e-Check.se – digital egenkontroll
AI Act5 minuters läsning

EU AI Act 2026: så bygger ni kontroller, uppföljning och evidens kring AI

EU AI Act är inte bara ett teknikregelverk. För många organisationer blir 2026 året då AI måste hanteras som en fråga om styrning, kontroll och spårbarhet. För målgruppen till e-Check är det därför mer relevant att fråga hur AI följs upp i praktiken än att enbart fråga om AI används eller inte.

Varför AI Act bör översättas till kontroller

AI Act är uppbyggd som ett riskbaserat ramverk. Det betyder i praktiken att organisationer behöver kunna visa vilka AI-system som används, vilken roll organisationen har, vilken risknivå som gäller och vilka åtgärder som faktiskt genomförs. För ett ledningssystem eller en egenkontroll räcker det alltså inte med en policy. Det behövs återkommande kontroller, dokumenterade bedömningar och evidens som går att följa upp över tid.

Det här ligger nära hur många redan arbetar med informationssäkerhet, NIS2, dataskydd och intern styrning. Skillnaden är att AI Act lägger större vikt vid sådant som transparens, mänsklig översyn, riskklassning, incidenthantering och ansvar längs värdekedjan. EU-kommissionen har också aviserat vägledning för bland annat högriskklassning, transparenskrav, incidentrapportering, post-market monitoring och mallar för konsekvensbedömningar av grundläggande rättigheter.

Vad 2026 betyder i praktiken

För de flesta verksamheter är den viktigaste slutsatsen att 2 augusti 2026 inte är startpunkten för arbetet. Det är snarare ett datum då organisationen bör kunna visa att den redan har ordning på inventering, ansvar, utbildning, uppföljning och evidens. AI literacy-kravet gäller redan, och EU-kommissionens frågor och svar gör tydligt att både leverantörer och användande organisationer ska vidta åtgärder för att säkerställa en tillräcklig nivå av AI-kunskap hos personal och andra som använder systemen på deras vägnar. Det ska göras med hänsyn till kunskap, erfarenhet, utbildning, användningskontext och vilka personer som påverkas av systemen.

Kommissionen klargör också att det inte finns något generellt krav på certifikat eller en specifik organisationsmodell för detta. Däremot är intern dokumentation av utbildningar och andra vägledande insatser ett rimligt sätt att visa att arbetet faktiskt har genomförts. Det är en viktig signal för alla som bygger egenkontroller: evidens behöver inte vara komplicerad, men den måste finnas.

Börja med en AI-förteckning, inte med ett policydokument

Det första praktiska steget bör vara att skapa en samlad AI-förteckning. Där bör ni inte bara lista verktygsnamn, utan även dokumentera syfte, verksamhetsprocess, leverantör, datatyper, vilka användare som berörs, om systemet är interaktivt mot människor, om det genererar eller manipulerar innehåll och om användningen kan falla inom högriskområden. För vissa use case är det också viktigt att dokumentera om organisationen agerar som leverantör, integratör eller användare, eftersom ansvar kan skilja sig åt längs AI-värdekedjan.

För generativ AI är transparensfrågorna särskilt viktiga inför 2026. Kommissionens vägledning kring artikel 50 beskriver att transparenskrav omfattar flera typer av system: sådana som interagerar med människor, system som genererar eller manipulerar innehåll, system för emotion recognition eller biometrisk kategorisering, samt vissa deepfakes och AI-genererade textpublikationer av allmänintresse. Det betyder att kontrollfrågan inte bara är “använder vi AI?”, utan också “måste vi märka, informera eller möjliggöra identifiering av AI-genererat innehåll?”.

Evidens som håller vid uppföljning

Ett vanligt misstag är att dokumentation samlas i projektmappar, mejl eller leverantörsportaler utan tydlig struktur. För att AI-arbetet ska vara uppföljningsbart bör evidens knytas till återkommande kontrollpunkter. Exempel på sådan evidens är en aktuell AI-förteckning, dokumenterad riskklassning, beslut om ägarskap, leverantörsdokumentation, instruktioner för mänsklig översyn, loggar eller stickprov på utdata, utbildningsunderlag, närvarolistor, incidentrapporter och protokoll från regelbundna uppföljningar. Det är samma princip som i annan regelefterlevnad: det som inte går att visa upp blir svårt att hävda i efterhand.

