Blogginlägg -

Högrisk‑AI i praktiken: Därför behöver även vanliga företag ett kvalitetsledningssystem i sommar

Många företag tror fortfarande att EU:s nya AI‑förordning främst riktar sig till teknikbolag som utvecklar avancerade AI‑lösningar. Men under en nyligen genomförd revision av vårt AI‑ledningssystem enligt ISO/IEC 42001 fick vi ett tydligt budskap från våra revisorer på DNV:

" I sommar träder de sista kraven i AI-förordningen i kraft, och de gäller även helt vanliga företag som använder AI‑system som klassas som högrisk." sa revisorn.

Detta är en viktig väckarklocka för verksamheter i alla branscher.

AI‑förordningen – inte bara för utvecklare

Enligt EU:s AI‑förordning (AI Act) omfattas inte bara leverantörer och utvecklare av högrisk‑AI, utan även företag som använder (”deployers”) sådana system i sin verksamhet.

Det betyder att om ditt företag använder AI som:

  • stödjer eller automatiserar beslut,
  • påverkar människor ekonomiskt, juridiskt eller socialt,
  • eller används i kritiska verksamhetsprocesser,

då kan ni omfattas av bindande krav på styrning, dokumentation, riskhantering och tillsyn – även om ni inte själva har utvecklat AI‑systemet.

Exempel på AI‑användning som kan klassas som högrisk

Många blir förvånade över vad som faktiskt räknas som högrisk‑AI enligt förordningen. Här är några vanliga exempel på användning i ”vanliga” företag:

  • Rekrytering och HR
    AI som sorterar CV:n, rangordnar kandidater, analyserar videointervjuer eller ger beslutsstöd vid befordran eller uppsägning.

  • Kredit- och riskbedömning
    AI som används för kreditprövning, betalningsförmåga, försäkringsrisk eller prissättning av lån och premier.

  • Tillgång till tjänster
    AI som avgör vem som får ta del av vård, stöd, utbildning eller andra väsentliga tjänster.

  • Övervakning och analys av anställda
    AI som mäter prestation, produktivitet, beteende eller frånvaro.

  • Kundbedömning och beslutsstöd
    AI som påverkar om en kund beviljas avtal, får ändrade villkor eller flaggas som riskkund.

I samtliga dessa fall är det företaget som använder systemet som ansvarar för att användningen sker på ett kontrollerat, lagenligt och etiskt sätt.

Vad kräver AI‑förordningen av användande företag?

För företag som använder högrisk‑AI ställs krav på bland annat att:

  • använda AI‑system enligt leverantörens instruktioner,
  • säkerställa human oversight – tydligt ansvar och möjlighet att ingripa,
  • hantera och dokumentera risker och incidenter,
  • säkerställa datakvalitet när företaget styr indata,
  • föra relevanta loggar,
  • informera berörd personal och i vissa fall individer som påverkas,
  • kunna visa upp dokumentation vid tillsyn.

Det här är inte punktinsatser – det är återkommande, systematiskt arbete.

Varför ett kvalitetsledningssystem nu blir avgörande

Det som snabbt blir tydligt är att kraven i AI‑förordningen inte kan hanteras ad hoc i ett enskilt projekt eller av IT‑avdelningen ensam.

Företag behöver:

  • tydliga styrande processer,
  • roller och ansvar,
  • systematisk riskhantering,
  • kontinuerlig uppföljning och förbättring,
  • spårbar dokumentation.

Kort sagt: ett ledningssystem.

ISO/IEC 42001 – rätt QMS för AI‑driven verksamhet

Här pekade revisionen från DNV på något mycket viktigt:
ISO/IEC 42001 är den mest ändamålsenliga standarden för företag som vill kvalitetssäkra sin AI‑användning.

Standarden är framtagen specifikt för AI‑ledningssystem och fungerar som:

  • ett kvalitetsledningssystem (QMS) för AI,
  • ett ramverk för riskbaserad styrning,
  • ett konkret stöd för att uppfylla AI‑förordningens krav.

Den passar:

  • AI‑utvecklare, som behöver visa att deras system är säkra och kontrollerade,
  • AI‑användare, som behöver säkerställa korrekt, ansvarsfull och lagenlig användning i sin verksamhet.

Från ”AI‑projekt” till verksamhetsfråga

Det kanske viktigaste skiftet som många företag nu står inför är detta:

AI är inte längre ”ett IT‑projekt” – det är en verksamhetsfråga med regulatoriskt ansvar.

De företag som tidigt implementerar struktur, ledning och kvalitetsstyrning kring sin AI‑användning kommer inte bara att möta lagkraven – de kommer också att:

  • minska affärsrisker,
  • öka förtroendet hos kunder och medarbetare,
  • stå bättre rustade för framtida tillsyn och granskning.

Är ert företag redo?

Om ni redan använder – eller planerar att använda – AI i beslutsfattande eller verksamhetskritiska processer är det hög tid att:

  1. kartlägga om er AI kan klassas som högrisk,
  2. se över ert ledningssystem,
  3. säkerställa att ni uppfyller kommande krav i AI‑förordningen.

ISO/IEC 42001 är ett tydligt och internationellt etablerat sätt att göra detta – i tid.

Ämnen

Kategorier

Regioner

Kontakter

Relaterad media

Ladda ner bilder för medieanvändning
Fyll i din epostadress för att följa SamCert AB

När du väljer att skapa ett konto och följa ett nyhetsrum kommer dina personuppgifter behandlas av oss och av ägaren av nyhetsrummet för att du ska kunna motta nyheter och uppdateringar enligt dina bevakningsinställningar.

För att läsa mer om detta, var vänlig läs vår Integritetspolicy som berör vår behandling av dina personuppgifter, och Integritetspolicy för Contacts som berör behandlingen av dina personuppgifter från ägaren av nyhetsrummet du följer.

Vänligen notera att våra Användarvillkor gäller alla våra tjänster.

Du kan dra tillbaka ditt samtycke när som helst genom att avregistrera dig eller genom att ta bort ditt konto.
Kolla din inkorg

Mejl skickat till __email__. Klicka på länken i mejlet för att följa SamCert AB.

Okej