberoende revisioner — om AI-användning vid antagning eller bedömning har befunnits ha producerat orättvisa eller diskriminerande utfall. Institutionell akademisk styrning, inklusive studenters överklagandeprocesser, måste utformas för att rymma invändningar mot AI-påverkade beslut.

Efterlevnadsfärdplan för utbildningsinstitutioner och EdTech-leverantörer

För EdTech-leverantörer

Klassificera varje produkt mot Annex III, kategori 3 — dokumentera klassificeringsgrunden med specifik hänvisning till systemets avsedda ändamål och effektens väsentlighet på utbildningsutfall.
Genomför det fullständiga regelverket för konformitetsbedömning av högrisk-AI enligt Arts. 9–15 för alla produkter klassificerade som högrisk, inklusive tester av snedvridning för demografiska undergrupper som är representativa för EU:s studentpopulation.
Registrera högrisk-system i EU:s AI-databas (Art. 49) innan marknadstillhandahållandet.
Förbered fullständig dokumentation riktad till driftsättare: bruksanvisningar, konformitetsdokumentation, resultat av tester avseende snedvridning och noggrannhet, vägledning för logghantering.
Genomför Art. 50-transparens i alla AI-system som direkt interagerar med studenter.
Granska personuppgiftsbiträdesavtal för att säkerställa GDPR Art. 28-efterlevnad, inklusive mekanismer för föräldrasamtycke när sådant krävs enligt Art. 8.

För utbildningsinstitutioner

Granska alla AI-system i bruk — antagning, betygssättning, tentamensövervakning, analytik, handledning — och klassificera mot Annex III, kategori 3.
Begär och granska konformitetsdokumentation från alla EdTech-leverantörer för system som klassificeras eller potentiellt kan klassificeras som högrisk.
Genomför konsekvensbedömningar avseende grundläggande rättigheter enligt Art. 27 innan driftsättning eller fortsatt driftsättning av AI-antagnings- eller bedömningssystem.
Tilldela namngiven tillsynsansvarig för varje högrisk-AI-system till kvalificerad personal med faktisk teknisk kompetens och institutionell befogenhet.
Granska överklagandeprocesser för antagning och bedömning för att säkerställa att de rymmer invändningar mot AI-påverkade beslut och tillhandahåller meningsfull mänsklig prövning.
Granska GDPR-efterlevnaden för all studentdata som behandlas av EdTech-plattformar — bekräfta att personuppgiftsbiträdesavtal, rättsliga grunder och mekanismer för föräldrasamtycke finns på plats.
Verifiera konfigurationer av övervaknings-AI för tentamina för efterlevnad med förbudet i Art. 5 mot realtidsbaserad biometrisk identifiering — om någon konfiguration innefattar kontinuerlig ansiktsigenkänning under tentamenssessioner, inhämta skyndsamt juridisk rådgivning innan nästa tentamensperiod.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-20 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Är vår universitetsantagnings-AI högrisk enligt EU AI Act?

Ja, i praktiskt taget alla operativt relevanta konfigurationer. AI-system som poängsätter, rangordnar eller filtrerar sökande för att avgöra tillträde till utbildnings- eller yrkesutbildningsinstitutioner faller tydligt inom Annex III, kategori 3(a). Denna klassificering gäller oavsett om AI-systemet fattar det slutliga antagningsbeslutet eller enbart genererar ett poängvärde som antagningshandläggare använder som underlag — om systemets utdata har en väsentlig effekt på om en sökande antas tillämpas högriskklassificeringen. Universitet måste säkerställa att systemet bär CE-märkning, är registrerat i EU:s AI-databas och att driftsättarens skyldigheter enligt Art. 26 är fullt genomförda innan systemet används i något antagningsförfarande.

Måste AI-programvara för essäbedömning registreras i EU:s AI-databas?

Det beror på om programvaran utvärderar läranderesultat med en väsentlig effekt på studenters studiebana. Enligt Annex III, kategori 3(b), är AI-system som bedömer eller utvärderar studenter och som har väsentliga konsekvenser för deras akademiska framsteg — t.ex. avgör om en student godkänns på en kurs, erhåller en kvalifikation eller avancerar till nästa akademisk nivå — högrisk och måste registreras. Automatiserade betygssättningsverktyg som används som ett slutligt eller i huvudsak avgörande steg vid betygsättning är högrisk. Verktyg som uteslutande används för formativ återkoppling, där en mänsklig lärare behåller full kontroll över det slutliga betyget, uppvisar en lägre riskprofil och kan sakna förutsättningar att kvalificeras, men detta måste dokumenteras och motiveras.

