90 % av organisationer som använder AI är driftsättare som integrerar modeller från tredje part — OpenAI, Anthropic, Azure AI eller AI SaaS-verktyg. Förstå dina skyldigheter: vad tillhandahållaren måste ge dig, vad du måste göra och när du själv blir tillhandahållare.
Verkligheten med AI från tredje part: De flesta organisationer är driftsättare
Majoriteten av europeiska organisationer som använder AI är varken OpenAI, Mistral eller ett forskningslaboratorium. De integrerar befintliga modeller — via ett API, en SaaS-plattform, en Azure AI-komponent eller ett affärsverktygsplugin. Salesforce Einstein, Copilot för Microsoft 365, en HR-chatbot driven av en stor språkmodell, en kreditbedömningslösning köpt från en specialistleverantör: i alla dessa fall är du en driftsättare av ett AI-system byggt av någon annan.
Denna position intas av det stora flertalet organisationer som påverkas av EU:s AI-förordning. Den bär precisa skyldigheter — olika från tillhandahållarens, men icke-försumbara. Den kan också förändras: om du modifierar systemet eller säljer det vidare, förändras din rättsliga status.
Att förstå din position i AI-värdekedjan är det första steget i varje efterlevnadsarbete.
Dina skyldigheter som driftsättare
Driftsättarskyldigheter skiljer sig beroende på risknivån hos det AI-system du använder.
För högrisk-AI-system (Bilaga III)
Om du driftsätter ett AI-system från tredje part som kvalificerar som högrisk (kreditvärdighetsbedömning, biometrisk identifiering, rekryteringsscreening, förvaltning av kritisk infrastruktur etc.) är dina skyldigheter enligt Art. 26:
1. Följ bruksanvisningarna Använd systemet enbart för dess avsedda ändamål och i enlighet med de anvisningar tillhandahållaren är skyldig att tillhandahålla. Att använda ett högrisk-AI-system utanför dess validerade tillämpningsområde är ett efterlevnadsfel även om du bara är driftsättare.
2. Tilldela mänsklig tillsyn Utse en fysisk person med kompetens, befogenhet och resurser för att utföra meningsfull mänsklig tillsyn över AI-systemets utdata. Denna person måste kunna förstå vad systemet gör, detektera avvikelser och åsidosätta eller stoppa systemet vid behov.
3. Säkerställ indatakvalitet Säkerställ att data du matar in i systemet är relevant, tillräckligt representativ och lämplig för det avsedda syftet i din specifika driftsättningskontext. Ett system validerat på en population kan prestera annorlunda på din — det är din risk att hantera.
4. Övervaka drift och detektera avvikelser Övervaka aktivt systemets drift för avvikelser, oväntade utdata eller prestandaförsämring. Detta är inte tillhandahållarens ansvar under driftsättning — det är ditt.
5. Bevara loggar Aktivera och bevara de automatiska loggar som systemet producerar under den period som förordningen kräver (och eventuell sektorsreglering som kan gälla). Stäng inte av loggning för att spara lagringsutrymme.
6. Rapportera allvarliga incidenter Om du känner till en allvarlig incident eller ett fel — ett som orsakat eller kan orsaka dödsfall, allvarlig skada, grundrättsöverträdelser eller betydande egendomsskada — meddela tillhandahållaren utan onödigt dröjsmål. I vissa fall (särskilt där driftsättningen involverar offentliga tjänster eller aktiviteter angränsande till brottsbekämpning) kan direkt rapportering till den nationella marknadskontrollmyndigheten också krävas.
7. Konsekvensbedömning avseende grundläggande rättigheter (offentliga organ) Om du är ett offentligt organ, eller en privat entitet som driftsätter AI-system i områden som sannolikt påverkar grundläggande rättigheter (hälso- och sjukvård, sociala tjänster, utbildning, brottsbekämpning), måste du genomföra en konsekvensbedömning avseende grundläggande rättigheter innan driftsättning (Art. 27).
För enbart transparens-AI-system (Art. 50)
Om du driftsätter en chatbot, ett AI-genererat innehållssystem eller ett system för känsloigenkänning som inte är högrisk men faller under Art. 50 transparensskyldigheter, måste du:
- Informera användare om att de interagerar med ett AI-system (Art. 50(1))
- Säkerställa att AI-genererat innehåll är tekniskt märkt (Art. 50(4)) där tillämpligt
- Informera exponerade personer när känsloigenkänning eller biometrisk kategorisering används (Art. 50(2)–(3))
Dessa skyldigheter gäller även vid användning av ett API eller SaaS-verktyg från tredje part. Tillhandahållaren ansvarar för att bygga in den tekniska kapaciteten; du ansvarar för att aktivera den och säkerställa att avslöjandet faktiskt når användarna.
För minimal-risk-AI-system
Inga specifika rättsliga skyldigheter enligt AI-förordningen. Frivilliga uppförandekoder gäller. God styrningspraxis rekommenderar ändå grundläggande dokumentation av AI-system i bruk och periodisk granskning av deras prestanda.
