EU AI Acts skyldigheter för AI inom offentlig förvaltning, brottsbekämpning, gränskontroll och rättsväsendet. Omfattar Annex III-kategorierna 5–8 samt obligatoriska konsekvensbedömningar avseende grundläggande rättigheter.
Offentlig sektor och AI Act — varför staten är den mest riskfyllda driftsättaren
EU AI Act (förordning (EU) 2024/1689) tillämpas horisontellt inom alla sektorer, men den tyngsta koncentrationen av obligatoriska skyldigheter faller på offentliga organ. Statliga myndigheter, brottsbekämpande myndigheter, rättsinstitutioner och gränsförvaltningsorgan är både de mest frekventa driftsättarna av AI med reella konsekvenser och de aktörer vars AI-användning skapar störst strukturell risk för grundläggande rättigheter. Förordningen återspeglar denna asymmetri på två strukturella sätt.
För det första adresserar fyra av Annex IIIs åtta högrisk-kategorier offentlig sektors AI direkt — kategorierna 5 till 8 täcker samhällsviktiga tjänster, brottsbekämpning, migration och gränskontroll samt rättskipning. Dessa kategorier är inte restpost-kategorier: de räknar upp specifika AI-tillämpningar som är vanliga i statlig verksamhet och som per definition bär klassificeringsrelaterad risk.
För det andra ålägger Art. 27 offentliga organ att genomföra en obligatorisk konsekvensbedömning avseende grundläggande rättigheter (FRIA) innan högrisk-AI-system driftsätts. För privata driftsättare rekommenderas FRIA starkt; för offentliga organ är det en rättslig skyldighet. Bedömningen måste undersöka AI-systemets påverkan på enskildas rättigheter enligt EU-stadgan om de grundläggande rättigheterna, inbegripet rätten till värdighet (Art. 1), skydd av personuppgifter (Art. 8), rätten till ett effektivt rättsmedel (Art. 47) och oskuldspresumtionen (Art. 48).
Efterlevnadslandskapet för offentliga organ kompliceras ytterligare av att AI Act-skyldigheterna läggs ovanpå befintliga sektorsspecifika regelverk: brottsbekämpningsdirektivet 2016/680, Schengensystemets informationssystemförordning, Frontexförordningen 2019/1896, den allmänna dataskyddsförordningen och de konstitutionella kraven i Europeiska konventionen om skydd för de mänskliga rättigheterna i Europadomstolens tolkning. Vart och ett av dessa regelverk skapar självständiga skyldigheter som måste uppfyllas parallellt med EU AI Acts krav.
Högrisk-AI-system — kategorierna 5 till 8
Annex III, kategori 5 — Samhällsviktiga tjänster och bedömning av förmåner
Annex III, punkt 5(b) klassificerar som högrisk varje AI-system som används för att bedöma fysiska personers rätt till samhällsviktiga offentliga förmåner och fatta beslut i det sammanhanget. Denna kategori omfattar hela spektrumet av välfärdsstatens AI:
- Automatiserad bedömning av rätten till arbetslöshetsersättning: AI-system som fastställer huruvida en sökande uppfyller behörighetskriterierna utifrån anställningsuppgifter, jobbsökaraktivitet eller behovsprövning.
- Beslut om bostadsbidrag och handikappersättning: Algoritmiska verktyg som poängsätter ansökningar om förtur till socialt boende, rätt till handikappersättning eller personlig assistansersättning.
- AI-system för att upptäcka bidragsbedrägerier: AI-profileringssystem som genererar riskvärden för misstänkta bidragsbedrägerier, vilket potentiellt kan utlösa utredningar eller betalningssuspension.
Punkt 5(b) omfattar också AI för kreditvärdighet och försäkring avseende fysiska personer, även om den primära exponeringen för offentlig sektor gäller behörighet till förmåner och tjänster. I samtliga fall gäller klassificeringen när AI-systemet har ett väsentligt inflytande på tillgången till en offentlig tjänst — oavsett om det slutgiltiga beslutet fattas av en mänsklig tjänsteperson.
