← Artiklar
Reglering · Juridik · Maj 2026

EU AI Act:
Vad svenska företag
faktiskt behöver veta

EU AI Act träder i kraft i etapper 2025–2027. Vad innebär det för ett vanligt svenskt företag som använder ChatGPT och Claude? Mer än de flesta tror — men ofta mindre dramatiskt än rubrikerna antyder.

Av Daniel Merthen · Halland · Publicerad 9 maj 2026 · 10 min läsning
Reglering EU AI Act GDPR Juridik Compliance

Varför du inte kan ignorera detta

Det finns en genre av EU-reglering som är lätt att skjuta upp. AI Act är inte den. Till skillnad från GDPR — som kom och gick utan att de flesta småföretag märkte mer än en cookie-banner — berör AI Act hur du arbetar, inte bara hur du lagrar data.

Det handlar om vilka AI-system du får använda, i vilket syfte, med vilken dokumentation. Det handlar om ansvar när AI fattar beslut som påverkar människor. Och det handlar om en tidtabell som redan är i rörelse — delar av lagen gäller sedan februari 2025.

Den goda nyheten: för de flesta svenska SMF är risken hanterbar om man förstår sin riskklassificering. Den dåliga: de flesta SMF har ingen aning om vilken riskklassificering som gäller för dem.

Fyra risknivåer — vilken är du?

AI Act delar upp AI-system i fyra kategorier baserat på potentiell skada. Kategorierna avgör vilka krav som ställs.

Oacceptabel risk — förbjudet

System som manipulerar beteende utan samtycke, social scoring av medborgare, biometrisk massövervakning i realtid. Olagliga från februari 2025. Rör inte svenska SMF under normala omständigheter.

Hög risk — strikt reglerat

Det är här det börjar bli relevant. Hög-risk-AI inkluderar system som används för: rekrytering och urval av anställda, kreditbeslut, tillträde till utbildning, administrativa beslut om sociala förmåner, medicinsk diagnostik och biometrisk identifiering.

Om ditt företag använder AI för att gallra jobbansökningar — även om du bara använder ett generellt verktyg som ChatGPT för det — berörs du av hög-risk-reglerna. Det kräver dokumentation, mänsklig tillsyn och risk-assessment innan driftsättning.

Begränsad risk — transparenskrav

Chatbots och AI-genererat innehåll. Kravet är enkelt: du måste berätta för användaren att de interagerar med AI. Gäller om du har en kundtjänst-bot eller publicerar AI-genererat material utan att märka ut det.

Minimal risk — inga krav

Spamfilter, AI-rekommendationer, de flesta interna produktivitetsverktyg. Här hamnar det mesta av det svenska SMF faktiskt gör med AI. Skriva texter, sammanfatta möten, generera idéer, analysera data internt. Inga specifika krav utöver befintlig lagstiftning.

De flesta SMF opererar i minimal-risk-zonen. Men en enda hög-risk-applikation — som AI-assisterat urval vid rekrytering — förändrar hela situationen.

Tidtabellen — vad gäller när?

AI Act — ikraftträdande i etapper

Feb 2025 — Förbud mot oacceptabel-risk-AI träder i kraft

Aug 2025 — Krav på GPAI-leverantörer (General Purpose AI — ChatGPT, Claude)

Feb 2026 — Hög-risk-regler för finansiella tjänster, rekrytering m.fl.

Aug 2026 — Alla hög-risk-krav i kraft (fulla bestämmelserna)

2027 — Undantag för befintliga hög-risk-system löper ut

Det vi befinner oss i nu (maj 2026) är perioden mellan GPAI-kraven och de fulla hög-risk-reglerna. OpenAI, Anthropic och Google är sedan hösten 2025 skyldiga att följa specifika krav på transparens, säkerhetsutvärdering och incidentrapportering — det är de stora leverantörernas problem, inte ditt. Men i augusti 2026 träder reglerna för alla hög-risk-applikationer i kraft oavsett vem som byggt systemet.

Vad GPAI-reglerna faktiskt innebär för dig

GPAI står för General Purpose AI — alltså ChatGPT, Claude, Gemini och liknande. Leverantörerna av dessa system har nu dokumentationskrav, krav på att testa för systemiska risker och krav på att rapportera allvarliga incidenter.

