AI-förordningen och hälsodata

Introduktion

EU:s nya AI-förordning (AI Act) trädde i kraft i augusti 2024 och är den första omfattande lagstiftningen i världen som reglerar artificiell intelligens. Förordningen syftar till att säkerställa att AI-system används på ett säkert, transparent och ansvarsfullt sätt inom EU. Lagen påverkar alla företag som utvecklar, använder eller säljer AI-baserade tjänster och produkter, inklusive småföretag.

Den nya förordningen bygger på en riskbaserad modell där AI delas in i fyra kategorier: oacceptabel, hög, begränsad och minimal risk. Reglerna blir strängare ju högre risk ett AI-system utgör.

Vilka företag omfattas?

AI-förordningen gäller företag som:
✅ Utvecklar AI-system som säljs eller används inom EU.
✅ Använder AI-system i sin verksamhet, särskilt inom högriskområden.
✅ Integrerar AI i produkter eller tjänster som faller under andra EU-regler (t.ex. medicintekniska produkter, fordon eller finans).

Det spelar ingen roll var företaget är baserat – om AI används inom EU omfattas det av reglerna.

Fyra risknivåer för AI-system

  1. Oacceptabel risk 🚫 (förbjudna system)
    AI som utgör ett hot mot säkerhet och grundläggande rättigheter förbjuds helt, t.ex.:
    • Biometrisk identifiering i realtid på offentliga platser (med vissa undantag).
    • Social poängsättning liknande Kinas ”social credit system”.
    • Manipulativa AI-system som kan skada användares beteende eller valfrihet.
  2. Hög risk ⚠ (strikt reglerade system)
    AI-system som påverkar människors säkerhet eller rättigheter måste uppfylla höga krav på transparens, datasäkerhet och mänsklig tillsyn. Exempel:
    • AI för rekrytering och anställningsbeslut.
    • AI i hälso- och sjukvård, t.ex. diagnossystem.
    • Kreditvärdering och finansiella system.
    • Kritisk infrastruktur, såsom AI i transportsektorn.
  3. Begränsad risk 🟡 (informationskrav)
    AI-system som påverkar användare utan att utgöra en stor risk, men där transparens krävs. Exempel:
    • Chattbottar och AI-assistenter (måste tydligt informera att det är AI).
    • Deepfakes (måste märkas som syntetiskt genererat innehåll).
  4. Minimal risk ✅ (ingen extra reglering)
    AI-system som inte innebär några risker för användare, t.ex.:
    • AI-drivna rekommendationer (Netflix, Spotify).
    • AI för text- och språköversättning.
    • AI i spel och underhållning.

Vad måste företag göra?

Om ditt företag använder eller utvecklar AI bör du:

Identifiera risknivån för ditt AI-system.
Följa transparenskraven om du använder AI för kundinteraktioner.
Säkerställa efterlevnad om du hanterar högrisk-AI, t.ex. genom dokumentation och mänsklig övervakning.
Hålla koll på certifieringskrav om din AI-produkt kräver särskild märkning.

För företag som endast använder AI i lågriskapplikationer krävs ingen omfattande efterlevnad, men tydlig information till användarna kan ändå vara en bra praxis.

Tillsyn i Sverige

I Sverige kommer Integritetsskyddsmyndigheten (IMY) att ha en central roll i tillsynen av AI-förordningen, särskilt i frågor som rör dataskydd och AI:s påverkan på individers rättigheter. För sektorsspecifika AI-tillämpningar, såsom hälso- och sjukvård, kan även andra myndigheter få tillsynsansvar, exempelvis Läkemedelsverket för medicintekniska AI-system.

Exakta tillsynsansvar kan komma att preciseras ytterligare när AI-förordningen implementeras i svensk lagstiftning.

Innehåll

Index