Annex III, kategori 6 — Brottsbekämpning
Kategori 6 omfattar AI som används av brottsbekämpande myndigheter inom tre områden:
Riskbedömning och profilering: AI-system som bedömer sannolikheten för att en enskild ska begå brott, återfalla i brott eller utgöra ett säkerhetshot — inbegripet återfallsriskbedömningsverktyg som används vid häktningsförhandlingar, beslut om villkorlig frigivning och straffrekommendationer. Dessa system är högrisk enligt Annex III, punkt 6(a).
Identifiering och analys under utredningar: AI för att identifiera känslotillstånd, personlighetsdrag eller vilseledande beteende utifrån ansiktsuttryck, röst eller fysiologiska indikatorer i brottsutredningar. Art. 5(1)(f) förbjuder separat AI-system som drar slutsatser om enskildas känslor inom brottsbekämpning och gränskontroll utom för specifika säkerhetsändamål, och drar en fast yttre gräns kring detta användningsfall.
Identifiering av deepfakes och dokumentförfalskning: AI som används för att identifiera manipulerat digitalt innehåll eller bedöma äktheten hos handlingar i brottmål — klassificerat som högrisk enligt Annex III, punkt 6(c).
Annex III, kategori 7 — Migration, asyl och gränskontroll
Kategori 7 gäller AI som används inom migrations- och gränsförvaltning:
Riskbedömning vid gränser: AI-system som bedömer risken för irreguljär migration eller genererar hotvärdena för enskilda som passerar gränser — inbegripet SIS-integrerade profileringssystem och Frontex riskanalyssystem som verkar enligt förordning 2019/1896.
Verifiering av handlingar och identitet: AI-system som bedömer äktheten hos resehandlingar, viseringar, uppehållstillstånd eller identitetshandlingar för gränspassage eller invandringssyften.
Handläggning av asylansökningar: AI som granskar asylansökningar, bedömer trovärdigheten hos enskildas uppgifter eller profilerar sökande för påskyndade eller accelererade förfaranden.
Alla system i kategori 7 måste bedömas mot inte bara AI Act utan också 1951 års flyktingkonvention, EU-stadgans Art. 18 (rätt till asyl) och non-refoulement-principen i Europadomstolens tolkning — en konstitutionell begränsning som FRIA enligt Art. 27 måste hantera uttryckligen.
Annex III, kategori 8 — Rättskipning och demokratiska processer
Kategori 8 behandlar AI som används inom rättssystemet:
AI-stöd till domstolar: System som bistår vid rättsfallssökning, identifiering av tillämpliga rättsliga bestämmelser eller strukturering av rättslig argumentation för domare, åklagare eller domstolsadministration — högrisk enligt Annex III, punkt 8(a).
Prediktiva rättsverktyg: AI-system som förutsäger det sannolika utfallet av rättstvister, straffmätningsintervall eller rättsliga avgöranden utifrån historiska ärendedata. Dessa system väcker allvarliga frågor enligt Art. 47 i EU-stadgan om rätten till en rättvis rättegång, eftersom deras användning i rättsligt beslutsfattande strukturellt kan missgynna parter vars profiler avviker från historiska normer.
Kategori 8 förbjuder inte AI-assisterat rättsarbete; det underkastas högrisk-efterlevnadsregelverket och kräver att domstolar och justitieministerier säkerställer att AI:s utdata alltid underkastas substantiell mänsklig granskning — domaren eller beslutsfattaren måste kunna, och måste i praktiken, bortse från AI:s utdata när det inte är lämpligt.
Obligatoriska skyldigheter för offentliga organ som driftsättare
Offentliga organ som fungerar som driftsättare av högrisk-AI-system enligt AI Act har en definierad, icke-delegerbar uppsättning skyldigheter enligt Art. 26 och Art. 27.
Konsekvensbedömning avseende grundläggande rättigheter (Art. 27)
FRIA är den mest utmärkande skyldigheten för offentliga driftsättare. Den måste genomföras innan driftsättning och måste behandla: de specifika rättighetsrelevanta syftena med systemet; de kategorier av enskilda vars rättigheter kan beröras; de förutsebara riskerna för skada samt sannolikheten och allvarlighetsgraden för dessa risker; hur befintliga rättsliga skyddsåtgärder begränsar dessa risker; och de åtgärder som vidtas för att övervaka systemet efter driftsättning. Den färdigställda FRIA måste på begäran lämnas till den nationella AI-tillsynsmyndigheten och måste uppdateras när systemet ändras eller driftsätts i ett nytt sammanhang.
