Deployer-skyldigheter: praktisk guide for SaaS-team

Deployer-skyldigheter enligt EU AI Act galler nar en organisation anvander ett AI-system under egen kontroll. For SaaS-team racker det inte att veta om systemet byggdes internt eller koptes fran en leverantor. Den praktiska fragan ar vem som styr anvandningen, om systemet ar hogrisk, vilka instruktioner fran providern som maste foljas, vem som utfor mansklig tillsyn och vilka bevis som finns for loggar, overvakning och incidenter.

Artikel 26 kraver att deployers av hogrisk-AI-system anvander systemet enligt instruktionerna, tilldelar kompetent mansklig tillsyn, hanterar indata nar de kontrollerar den, overvakar driften, sparar automatiskt genererade loggar under sin kontroll och agerar vid risk eller allvarlig incident. I vissa fall tillkommer information till arbetstagare, registreringskontroller, DPIA-stod eller bedomning av paverkan pa grundlaggande rattigheter.

Nar det spelar roll

Ett SaaS-bolag kan vara provider for en kundfunktion och samtidigt deployer for ett internt eller tredjepartssystem. Vanliga exempel ar supporttriage, HR, riskscoring, fraud, finansiella workflows, klagomal eller beslut som paverkar kunder och anstallda.

Gor analysen per workflow. Ett enda dokument om AI i bolaget doljer ofta olika roller. Separera deployer-skyldigheter, provider-skyldigheter, transparens, privacy, security, vendor risk och kunddokumentation.

Operativt register

Skapa ett register for varje relevant workflow. Ta med system, leverantor, process, syfte, anvandare, berorda personer, datakategorier, geografi, lanseringsstatus, provider-instruktioner och intern dokumentation.

Dokumentera sedan roll och klassificering: varfor teamet ar deployer, om use caset ar hogrisk, vilken AI Act-vag som galler och vilka fragor som blockerar lansering. Varje skyldighet ska bli en kontroll: instruktioner, tillsyn, indata, loggar, overvakning, paus och eskalering.

Checklista

• Namnge system, leverantor, workflow, syfte, anvandare och berorda personer.
• Avgor om bolaget ar deployer, provider eller bada.
• Kontrollera hogrisk eller annan AI Act-vag.
• Oversatt provider-instruktioner till SOP:er, tickets, acceptanskriterier och traning.
• Tilldela mansklig tillsyn med kompetens, mandat och stod.
• Definiera kontroller for indata.
• Klarlagg loggar, retention, atkomst och export.
• Overvaka fel, klagomal, leverantorsandringar, missbruk och ovantade monster.
• Forbered incidentrutt, paus, providerkontakt och eskalering.
• Spara bevis med agare, datum, beslut och nasta review.

Vanliga misstag

Forsta misstaget ar att anta att leverantoren tacker allt. Dokumentation hjalper, men deployern styr den verkliga anvandningen. Andra misstaget ar instruktioner utan operativa steg. Tredje ar mansklig tillsyn utan mandat. Fjarde ar att forst vid incident upptacka att loggar saknas.

FAQ

Vad ar det praktiska syftet?

Att visa att teamet foljer instruktioner, anvander kompetent tillsyn, kontrollerar indata, sparar loggar, overvakar anvandning, hanterar incidenter och omprovar workflowet nar fakta andras.

Vem ska aga processen?

Product eller operations ager workflow-fakta, engineering integration och loggar, security leverantorsbevis och overvakning, legal/compliance tolkning och bevisstandard.

Kallor

• Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence.
• European Commission AI Act Service Desk, Article 26: Obligations of deployers of high-risk AI systems.
• European Commission AI Act Service Desk, Article 27: Fundamental rights impact assessment for high-risk AI systems.
• European Commission AI Act Service Desk, Article 13: Transparency and provision of information to deployers.