AI-förordningen gäller även dig som bara använder ChatGPT: det få svenska bolag har insett

Fråga tio svenska vd:ar om deras bolag berörs av AI-förordningen och nio kommer att svara nej. Motiveringen är att bolaget inte utvecklar AI. Det är det vanligaste missförståndet i regelverket just nu, och det är på väg att bli en kostsam blind fläck.

AI-förordningen, eller AI Act, trädde i kraft den 1 augusti 2024. De flesta bestämmelserna börjar tillämpas den 2 augusti 2026. Förbudet mot viss AI-användning och kravet på AI-literacy hos personalen har redan gällt sedan februari 2025. Och förordningen skiljer tydligt mellan två roller: provider (den som utvecklar eller tillhandahåller AI) och deployer (den som använder).

Det är det andra ordet som svenska SMB bör fästa blicken på.

Vad det innebär att vara deployer

Enligt artikel 4 i AI-förordningen ska alla deployers säkerställa att personalen har “tillräcklig AI-kompetens” för de verktyg som används, med hänsyn till teknisk kunskap, erfarenhet och det sammanhang som systemet används i. Det betyder inte att alla anställda måste bli ingenjörer. Men det betyder att bolaget ska kunna visa att man har en policy, dokumenterade rutiner och ett genomtänkt sätt att hantera riskerna.

För en verkstad i Karlstad eller en konsultfirma i Sunne kan det handla om att de verktyg som medarbetarna redan använder, generativa AI-assistenter i offertskrivning, kundservice-chatbots, automatiserade rekryteringsfilter, faller under regelverket. Även om bolaget inte betalat en krona för att “bygga” AI.

Rekrytering är särskilt varmt område

AI-användning i HR och rekrytering är uttryckligen klassad som högrisk i förordningens bilaga III. Ett system som sorterar jobbansökningar, rangordnar kandidater eller föreslår löneintervall med hjälp av AI omfattas av skarpa krav på mänsklig kontroll, transparens och dokumenterad riskhantering. Och ansvaret ligger på arbetsgivaren, inte leverantören.

Sanktionerna är inte symboliska. Brott mot högriskkraven kan kosta upp till 15 miljoner euro eller tre procent av bolagets globala årsomsättning, vilket som är högst.

Det som behöver sitta innan augusti 2026

Det som bolagen behöver göra nu är inte att sluta använda AI. Det är att kartlägga var AI redan finns i verksamheten, bedöma risknivån, upprätta en policy för användningen och se till att lagförteckningen speglar den nya förordningen.

Det är i den sista punkten den kontinuerliga lagbevakningen blir värdefull. Svenska molntjänster som Laglistan bevakar löpande EU-rättsakter och svenska tillämpningsregler, larmar när nya krav tillkommer och tillhandahåller kontrollrutiner i webbgränssnittet. När marknadskontrollmyndigheten ber om underlag efter augusti 2026 är det den typen av löpande dokumentation åklagaren och tillsynen vill se.

Den tystaste regleringen med de största konsekvenserna

Det är ingen slump att AI-förordningen inte diskuterats i svenska lunchrum på samma sätt som GDPR gjorde. Den skrevs för att vara tekniskt nyanserad, och resultatet är att det är svårt att se sig själv i texten. Men det räcker med en AI-assistent i mejlkorgen och ett par rekryteringsverktyg för att kravbilden ska bita.

Deadline är den 2 augusti 2026. Det är snart.