Mänsklig tillsyn och utsett ansvar
Art. 26(1) kräver att driftsättare tilldelar mänsklig tillsyn över högrisk-AI-system till fysiska personer med nödvändig kompetens, befogenhet och resurser att ingripa. Inom offentlig förvaltning innebär detta att varje automatiserad process som berör enskilda — vare sig det gäller behörighet till förmåner, gränsriskbedömning eller utdata från rättsligt AI-stöd — måste ha en identifierad tjänsteperson som kan överpröva systemets utdata och som inte är strukturellt incitamentiserad att följa det.
Insyn gentemot berörda enskilda
Art. 13 kräver att driftsättare säkerställer att enskilda som berörs av AI-assisterade beslut tydligt informeras om att ett AI-system används. Inom offentlig förvaltning innebär denna skyldighet typiskt sett att information om AI-användning infogas i beslutsbrev, administrativa meddelanden och förfaranden vid förhör. Art. 86 skyddar sekretessen för uppgifter som lämnas till tillsynsmyndigheter inom ramen för efterlevnadsövervakning och ger en möjlighet att lämna ut känslig intern dokumentation utan att den exponeras offentligt.
Loggning, dokumentation och rapportering av incidenter
Driftsättare måste bevara driftloggar av AI-systemets aktivitet under en minimitid — minst sex månader för de flesta högrisk-system, med förlängd bevaringstid där det rättsliga ramverk som styr den underliggande administrativa processen kräver det. Allvarliga incidenter — incidenter som resulterar i dödsfall, allvarlig kroppsskada, betydande egendomsskada eller kränkningar av grundläggande rättigheter — måste utan onödigt dröjsmål rapporteras till den behöriga nationella AI-tillsynsmyndigheten.
Förbjudna metoder inom offentlig förvaltning
Vissa AI-metoder är absolut förbjudna enligt Art. 5 i EU AI Act. För offentliga myndigheter är tre förbud av direkt operationell relevans.
Art. 5(1)(c) — Social poängsättning av offentliga myndigheter: AI-system som utvärderar eller klassificerar enskilda utifrån deras sociala beteende eller personlighetsdrag för att generera ett värde som används för att fastställa tillgång till offentliga tjänster, förmåner eller rättslig behandling är förbjudna. Detta förbud riktar sig specifikt till offentliga myndigheter och träffar så kallade mekanismer för social kreditvärdering oavsett hur de benämns eller är uppbyggda.
Art. 5(1)(d) — Realtidsbaserad biometrisk fjärridentifiering i offentliga utrymmen: Användning av realtids-AI-drivna biometriska fjärridentifieringssystem (ansiktsigenkänning, rörelsemönsteranalys eller andra biometriska verktyg) i allmänt tillgängliga utrymmen av brottsbekämpande myndigheter är förbjuden, med förbehåll för tre snäva undantag: riktad sökning efter försvunna barn; förebyggande av specifika, överhängande terroristhot; och identifiering av misstänkta i allvarliga brott där förhandsgodkännande från domstol eller oberoende administrativ myndighet har inhämtats. Dessa undantag är uttömmande; inget allmänt övervakningsprogram kvalificerar.
Art. 5(1)(e) — Subliminal och manipulativ teknik: AI-system som tillämpar tekniker som verkar under tröskeln för medvetet medvetande för att manipulera enskildas beteende, eller som utnyttjar sårbarheter hos specifika grupper, är förbjudna för alla driftsättare inklusive offentliga myndigheter.
Tillsyn — tillsynsmyndigheter och tillsynsmekanismer
AI Acts tillsynsarkitektur inom offentlig sektor inbegriper flera lager av behöriga myndigheter.
Nationella AI-tillsynsmyndigheter som utsetts enligt Art. 70 är de primära tillsynsorganen för förordningen i varje medlemsstat. I de flesta jurisdiktioner är dessa integrerade med eller nära anpassade till befintliga dataskyddsmyndigheter, eller kommer att bli det. De har befogenhet att genomföra revisioner, begära teknisk dokumentation och FRIA-resultat, utfärda korrigerande förelägganden och påföra administrativa böter.
