Hoppa till innehåll
CompliantHQ
Blogg

AI Act för en svensk SMB — vad gäller egentligen?

Publicerad 21 mars 2026

TL;DR

  • AI Act trädde i kraft 1 augusti 2024 och rullar ut etappvis fram till 2027. De flesta praktiska bestämmelserna börjar gälla 2 augusti 2026.
  • Förordningen klassificerar AI-system efter risk: förbjudna, högrisk, transparens-krav, eller minimal risk.
  • För de flesta SMB:er som använder AI (ChatGPT, copilots, scan-verktyg) gäller huvudsakligen transparens-krav — och ofta inget mer.
  • Ni behöver bara göra ett verkligt arbete om ni utvecklar AI eller använder den i högrisk-tillämpningar (rekrytering, kredit, hälsa, utbildningsbetyg, biometri).

Vem styr — och vem som är ute efter er

EU:s AI-förordning (Reglering 2024/1689, "AI Act") är direkt gällande lag i alla medlemsstater. Tillsynsmyndigheterna i Sverige är fortfarande under utformning men kommer sannolikt fördelas mellan IMY (för dataaspekter) och en ny AI-myndighet eller befintlig sektorsmyndighet (för applikationsaspekter).

Skarpt: AI Act är inte ett "vänd-och-vänta-policys"-direktiv som DSA. Den har konkreta krav som börjar gälla på olika datum, och bötesnivåerna är höga (upp till 35 MEUR eller 7 % av global omsättning för förbjudna AI-system).

Vad räknas som "AI-system" enligt AI Act

Definitionen är medvetet bred — i praktiken vad som helst som gör autonoma slutledningar baserat på indata. Det inkluderar:

  • ChatGPT, Claude, Gemini och liknande generativa modeller
  • Bildigenkänning (också i mobiler, säkerhetskameror)
  • Beslutsstöd inom personalrekrytering, kreditbedömning, försäkring
  • Rekommendationsmotorer (om du säljer dem som tjänst)
  • Automatiska översättningar, sammanfattningar
  • Scan-verktyg som vårt CompliantHQ — vi använder AI för att syntetisera åtgärdsplaner

Klassiska regelbaserade system (om-detta-då-det) räknas INTE som AI under förordningens mening. Inte heller statistiska modeller utan slutledning.

Risk-klassificeringen — vart hamnar er användning?

AI Act delar upp AI-system i fyra nivåer:

1. Förbjudet (Art. 5) — gäller från 2 februari 2025

Helt förbjudna oavsett storlek:

  • Sociala poäng-system (à la Kina)
  • Realtidsbiometri i offentliga utrymmen (med få undantag)
  • Manipulativa system som exploaterar barns sårbarhet
  • Känsloigenkänning på arbetsplatsen eller i skolan
  • Biometrisk klassificering baserad på politiska/religiösa åsikter

För svensk SMB: Ni gör nästan säkert inget av detta.

2. Högrisk (Art. 6) — gäller från 2 augusti 2027

Listade i Annex III. Bland annat:

  • AI för rekrytering, urval, prestationsbedömning
  • Kreditbedömning för konsumenter
  • Sjukvårdsdiagnostik
  • Utbildning — automatisk betygssättning, antagningssystem
  • Brottsbekämpning, gränskontroll, migrations-screening
  • Kritisk infrastruktur (elnät, vattenförsörjning)

För svensk SMB: Om ni använder AI i rekryteringsprocessen (t.ex. CV-screening, automatiska bedömningar av jobbansökningar) faller ni under högrisk-kategori. Då måste ni: dokumentera systemet, säkerställa mänsklig översikt, registrera er, riskhantera, mfl tunga krav.

3. Transparens-krav (Art. 50) — gäller från 2 augusti 2026

Mycket lägre tröskel:

  • Chattbotar måste informera användaren att de pratar med AI
  • AI-genererat innehåll (text, bild, video) måste märkas som sådant när det är relevant för läsaren
  • Deepfakes måste deklareras

För svensk SMB: Om ni använder AI för kundsupport måste det framgå att det inte är en människa. Om ni publicerar AI-genererat innehåll på er blogg eller marknadsföring bör det framgå om sammanhanget gör det väsentligt (en helt AI-genererad "kundberättelse" måste märkas).

