När ett svenskt företag inför AI gäller två regelverk samtidigt: GDPR, som styr hur ni hanterar personuppgifter, och EU:s AI-förordning, AI Act, som styr själva AI-systemet utifrån hur riskfyllt det är. De överlappar men ersätter inte varandra. Den som bara tänker på det ena missar halva bilden.
Det här är ingen juridisk genomgång, och det ersätter inte rådgivning från jurist eller en bedömning från Integritetsskyddsmyndigheten, IMY. Det är en praktisk karta över vad som faktiskt gäller, så att ni kan bygga AI utan obehagliga överraskningar.
Två regelverk som gäller parallellt
GDPR har ni förmodligen redan rutiner för. Rättslig grund för behandlingen, tydligt ändamål, begränsad lagringstid, koll på var data lagras. När AI kommer in tillkommer ett par frågor: vilken data tränas eller matas modellen med, och kan känsliga uppgifter läcka ut genom det den svarar. Men grunden är densamma.
AI Act lägger ett nytt lager ovanpå. Den bryr sig inte främst om personuppgifterna, utan om vad AI-systemet gör och hur stor skada det kan orsaka. Förordningen delar in system i fyra risknivåer: oacceptabel risk (förbjudet), hög risk (hårt reglerat), begränsad risk (transparenskrav) och minimal risk (i princip fritt). Var er användning hamnar avgör vad som krävs.
För de flesta små och medelstora företag landar användningen i de två nedre nivåerna. Det betyder inte att man kan bortse från regelverket, men bördan blir hanterbar.
Vad som gäller redan nu
En del av AI Act är inte framtid, den gäller. Sedan tidigt 2025 är vissa användningar förbjudna helt: social poängsättning, manipulativa system som utnyttjar sårbarheter och vissa former av biometrisk kategorisering. Överträdelser kan kosta upp till 35 miljoner euro eller 7 procent av den globala omsättningen, beroende på vilket som är högre. Få SME:er är i närheten av de här fallen, men det är värt att veta att förbuden redan har tänder.
Sedan augusti 2025 gäller också regler för generella AI-modeller, alltså de stora språkmodellerna bakom verktyg ni kanske redan använder. De kraven ligger på leverantörerna, inte på er som användare, men de påverkar vilka garantier ni kan begära av en leverantör.
Det som händer under 2026
Den stora milstolpen är den 2 augusti 2026. Då blir AI Act tillämplig i bred bemärkelse, och transparenskraven börjar gälla. I praktiken handlar det om sådant många företag berörs av: AI-genererat innehåll ska gå att känna igen som just AI-genererat, och en människa som pratar med ett AI-system, till exempel en chattbot, ska få veta att det är ett system och inte en person.
Samtidigt får tillsynen muskler. Det är från det datumet myndigheterna kan utöva sina fulla befogenheter. För ett svenskt SME betyder 2026 alltså inte att allt måste vara perfekt, men det betyder att transparens runt AI-användning slutar vara en god vana och blir ett krav.
Högrisksystem: vad som väntar längre fram
Den hårdaste regleringen träffar så kallade högrisksystem. Hit hör AI som används i känsliga sammanhang: rekrytering och urval av personal, kreditbedömning, vissa delar av utbildning och myndighetsutövning. Använder ni AI för att sålla CV:n eller bedöma kreditvärdighet är det här ni ska titta noga.
Tidsplanen för högrisksystem har nyligen skjutits fram. Genom det så kallade Digital Omnibus-paketet gäller de tyngsta kraven för system enligt förordningens bilaga III först den 2 december 2027, och för AI inbäddad i redan reglerade produkter ännu senare. Det ger andrum, men det ändrar inte slutsatsen: bygger ni något som rör personalbeslut eller kreditbeslut, designa för spårbarhet, loggning och mänsklig kontroll från början. Att lägga på det i efterhand är dyrare.
GDPR och AI Act gäller samtidigt men styr olika saker: GDPR reglerar personuppgifterna, AI Act reglerar AI-systemet utifrån dess risknivå. Att följa det ena innebär inte att man uppfyller det andra.