Böter för offentliga organ är föremål för medlemsstaternas skönsmässiga bedömning enligt Art. 99(6): medlemsstaterna får föreskriva att offentliga myndigheter inte är föremål för ekonomiska påföljder, men måste säkerställa att alternativa tillsyns- och korrigeringsmekanismer — inbegripet obligatoriska revisioner, offentliggörande av efterlevnadsbrist och suspension av AI-systemanvändning — finns tillgängliga. Denna skönsmässiga bedömning sträcker sig inte till att tillåta bristande efterlevnad; den rör enbart mekanismen för ekonomiska påföljder.
Dataskyddsmyndigheter och EDPB behåller parallell behörighet över personuppgiftsbehandlingsdimensionerna av offentlig sektors AI enligt GDPR och LED. Bristande efterlevnad av GDPR- eller LED-skyldigheter i samband med AI-systemdrift är föremål för dataskyddsmyndigheternas tillsyn oberoende av AI Act-tillsynsmyndigheten.
Europadomstolen för de mänskliga rättigheterna utgör en extern konstitutionell begränsning: beslut som fattats på grundval av algoritmiska processer — särskilt inom straffrätt och invandring — måste uppfylla konventionens krav enligt Art. 6 (rättvis rättegång) och Art. 8 (privatliv) i Europadomstolens föränderliga rättspraxis om automatiserat beslutsfattande.
Implementeringsplan för statliga myndigheter
Fas 1 — AI-systeminventering och klassificering (månad 1–3)
Offentliga organ måste först upprätta en heltäckande inventering av alla AI-system som för närvarande används eller är under upphandling. Varje system måste bedömas mot Annex III-kategorierna 5–8 och förbudsbestämmelserna i Art. 5. System som inbegriper personuppgiftsbehandling bör samtidigt bedömas mot GDPR- och LED-kraven. Resultatet av denna fas är en klassificerad inventering — förbjuden, högrisk, begränsad risk eller minimal risk — som driver efterlevnadsprogrammet.
Fas 2 — Konsekvensbedömningar avseende grundläggande rättigheter (månad 3–6)
För varje identifierat högrisk-system måste offentliga organ beställa och slutföra en FRIA enligt Art. 27. Detta kräver rättslig, teknisk och policyrelaterad insats: rättslig analys av de berörda rättigheterna; teknisk dokumentation av systemets drift, träningsdata och kända fellägen; samt en policybedömning av tillgängliga begränsningsåtgärder. FRIA-rapporter måste dokumenteras och vara redo att lämnas in till tillsynsmyndigheter.
Fas 3 — Leverantörsverifiering och upphandlingsreform (månad 3–9)
Offentliga upphandlingsprocesser måste uppdateras för att kräva att AI-leverantörer styrker efterlevnad av EU AI Act som villkor för kontraktstilldelning. Driftsättare måste verifiera CE-märkning, försäkran om överensstämmelse, teknisk dokumentation och åtaganden om marknadsövervakning innan driftsättning. Offentliga organ som agerar som gemensamma operatörer eller medutvecklare med teknikinleverantörer måste kontraktsrättsligt klargöra ansvarsfördelningen för skyldigheter avseende bedömning av överensstämmelse.
Fas 4 — Operativa skyddsåtgärder och personalutbildning (månad 6–12)
Utsedda tjänstepersoner med ansvar för mänsklig tillsyn måste identifieras för varje högrisk-AI-system, utbildas i systemets möjligheter och begränsningar och förses med rutiner för överprövning. Insynsmeddelanden till berörda enskilda måste utformas och inbäddas i befintliga administrativa förfaranden. Loggningsinfrastruktur måste verifieras eller upprättas. Protokoll för incidentrapportering måste integreras med befintliga administrativa processer och processer för hantering av dataskyddsincidenter.