För generativ AI bör evidensen också täcka hur organisationen arbetar med märkning, metadata, disclaimers eller andra tekniska och organisatoriska åtgärder för att identifiera AI-genererat eller AI-manipulerat innehåll, där sådana krav gäller. Kommissionen pekar uttryckligen på metoder som vattenmärkning, metadata, kryptografiska metoder, loggning och fingerprinting som exempel på tekniker som kan användas för märkning och detektion, så långt det är tekniskt möjligt.

Exempel på kontrollfrågor i en e-Check-struktur

Nedan är exempel på kontrollfrågor som passar ett arbetssätt med kontroller, uppföljning och evidens:

  • Har organisationen en beslutad och aktuell förteckning över AI-system och AI-användningsfall?
  • Är varje AI-användning kopplad till process, systemägare och ansvarig funktion?
  • Är det dokumenterat om organisationen är leverantör, användare eller annan aktör i värdekedjan?
  • Är riskklassning genomförd och motiverad för varje relevant AI-användning?
  • Finns dokumenterad bedömning av transparenskrav, inklusive information till användare där det behövs?
  • Finns rutiner för mänsklig översyn, avvikelsehantering och uppföljning av felaktiga eller missvisande utdata?
  • Har berörd personal fått anpassad AI literacy-utbildning och finns evidens för detta?
  • Finns rutiner för att samla, lagra och uppdatera evidens inför intern kontroll, revision eller tillsyn?

Sådana kontrollfrågor gör AI Act konkret. De går att fördela per process, följa upp kvartalsvis och komplettera med krav på bilagor eller länkar till evidens. Därmed flyttas fokus från allmän medvetenhet till faktisk styrning.

Ledningens roll: från innovationsfråga till ansvar

Ledningen behöver se AI som mer än ett effektiviseringsinitiativ. När AI påverkar beslut, kommunikation, kundinteraktion eller innehåll som når allmänheten blir frågan snabbt en del av organisationens riskhantering och ansvarsfördelning. Det gäller särskilt när AI används i känsliga processer eller i verksamheter där fel, bias, bristande transparens eller otillräcklig mänsklig kontroll kan få större konsekvenser. Annex III till AI Act omfattar dessutom flera känsliga områden, bland annat utbildning, arbete, kritisk infrastruktur, brottsbekämpning och migration.

För svenska organisationer finns ytterligare en praktisk aspekt: den nationella tillsynsstrukturen är fortfarande under utveckling. IMY anger att det finns förslag om flera nationella myndigheter men ännu inga slutliga beslut, medan PTS beskriver att AI-utredningen har föreslagit ett huvudansvar för myndigheten i den svenska implementeringen. Det talar för att organisationer bör följa både EU-vägledning och svensk myndighetsinformation löpande.

En viktig brasklapp om 2026

Det finns också skäl att undvika alltför tvärsäkra tidsuttalanden. EU-kommissionen har publicerat ett förenklingspaket med förslag som kan justera delar av tidslinjen, och IMY hänvisar samtidigt till pågående förhandlingar inom ett Omnibus-paket under våren 2026. För planering och intern kontroll är 2 augusti 2026 fortfarande den centrala referenspunkten, men slutlig tillämpning bör alltid verifieras mot aktuell lagtext, myndighetsvägledning och den egna organisationens faktiska användning av AI.

Att tänka på

Inventera AI-användning per process, inte bara per verktyg. Knyt varje kontroll till tydlig evidens och ansvarig funktion. Följ upp AI literacy som en faktisk kontroll, inte som en engångsutbildning. Bedöm transparenskrav särskilt noggrant för generativ AI och innehåll som når användare eller allmänhet. Bevaka uppdaterad EU-vägledning och svensk implementering inför och efter 2 augusti 2026.