Vad du ska kräva av din AI-leverantör från tredje part
Din förmåga att uppfylla driftsättarskyldigheter är direkt beroende av vad tillhandahållaren ger dig. EU:s AI-förordning kräver att tillhandahållare av högrisk-AI-system tillhandahåller specifik information — och GPAI-modelltillhandahållare har parallella dokumentationsskyldigheter. Använd denna checklista vid anskaffning av AI från tredje part:
För alla AI-system
- Systembeskrivning: Vad gör systemet, vilka indata tar det, vilka utdata producerar det och vilka beslut kan det påverka?
- Avsett ändamål: Exakt för vilka användningsfall har systemet designats, validerats och godkänts?
- Kända begränsningar: Under vilka betingelser presterar systemet dåligt? Vilka populationer, språk eller datatyper är utanför dess validerade tillämpningsområde?
- Bruksanvisningar: Den fullständiga uppsättningen anvisningar tillhandahållaren är skyldig att tillhandahålla enligt Art. 13 för högrisksystem
Specifikt för högrisksystem
- Försäkran om överensstämmelse eller sammanfattning av resultat från bedömning av överensstämmelse
- Riskhanteringsdokumentation — vilka risker identifierades och hur minskades de?
- Bias- och rättvisetestningsresultat — vilka skyddade egenskaper testades, vilka mätvärden användes och vilka resultat uppnåddes?
- Prestandamätvärden — noggrannhet, falsk positiv/negativ frekvens och uppdelad prestanda per relevanta demografiska grupper
- Loggningskapacitet — bekräftelse att systemet genererar de loggar som krävs av Art. 12 och anvisningar för åtkomst och bevarande av dem
- Förfarande för incidentmeddelande — vem man kontaktar, inom vilken tidsram och via vilken kanal när en allvarlig incident inträffar
- Uppdateringspolicy — hur meddelar tillhandahållaren dig om materiella uppdateringar och vilken ny validering krävs efter uppdateringar?
För GPAI-modeller (API-åtkomst och tillgång till grundmodeller)
- Modellkort eller teknisk sammanfattning — kapaciteter, begränsningar, sammanfattning av träningsdata, utvärderingsresultat
- Upphovsrättsefterlevnadsuttalande — hur hanterar tillhandahållaren upphovsrättslagstiftning för träningsdata och utdata?
- Policy för acceptabel användning — vilka användningsfall är förbjudna av tillhandahållaren och vad händer om du bryter mot dem?
- Databehandlingsvillkor — hur hanterar tillhandahållaren dina indata? Används de för ytterligare träning?
När du blir tillhandahållare
EU:s AI-förordnings Art. 25 är avgörande för tredjepartsanvändare av AI: den definierar när en driftsättare övergår till att bli tillhandahållare och antar alla tillhandahållarskyldigheter.
Du blir tillhandahållare när du:
1. Väsentligt modifierar ett högrisk-AI-system
Om du tar ett högrisk-AI-system och gör väsentliga ändringar som går utöver vad tillhandahållaren avsåg — ändrar modellen, omtränar på dina data, förändrar kärnlogik — är du nu tillhandahållare av ett nytt eller väsentligt modifierat system. Alla tillhandahållarskyldigheter gäller: bedömning av överensstämmelse, teknisk dokumentation, CE-märkning, registrering i EU:s databas.
Nyckelfråga: Är din anpassning "användning inom avsedda parametrar" eller "utveckling av ny kapacitet"? Finjustering av en modell på dina domändata kan vara eller inte vara en väsentlig modifiering beroende på graden av förändring och om den påverkar riskprofilen.
2. Ändra det avsedda syftet till högrisk
Om du tar ett system som inte klassificeras som högrisk och driftsätter det för ett högrisk-användningsfall — använder en generell textklassificerare för att fatta anställningsbeslut, till exempel — har du ändrat det avsedda syftet på ett sätt som utlöser högriskklassificering. Du blir tillhandahållare av ett högrisk-AI-system och måste uppfylla alla tillhandahållarskyldigheter för den driftsättningen.
3. Placera systemet på marknaden under eget namn
Om du köper eller licensierar ett AI-system och säljer det vidare eller erbjuder det till andra som din egen produkt (white-labelling), placerar du det på marknaden under eget namn och blir tillhandahållare. Detta är vanligt inom SaaS-sektorn: integrering av en tredjepartsmodell i ditt eget produkterbjudande gör dig till tillhandahållare för den produkten.
4. Göra stora ändringar av en GPAI-modell
Om du tar en GPAI-modell och gör stora modifieringar av dess kapaciteter eller användningsfall — utöver finjustering inom tillhandahållarens avsedda parametrar — kan du bli tillhandahållare av en ny GPAI-modell med dina egna kapitel V-skyldigheter.