Som användare av dessa system är ditt ansvar begränsat — men inte noll. Lagen skiljer på leverantörer, distributörer och driftsättare (deployers). Om du bygger en produkt ovanpå ett GPAI-system — en chatbot, ett analysverktyg, en automatiserad beslutsprocess — är du driftsättare och har egna skyldigheter.

Om du bara använder Claude för att skriva texter internt är du varken leverantör, distributör eller driftsättare i lagens mening. Du är slutanvändare. Ditt ansvar är att inte använda AI för förbjudna ändamål — och det är allt.

Konkreta fall — är du berörd?

Fall 1: Du använder ChatGPT internt för att skriva texter

Bedömning

Riskklass: Minimal

Krav: Inga specifika AI Act-krav

Rekommendation: Fortsätt, men dokumentera vilka AI-verktyg ni använder

Fall 2: Du har en kundtjänst-chatbot på din hemsida

Bedömning

Riskklass: Begränsad

Krav: Informera tydligt att det är AI, inte människa

Rekommendation: Lägg till "Du chattar med vår AI-assistent" i chattfönstret

Fall 3: Du använder AI för att gallra jobbansökningar

Bedömning

Riskklass: HÖG

Krav: Konsekvensanalys, mänsklig tillsyn, dokumentation, kandidatinformation

Rekommendation: Stoppa tills ni har compliance-process på plats

Fall 4: Du kör AI-analys av kreditvärdighet för B2B-kunder

Bedömning

Riskklass: HÖG (finansiella tjänster)

Krav: Dokumentation, mänsklig granskning av varje beslut, register

Rekommendation: Juridisk rådgivning + AI-systemdokumentation krävs

Fem saker att göra nu — oavsett storlek

1. Gör en AI-inventering

Lista alla AI-verktyg ni använder, vad de används till och av vem. Det behöver inte vara en avancerad rapport. En Excel-fil räcker. Inventering → klassificering → gap-analys. Det är sekvensen.

2. Identifiera om ni driftsätter hög-risk-AI

Hög-risk-listan finns i Bilaga III i lagen (tillgänglig på EUR-Lex på alla EU-språk inklusive svenska). Gå igenom den mot er inventering. Om ni hittar en träff: ta in juridisk rådgivning innan aug 2026 — inte efter.

3. Märk ut AI-genererat innehåll

Om ni publicerar AI-genererat innehåll — på hemsidan, i marknadsföring, i rapporter — börja märka ut det. Det är inte ett krav för internt bruk, men för externt kommunikativt innehåll är transparensplikten på väg.

4. Lägg till AI-policy i personalhandboken

Inget behöver vara komplext. Tre punkter räcker för de flesta: vilka verktyg är godkända, vilken data får inte matas in i externa AI-tjänster (kunddata, sekretessbelagd information), och vem ansvarar för att kontrollera AI-genererad output.

5. Håll er uppdaterade

AI Act implementeras av Datainspektionen i Sverige. Följ dem. EU AI Office publicerar löpande riktlinjer. Reglerna är fortfarande under finlir — vänta inte på den perfekta versionen av lagen, men håll koll på de officiella kanalerna för ny vägledning.

Det stora perspektivet

AI Act är inte ett hot mot AI-adoption. Det är ett ramverk som skiljer mellan ansvarsfull och oansvarsfullt bruk. De företag som vinner på det här är de som tidigt bygger en intern process för AI-governance — inte för att myndigheter kräver det, utan för att det skapar förtroende hos kunder och partners.

Svenska SMF har historiskt sett klarat GDPR bra. AI Act är mer komplex men principerna är desamma: förstå vad ni gör med tekniken, dokumentera det, och ha en människa som tar ansvar. Det är inte raketvetenskap. Det är hyfsad affärspraxis.

Compliance är inte målet — ansvarsfullt AI-bruk är målet. Compliance är beviset.

Om du vill ha hjälp att genomföra en AI-inventering eller bygga en intern AI-policy för ditt företag — det är exakt den typen av arbete jag gör med svenska SMF. Kontakta mig direkt.

Nästa nummer · Måndag

Polaris i din inkorg —
måndag, onsdag, fredag — för alltid gratis.

Det viktigaste inom AI, filtrerat för svenska företagare. Inget brus. Bara det som faktiskt spelar roll.

Redan 0 prenumeranter · 0 utskick missade