4. Minimal risk — alltid OK

Allt annat. Spamfilter, rekommendationer, scan-verktyg utan högrisk-beslut. Här hamnar de flesta verktyg ni använder dagligen.

Vad ni faktiskt behöver göra

Realistisk genomgång för en svensk SMB:

Steg 1 — Inventera er AI-användning. Lista varje AI-verktyg ert företag använder. ChatGPT i marknadsavdelningen räknas. Copilot i utvecklingsteamet räknas. Ert CRM:s "smarta" sökfunktion räknas ofta. Räkna även in inbäddade AI-funktioner i tjänster ni betalar för (Salesforce Einstein, HubSpot AI, etc).

Steg 2 — Klassificera varje användning.

  • Är det rekrytering, kreditbedömning, eller annan högrisk- kategori? → ni har faktiskt arbete framför er.
  • Är det en chatbot eller AI-genererat innehåll mot kund? → märkning räcker.
  • Är det internt assistent-verktyg (kodförslag, sammanfattningar av möten, etc)? → minimal risk, ingen åtgärd krävs av AI Act.

Steg 3 — Adressera transparens. Om ni har en kundvänd chatbot, säkerställ att första meddelandet tydliggör att kunden pratar med en automatisk assistent. Om er support sedan eskalerar till människa, gör övergången tydlig.

Steg 4 — Hantera medarbetar-användning. Era anställda använder AI dagligen (ChatGPT etc). Ha en intern policy som täcker:

  • Vad får / får inte matas in i konsumentversioner av AI (kunduppgifter, code base, finansiella siffror — ofta NEJ)
  • Hur AI-genererat innehåll får användas externt
  • Vem som ansvarar om AI ger fel svar som leds till en kundskada

Det här är inte ett AI Act-krav strikt sett — men kommer från GDPR-ansvar plus generell hyfsad risk-hantering.

Vad om ni utvecklar egen AI

Då får ni läsa förordningen själva. Kort: det kan bli omfattande beroende på användningsfall. Krav inkluderar dataset-dokumentation, risk- och kvalitetshantering, mänsklig översikt, transparens, samt registrering hos EU:s AI-databas. Räkna med att en jurist specialiserad på AI är nödvändig från ett tidigt stadium.

För SMB:er som köper in AI-verktyg är det leverantören som har det mesta av efterlevnadsbördan. Era krav blir lägre — främst välja leverantör som visar dokumentation, och egen användnings- transparens.

Tidslinje du bör ha koll på

Datum Vad gäller
1 aug 2024 AI Act trädde i kraft
2 feb 2025 Förbjudna AI-system blev olagliga (Art. 5)
2 aug 2025 Krav på AI-litteracitet hos personal (Art. 4); GPAI-modeller (ChatGPT, Claude etc) får krav på dokumentation
2 aug 2026 Transparens-krav börjar gälla (Art. 50). Detta är när chatbot-märkning blir lagkrav.
2 aug 2027 Högrisk-AI-system börjar fullt regleras (Art. 6)

Vad du ska göra nu

  1. Inventera er AI-användning (1-2 timmars jobb om ni inte är överraskande tunga AI-användare).
  2. Klassificera enligt risk-nivå — för 90 % av SMB blir slutsatsen "minimal risk + lite transparens-krav".
  3. Skapa en kort intern AI-policy (1-2 sidor) som täcker vad personal får göra med AI-verktyg.
  4. Sätt upp chatbot-märkning om ni har AI som kommunicerar med kunder.

Det vi inte hjälper er med direkt: AI Act-efterlevnad är inte en del av CompliantHQ idag. Vi adderar AI-Act-modul senare i år — fram tills dess är det manuell genomgång eller en juridisk konsult som gäller för er specifika situation. Vill ni ändå ha en avstämning av era cookies och tillgänglighet (där vi har verktyg klara) går det att skanna er sajt gratis nedan.

Kör en gratis scan av er sajt →