Avtalsmässiga skydd för driftsättare
Eftersom din efterlevnad beror på vad tillhandahållaren ger dig, är dina avtal med AI-leverantörer från tredje part ett kritiskt efterlevnadsverktyg. Viktiga klausuler att inkludera:
Informationsrättigheter
- Rätt att ta emot och regelbundet uppdaterad version av bruksanvisningarna
- Rätt till tillgång till försäkran om överensstämmelse och sammanfattning av bedömning av överensstämmelse
- Rätt att ta emot biasbestningsresultat och prestandamätvärden
- Rätt att ta emot dokumentation om materiella modelluppdateringar innan driftsättning
Incidenthantering
- Skyldighet för tillhandahållaren att meddela dig om allvarliga incidenter eller sårbarheter de känner till, inom en definierad tidsram
- Tydlig kanal och process för dig att rapportera incidenter till tillhandahållaren
- Åtagande från tillhandahållaren att samarbeta med dina incidentutredningar och regulatoriska förfrågningar
Revisionsrättigheter
- Rätt att revidera eller ta emot revisionsrapporter om tillhandahållarens efterlevnad av AI-förordningens skyldigheter
- Rätt att begära uppdaterad dokumentation vid väsentliga ändringar
Uppdateringsskyldigheter
- Tillhandahållaren måste meddela dig innan materiella uppdateringar av AI-systemet driftsätts
- Tillhandahållaren måste råda om en uppdatering utgör en väsentlig modifiering som kräver ny validering
- Kontinuitet av dokumentation — uppdaterad teknisk dokumentation måste tillhandahållas med varje materiell uppdatering
Ansvarsfördelning
- Klarhet om vilken part ansvarar för vilka skyldigheter enligt Art. 25
- Skadeersättning för förluster som uppstår från tillhandahållarens bristande efterlevnad av leverantörsskyldigheter
- Ansvarsbegränsningsbestämmelser som inte underminerar din förmåga att uppfylla regulatoriska skyldigheter
AI-leverantörsmarknaden: Vad att bevaka
Marknaden för AI-verktyg och -tjänster utvecklas snabbt, och AI-leverantörers efterlevnadsposition vad gäller EU:s AI-förordning varierar avsevärt:
- Stora moln- och AI-leverantörer (Microsoft, Google, AWS, OpenAI, Anthropic) har investerat kraftigt i AI-styrning och GPAI-efterlevnadsdokumentation. Deras användarvillkor och modellkort tillhandahåller mer information än de flesta andra leverantörer.
- Specialisterade vertikala AI-leverantörer (HR-teknik, juridisk teknik, fintech, healthtech) befinner sig vid varierande stadier av EU AI-förordningsberedskap. Många är SME som ännu inte fullt ut kartlagt sina skyldigheter.
- Inbäddad AI i SaaS-verktyg (AI-funktioner i CRM, ERP, produktivitetsverktyg) kanske inte marknadsförs som "AI-produkter" — men om de fattar eller påverkar konsekventiella beslut om individer gäller EU:s AI-förordnings skyldigheter.
Upphandlingsteam bör lägga till AI-förordningsefterlevnadsscreening i leverantörs-due-diligence — be leverantörer att intyga sin efterlevnadsstatus, tillhandahålla konformitetsdokumentation för högrisksystem och åta sig löpande informationsdelning allteftersom det regulatoriska landskapet utvecklas.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Ja, som driftsättare. API-leverantören (OpenAI, Anthropic) är tillhandahållaren av GPAI-modellen och bär GPAI-skyldigheterna. Om du bygger en tillämpning på deras API och gör den tillgänglig för användare, blir du tillhandahållaren av den tillämpningen (ett AI-system). Du har driftsättarskyldigheter mot den underliggande GPAI-modellen och tillhandahållarskyldigheter för ditt eget AI-system.
För högrisk-AI-system: leverantören (som tillhandahållare) måste tillhandahålla bruksanvisningar (Art. 13) och en sammanfattning av bedömningen av överensstämmelse eller försäkran om överensstämmelse. För GPAI-modeller: tillhandahållare måste tillhandahålla teknisk dokumentation och information nödvändig för nedströms efterlevnad. Begär avtalsmässigt: systembeskrivning, kända begränsningar, biasbestningsresultat, prestandamätvärden och förfaranden för incidentrapportering.
Avtalsmässigt kan du fördela ansvar mellan parter — men regulatoriskt ansvar kan inte avtalas bort. Om du driftsätter ett högrisk-AI-system har du driftsättarskyldigheter oavsett ditt avtal. Använd avtal för att säkerställa att tillhandahållaren ger dig vad du behöver för att uppfylla dina skyldigheter, inte för att fly dem.
EU:s AI-förordning gäller för AI-system placerade på den europeiska marknaden oavsett var tillhandahållaren är etablerad. Icke-EU-tillhandahållare måste utse en behörig representant inom EU (Art. 22) som har samma rättsliga skyldigheter som en EU-etablerad tillhandahållare. Verifiera att leverantören har en behörig representant innan du driftsätter deras AI-system.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.