Checklista for generella AI-modeller for grundare och compliance leads

Använd denna checklista när SaaS-produkt, interna arbetsflöden eller leverantörsstack är beroende av en modell som kan utföra många uppgifter i olika sammanhang. Målet är att veta vilka modeller som spelar roll, vilken roll bolaget har, vilka bevis som finns och vad som måste ske före lansering, kundgranskning eller audit.

I EU:s AI Act kräver artikel 53 teknisk dokumentation, information till downstream providers, copyrightpolicy och offentlig sammanfattning av träningsinnehåll. Artikel 55 lägger till skyldigheter för modeller med systemrisk. Artikel 51 förklarar klassificeringen.

1. Inventera modellen

Dokumentera namn, provider, version, hosting, region, use case, owners, datakategorier, outputtyper, kundexponering, fine-tuning, intern eller produktanvändning och var provider documentation finns.

Godkänt villkor: en reviewer förstår vilken modell som används, vem som äger den, var den körs, vilka data den ser och varför den är viktig.

2. Kartlägg rollen

Avgör om bolaget är model provider, downstream provider av AI-system, deployer, distributör eller kund till en vendor feature. Dokumentera vem som kontrollerar beteende, intended use, output och ändringar.

Eskalera till legal om bolaget ändrar en modell väsentligt, erbjuder kundåtkomst eller inte kan förklara sin roll.

3. Kontrollera artikel-53-bevis

Be om teknisk dokumentation, integrationsinformation, capability och limitation notes, copyrightpolicy, training summary, safety/security evidence, update notices, data settings, retention och compliance- eller securitykontakter.

Godkänt villkor: teamet svarar köpare från sparade bevis, inte från minnet.

4. Screena systemrisk

Fråga om providern klassificerar modellen som systemisk, om AI Office har notifierats, vilka evaluations som finns, hur allvarliga incidenter rapporteras och vilka ändringar som ger kundnotis.

För downstream SaaS är detta dependency risk: policies, availability, limits eller provider-beteende kan påverka roadmap och kundlöften.

5. Granska data och privacy

Bekräfta vilka persondata, kunddata, konfidentiella data, kod eller loggar som går in i modellen. Granska retention, training, abuse monitoring, human review, region, access controls, deletion, registrerades rättigheter och behov av DPIA, transfer review eller vendor risk review.

6. Definiera användning och guardrails

Dokumentera godkänt use case, förbjuden användning, human review, disclosure, output correction, escalation, monitoring, gränser för sales claims och triggers för ny review.

7. Förbered kundsvar

Behåll godkända svar om providers, träning med kunddata, processing, retention, subprocessors, human oversight, updates, incidents och delbar dokumentation.

8. Lägg in i release management

Före launch eller modelländring: bekräfta inventory, role, vendor evidence, privacy review, security review, disclosure, support material, monitoring, rollback och reassessment triggers.

FAQ

Vad används checklistan till?

Den gör modellbruk till ett repeterbart workflow: inventory, role, evidence, privacy, security, guardrails, customer answers och change management.

När är detta relevant för SaaS?

När teamet bygger, köper, integrerar, fine-tunar, deployar eller är beroende av en generell AI-modell.

Vad dokumenteras först?

Inventory och role. Därefter provider evidence, privacy/security facts, use rules, customer answers och release triggers.

Sources

• Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence.
• European Commission AI Act Service Desk, Article 51.
• European Commission AI Act Service Desk, Article 53.
• European Commission AI Act Service Desk, Article 55.
• European Commission, Drawing-up a General-Purpose AI Code of Practice.