Additional menu

Maryem Nasri

Leda Data & AI-transformation

Maryem Nasri - profilbild
Du är här: Hem / AI & Data Transformation / Riskklassificering av AI enligt EU:s AI Act – Vad behöver din organisation göra?

Riskklassificering av AI enligt EU:s AI Act – Vad behöver din organisation göra?

av Lämna en kommentar

Vad räknas som ett AI-system enligt EU:s AI Act?

EU definierar ett AI-system som en programvara som utvecklats med exempelvis maskininlärning, statistik eller logiska regler, och som kan generera output som påverkar beslutsfattande. Det inkluderar allt från prediktiva modeller och röstassistenter till automatiserade beslutsstöd inom finans, hälsa och rekrytering.

Vad innebär riskklassificering av AI?

EU:s AI Act inför en riskbaserad klassificering av AI-system för att säkerställa att tekniken används på ett säkert och etiskt sätt. AI-system delas in i fyra riskkategorier:

  1. Oacceptabel risk – AI-system som anses vara farliga och förbjuds helt, t.ex. social poängsättning och manipulativa tekniker.
  2. Hög risk – AI-system som används i kritiska områden som hälso- och sjukvård, utbildning och rekrytering, och som kräver omfattande regulatorisk efterlevnad.
  3. Begränsad risk – AI-system som kräver transparens, t.ex. chatbots och generativa AI-modeller.
  4. Minimal risk – AI-system som anses säkra och inte omfattas av specifika regulatoriska krav, t.ex. spamfilter.

För organisationer innebär detta att de måste kunna identifiera, klassificera och hantera sina AI-system utifrån dessa riskkategorier.

Exempel på klassificering av välkända AI-system

Om vi tittar på väl använda AI-system kan vi göra en ungefärlig bedömning utifrån de riktlinjer som AI Act anger:

  • Generativa AI-modeller (t.ex. ChatGPT, Gemini, Claude) – Begränsad risk (kräver transparens och upplysning till användaren).
  • Rekryteringssystem (t.ex. HireVue, Pymetrics) – Hög risk (påverkar anställningsbeslut och omfattas av strikta regler).
  • Medicinska diagnossystem (t.ex. IBM Watson Health) – Hög risk (påverkar patienters hälsa och livssituation).
  • Produktivitetsverktyg (t.ex. Microsoft Copilot, Google Duet AI) – Begränsad risk (används för produktivitetsförbättringar men kräver transparens och ansvarstagande).
  • CRM- och kundhanteringssystem (t.ex. Salesforce Einstein) – Hög risk (om det används för att automatisera beslutsfattande inom exempelvis kreditbedömning eller kundhantering).
  • AI för kundsupport och chatbotar (t.ex. Zendesk AI, Intercom AI) – Begränsad risk (måste vara transparenta om att användaren interagerar med AI).
  • Ansiktsigenkänning för mobil och dator (t.ex. Face ID, Windows Hello) – Begränsad risk (används som säkerhetsfunktion och måste uppfylla transparenskrav).

Observera: Klassificeringen av dessa system kan variera beroende på specifik implementation och användningsfält.

Steg för att förbereda din organisation för AI-riskklassificering

Just nu är jag en del av arbetsgruppen på Ericsson som arbetar med att förbättra och effektivisera riskklassificering av AI-system. Vårt mål är att skapa en konsekvent bedömningsskala så att vi snabbare kan klassificera AI-lösningar och säkerställa compliance utan att det blir en tidskrävande och tungrodd process. Det här är ett arbete som på sikt kommer att göra det enklare för organisationer att snabbt avgöra risknivån för sina AI-system. Med det i åtanke vill jag dela med mig av några praktiska steg som organisationer kan ta för att hantera AI-riskklassificering på ett effektivt sätt.

1. Kartlägg och identifiera era AI-system

  • Inventera alla AI-system som används i organisationen.
  • Identifiera AI-system som kan påverka grundläggande rättigheter, säkerhet eller kritiska verksamhetsområden.
  • Samla in information om hur AI-systemen tränas, används och integreras i verksamheten.

2. Klassificera systemen enligt EU:s risknivåer

  • Bedöm om AI-systemet kan falla under någon av de högre riskkategorierna.
  • Identifiera krav på dokumentation, transparens och tillsyn för respektive system.
  • Använd existerande ramverk för riskhantering (t.ex. ISO 42001) som stöd i klassificeringen.

3. Etablera processer för compliance och efterlevnad

  • Se till att det finns en tydlig ansvarsstruktur för AI-riskhantering.
  • Implementera rutiner för att löpande utvärdera och uppdatera riskklassificeringen.
  • Utbilda relevanta team i AI Act och riskhantering (EU:s AI Act ställer krav på att organisationer säkerställer att deras personal har relevant AI-kunskap).

4. Dokumentera och rapportera riskbedömningar

  • Upprätta en AI-riskdokumentation som beskriver hur system klassificerats och vilka åtgärder som vidtagits.
  • Säkerställ att organisationen har en process för att rapportera AI-risker och efterlevnad till tillsynsmyndigheter vid behov.

5. Utveckla strategier för riskminimering

  • Implementera lösningar för att minska risker i högrisk-AI-system, t.ex. genom förbättrad datakvalitet och transparens.
  • Utvärdera möjligheten att använda alternativa tekniker eller kompletterande kontroller.

På Europeiska unionens sajt kan du välja att ladda ner AI-förordningen på svenska, engelska eller något annat av EU-unionens officiella språk. Läsa och ladda ned EU-förordningen.

Hur förbereder din organisation sig för AI Act och riskklassificering? Dela dina tankar i kommentarerna!