Checklista AI-system med hog risk for grundare och compliance leads

AI-system med hog risk behover en checklista eftersom problemet sallan ar sjalva termen. Problemet ar att visa att teamet granskat ratt anvandningsfall, utsett agare, aktiverat kontroller och sparat evidens for kunder, styrelse, auditorer eller tillsyn.

Enligt EU AI Act kan high-risk-klassificering komma fran reglerade produkter eller anvandningsfall i Annex III. Kommissionens draft guidelines fran maj 2026 hjalper vid Article 6, men forordningen ar fortfarande den juridiska kallan.

1. Bekrafta AI-anvandningsfallet

Bekrafta om workflowet verkligen anvander ett AI-system. Ord som automation, intelligence, insight, scoring, recommendation, assistant eller optimization racker inte.

Spara systemnamn, produktomrade, syfte, modell eller leverantor, output, vem som anvander output och om funktionen ar kundriktad, employee-facing, intern eller embedded. Om inget AI-system finns, dokumentera och stang checklistan.

2. Identifiera AI Act-rollen

Rollen spelar roll eftersom skyldigheter kan skilja mellan provider, deployer, importer, distributor, product manufacturer och andra aktorer. Ett SaaS-bolag kan ha olika roller per workflow.

Dokumentera vem som utvecklar, vem som kontrollerar syfte och konfiguration, vem som satter systemet pa EU-marknaden och vilka instruktioner eller role statements leverantoren ger.

3. Granska rutten for reglerad produkt

Fraga om systemet kan vara sakerhetskomponent i en reglerad produkt eller sjalv reglerad produkt. Det kan galla medicinteknik, maskiner, transport, flyg, radioutrustning, leksaker, hissar eller industri.

Kontrollera om AI stodjer sakerhetsbeteende, diagnos, monitoring, kontroll, varning eller feldetektering och om tredjeparts conformity assessment kan kravas.

4. Granska Annex III

Annex III ar ofta mer relevant for SaaS. Kontrollera biometri, kritisk infrastruktur, utbildning, rekrytering, anstallning, worker management, tillgang till viktiga tjanster, kredit, forsakring, rattsvasende, migration och demokratiska processer.

Klassificering foljer syfte och konkret anvandning. Samma modell kan vara lag risk som intern assistent och hog risk i rekrytering.

5. Bedom kundkonfiguration

SaaS ar ofta konfigurerbart. En vanlig funktion kan bli kanslig om kunder anvander den for att ranka kandidater, bedoma arbetare, vardera studenter eller paverka tillgang till viktiga tjanster.

Kontrollera om kunder kan valja falt, kriterier, trosklar eller labels, om kansliga workflows ar mojliga och om det finns review gate fore aktivering.

6. Tilldela agare och gates

Tilldela product owner, engineering owner, legal eller compliance owner, security eller risk owner och customer-facing owner for godkanda uttalanden.

Saknad klassificering bor blockera lanseringar i kansliga domaner. Sannolik high-risk bor aktivera djupare review och launchvillkor.

7. Definiera minsta evidens

Behall intake, systembeskrivning, rollanalys, screen for reglerad produkt, Annex III-screen, syfte, analys av berorda personer, data flow, leverantorsdokument, klassificeringsbeslut, reviewer, datum, rationale, kallor, launchbeslut, kontroller och nasta trigger.

For sannolika high-risk-system, lagg till risk records, data governance-beslut, agare for teknisk dokumentation, tester, human oversight, logging, monitoring, incident path och conformity route.

8. Gor kontroller till produktarbete

Risk management blir feature-risk record. Data governance blir regler for training-, test-, input-, kund- och feedbackdata. Teknisk dokumentation blir evidensmapp. Transparens blir kundinstruktioner. Human oversight blir verklig reviewprocess. Monitoring blir metrics med agare och cadence.

9. Oppna beslutet igen

Oppna checklistan igen nar syfte, modell, leverantor, version, mansklig review, kundkonfiguration, marknad, datakategorier, monitoring, guidance, standarder eller riskaptit andras.

FAQ

Vad ska team forsta?

Nar AI-system med hog risk kan galla, vilka operativa andringar de triggar och vilken evidens visar att arbetet sker.

Varfor spelar det roll?

Eftersom klassificering kan paverka produktdesign, launch gates, kunddokumentation, vendor review, monitoring, incident response och audit evidence.

Vad ar storsta misstaget?

Att behandla high-risk AI som en engangs juridisk tolkning i stallet for ett upprepbart workflow med agare, triggers, evidens och eskalering.

Kallor

• Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence.
• European Commission draft guidelines on the classification of high-risk AI systems.
• European Commission AI Act FAQ on high-risk AI systems.
• European Commission guidance on AI Act standardisation.