Vad ett svenskt SME bör göra i praktiken
Det mesta är enklare än det låter när man bryter ner det. En rimlig startpunkt:
- Inventera er AI-användning. Lista var ni redan använder AI, inklusive verktyg enskilda medarbetare dragit igång på egen hand. Man kan inte styra det man inte vet om.
- Klassa risken grovt. För varje användning, fråga: kan det här påverka en människas rättigheter eller ekonomi? Rekrytering och kredit är känsligt. Att sammanfatta mötesanteckningar är det inte.
- Håll datan inom kontroll. Vet var data lagras och om den stannar inom EU. Stäng av att era data används för att träna leverantörens modeller om ni inte aktivt vill det.
- Bygg in transparens. Märk AI-genererat innehåll och låt användare veta när de möter ett AI-system. Det blir ett krav 2026 ändå, så gör det nu.
- Logga och låt en människa godkänna. I varje flöde där ett fel får konsekvenser ska beslutet kunna spåras och en människa kunna säga nej.
Den som vill gå metodiskt fram lägger in det här redan i kartläggningen, som en del av en AI-strategi. Då blir compliance en parameter när initiativ prioriteras, inte en bromskloss som dyker upp efteråt.
GDPR-frågorna som AI väcker
GDPR är inget nytt, men AI ställer ett par gamla frågor på sin spets. Den första handlar om vad modellen matas med. Använder ni en AI-tjänst som tränar på det ni matar in kan personuppgifter hamna utanför er kontroll, och då måste ni ha rättslig grund för det. Den andra handlar om dataminimering: en AI som får tillgång till allt för att "kunna svara på allt" krockar med principen att bara använda de uppgifter som faktiskt behövs.
En tredje fråga är rätten till information. Påverkar ett AI-system ett beslut om en person, till exempel vid kreditbedömning, kan personen ha rätt att få veta det och att en människa kan ompröva beslutet. Det är sällan ett hinder i praktiken, men det är en sak att ha tänkt igenom innan, inte efter.
För de flesta mindre företag räcker det långt att ställa tre frågor till varje AI-användning: vilken personuppgift rör det, var lagras den, och tränas leverantörens modell på den? Svaren avgör om ni behöver göra något särskilt eller kan gå vidare med gott samvete.
Compliance som designfråga, inte bromskloss
Det vanligaste misstaget är att se regelverket som något juridiken får ta hand om sedan. Då blir det dyrt, för att spårbarhet och rollstyrning är svårt att bygga in i efterhand. Det är också ett av de återkommande skälen till att AI-projekt fastnar innan produktion.
Tas frågan med från start är den sällan ett hinder. När vi bygger AI-lösningar sitter loggning, åtkomststyrning och datahantering i arkitekturen från dag ett, inte som ett påslag på slutet. Det gör lösningen både tryggare och billigare att förvalta, och det gäller inte minst i regelstyrda processer som lönehantering.
Osäkra på var er AI-användning landar?
Vi hjälper er kartlägga var ni använder AI idag, bedöma risknivån och bygga in compliance från början, i de system ni redan arbetar i. Boka ett samtal så går vi igenom er situation tillsammans.
Vanliga frågor
Vad innebär EU AI Act för ett vanligt svenskt företag som inte bygger egna AI-modeller?
De flesta svenska SME:er är användare av AI, inte utvecklare av modeller, och berörs framför allt av tre saker: förbudet mot vissa användningar som redan gäller, transparenskraven som börjar gälla i augusti 2026 (bland annat att märka AI-genererat innehåll och informera människor som interagerar med ett AI-system), och skärpta krav om ni använder AI i känsliga sammanhang som rekrytering eller kreditbedömning. Bygger ni inte högrisksystem är bördan hanterbar, men den finns och bör tas med från start.
Räcker det att vi redan följer GDPR, eller tillkommer nya krav med AI Act?
GDPR och AI Act är två olika regelverk som gäller samtidigt. GDPR styr hur ni hanterar personuppgifter, rättslig grund, ändamål, lagringstid och var data lagras. AI Act styr själva AI-systemet, dess risknivå, transparens och dokumentation. Att följa GDPR är en bra grund men täcker inte AI Act, och tvärtom. För de flesta SME:er innebär det att GDPR-rutinerna behöver kompletteras med en enkel riskbedömning av AI-användningen, inte att allt måste göras om.