Får skolor använda ansiktsigenkänning för närvaro eller tentamensövervakning?

Nej — inte enligt de allmänna bestämmelserna i EU AI Act. Art. 5(1)(d) förbjuder realtidsbaserad biometrisk fjärridentifiering i allmänt tillgängliga utrymmen, och utbildningsinstitutioner såsom skolor och universitet kvalificerar som allmänt tillgängliga utrymmen för detta ändamål. Förbudet omfattar ansiktsigenkänning som används för att identifiera individer i realtid. Snäva undantag kan tillåtas enbart om en medlemsstat har antagit lagstiftning som uttryckligen tillåter sådan användning och strikt inom de villkor som anges i Art. 5(2)–(6). I praktiken är tröskeln för dessa undantag hög, och de flesta utbildningsinstitutioneers användning av ansiktsigenkänning för närvaro eller tentamensövervakning skulle vara förbjuden enligt Art. 5. Uppskjuten biometrisk kategorisering vid tentamensövervakning kan falla under högriskbestämmelserna snarare än under förbudet i Art. 5, men omfattas ändå av det fullständiga regelverket för konformitetsbedömning.

Vad måste EdTech-företag tillhandahålla till universitet som driftsätter deras AI?

EdTech-leverantörer som tillhandahåller högrisk-AI-system på marknaden måste förse driftsättande institutioner med: en upprättad EU-försäkran om överensstämmelse och CE-märkningsdokumentation; detaljerade bruksanvisningar som täcker systemets avsedda ändamål, prestandabegränsningar och villkor under vilka mänsklig tillsyn krävs; information om egenskaperna hos träningsdata och kända snedvridningar, särskilt avseende demografiska grupper relevanta för studentpopulationen; teknisk dokumentation som styrker överensstämmelse med Arts. 9–15; samt systemets förmåga att generera, bevara och exportera driftsloggar enligt kraven i Art. 12. Universitet, som driftsättare enligt Art. 26, måste kontrollera att denna dokumentation är tillgänglig och tillräcklig innan något högrisk-AI-system driftsätts.

Hur bör universitet genomföra en konsekvensbedömning avseende grundläggande rättigheter för AI?

Art. 27 i EU AI Act rekommenderar att offentliga organ och driftsättare av högrisk-AI-system inom känsliga områden genomför en konsekvensbedömning avseende grundläggande rättigheter (FRIA) innan driftsättning. För universitet bör FRIA identifiera: vilka grundläggande rättigheter som kan påverkas (icke-diskriminering enligt Art. 21 EU-stadgan, rätten till utbildning enligt Art. 14, dataskydd enligt Art. 8); de studentgrupper som riskerar att drabbas negativt, inklusive minoritetsgrupper, studenter med funktionsnedsättning och internationella studenter; de specifika algoritmiska mekanismer som kan introducera eller förstärka ojämlikhet; begränsningsåtgärder såsom granskningar av algoritmisk snedvridning, krav på diversifierade träningsdata ställda på leverantören och förfaranden för mänskligt ingripande; samt en övervakningsplan med regelbundna noggrannhetsgranskningar uppdelade efter studentdemografi. FRIA bör dokumenteras och uppdateras när AI-systemet förändras väsentligt eller när övervakning avslöjar oväntade utfall.

Har AI-handledningschatbottar transparensskyldigheter enligt EU AI Act?

Ja. Art. 50 i EU AI Act kräver att AI-system som är utformade för att interagera med fysiska personer — inklusive AI-handledningschatbottar och virtuella lärandeassistenter — på ett tydligt, aktuellt och effektivt sätt informerar användarna om att de interagerar med ett AI-system. Denna skyldighet gäller såväl EdTech-leverantören som utformar chatbotten som den utbildningsinstitution som driftsätter den. När studenter är minderåriga överlappar denna transparensskyldighet med GDPR Art. 8:s krav på åldersanpassad kommunikation. Upplysningen måste lämnas före eller vid interaktionens start och måste vara lättbegriplig för den avsedda målgruppen, inklusive studenter som kan ha begränsad kännedom om AI-system.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.