Fas 5 — Löpande övervakning och årlig genomgång
Högrisk-AI-systemers efterlevnad är inte en engångscertifiering. Skyldigheter avseende marknadsövervakning kräver att offentliga organ aktivt följer systemets prestanda, dokumenterar eventuella förändringar i precision, bias eller beteende och uppdaterar FRIA när väsentliga förändringar inträffar. Årlig rapportering till tillsynsmyndigheten, där så krävs enligt nationell rätt, måste stödjas av den dokumentation som genereras genom övervakningsprogrammet.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Ja. AI-system som används för att fastställa rätten till offentliga förmåner och tjänster — däribland arbetslöshetsersättning, bostadsbidrag, handikappersättning och socialbidrag — är uttryckligen klassificerade som högrisk enligt **Annex III, punkt 5(b)** i EU AI Act. Offentliga organ som driftsätter sådana system måste uppfylla samtliga skyldigheter som åvilar högriskdriftsättare enligt **Art. 26** och måste genomföra en **obligatorisk konsekvensbedömning avseende grundläggande rättigheter (FRIA)** enligt **Art. 27** innan driftsättning. Enskilda som berörs av automatiserade behörighetsbeslut har rätt till förklaring och mänsklig granskning.
Offentliga organ som driftsätter högrisk-AI-system måste: verifiera att systemet bär CE-märkning och åtföljs av en EU-försäkran om överensstämmelse; genomföra en obligatorisk **konsekvensbedömning avseende grundläggande rättigheter (FRIA)** enligt **Art. 27**, som vid behov ska lämnas in till den behöriga nationella AI-tillsynsmyndigheten; tillämpa leverantörens användningsinstruktioner och utse kvalificerad personal med ansvar för mänsklig tillsyn enligt **Art. 26(1)**; bevara driftloggar i minst sex månader; informera enskilda om att ett AI-system används vid beslut som berör dem, i enlighet med **Art. 13**; samt registrera driftsättningen i **EU:s databas för högrisk-AI (EUAI DB)** där så är tillämpligt enligt **Art. 49(2)**.
Prediktiv polisiär AI — system som genererar riskbedömningar eller profileringsvärden för enskilda utifrån tidigare beteende, sociala egenskaper eller geografiska data — är klassificerad som högrisk enligt **Annex III, punkt 6(a)**. Användningen är inte direkt förbjuden, men utlöser det fullständiga högrisk-efterlevnadsregelverket, inklusive obligatorisk bedömning av överensstämmelse, FRIA enligt **Art. 27**, skyldigheter avseende mänsklig tillsyn och teknisk dokumentation. Separat förbjuder **Art. 5(1)(c)** AI-baserad social poängsättning av offentliga myndigheter för allmänna syften som saknar koppling till brottsbekämpning. Dessutom förbjuder **Art. 5(1)(d)** realtidsbaserad biometrisk fjärridentifiering i allmänt tillgängliga utrymmen för brottsbekämpningsändamål, med undantag för tre snävt definierade situationer som kräver förhandsgodkännande från domstol eller oberoende administrativ myndighet.
Nej, men det är hårt reglerat. AI-system som används för att söka fakta, tolka tillämplig rätt eller förutsäga rättsliga utfall är klassificerade som högrisk enligt **Annex III, punkt 8**. De får endast driftsättas av domstolar och rättsmyndigheter om de genomgår bedömning av överensstämmelse, åtföljs av fullständig teknisk dokumentation, innefattar robusta mekanismer för mänsklig tillsyn och omfattas av en FRIA enligt **Art. 27**. AI-system får inte självständigt utfärda domar; varje utdata måste underkastas meningsfull rättslig granskning. **EU-stadgan om de grundläggande rättigheterna Art. 47** (rätten till en rättvis rättegång) och Europadomstolens rättspraxis ställer ytterligare konstitutionella krav på algoritmisk rättskipning.
Brottsbekämpningsdirektivet (LED) 2016/680 reglerar behöriga myndigheters behandling av personuppgifter för ändamål som rör förebyggande, utredning, avslöjande eller lagföring av brott. Det tillämpas parallellt med — och ersätts inte av — EU AI Act. När brottsbekämpande organ driftsätter högrisk-AI-system som innefattar personuppgiftsbehandling (profilering, riskbedömning, biometrisk analys) är båda regelverken tillämpliga samtidigt. LED kräver en rättslig grund och ändamålsbegränsning för uppgiftsbehandling; AI Act ålägger ytterligare skyldigheter avseende AI-systemet som sådant — datastyrning, teknisk dokumentation, marknadsövervakning och insyn för berörda enskilda. Efterlevnad av LED uppfyller inte AI Act-skyldigheterna, och vice versa. Driftsättare måste upprätthålla en rättslig analys som styrker dubbel efterlevnad.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.