Forbjudna AI-praktiker: praktisk guide for SaaS-team

Forbjudna AI-praktiker ar AI-anvandningar som ett SaaS-team bor blockera innan de nar kunder, medarbetare, vendorworkflows eller interna processer. Article 5 i EU AI Act omfattar en begransad grupp praktiker som behandlas som oacceptabla, bland annat skadlig manipulation, utnyttjande av sarbarheter, vissa former av social scoring, vissa brottsrisksbedomningar, oriktad scraping av ansiktsbilder, emotion recognition pa arbetsplats och i utbildning, kanslig biometrisk kategorisering och biometrisk fjarridentifiering i realtid i offentliga miljoer for law enforcement, med smala undantag.

Det praktiska svaret ar att inte vanta tills legal granskar en fardig feature. Bygg ett pre-launch screen som fragar om ett AI-use-case kan falla in i en forbjuden kategori, blockerar tydliga fall, eskalerar osakra fall och sparar evidens for beslutet. Det ska tacka produktfunktioner, interna verktyg, inbyggda vendorsystem, modellintegrationer och kundkonfigurerbara automatiseringar.

Varfor det spelar roll

Screening av forbjudna praktiker ar forsta porten i AI governance. Om ett use case ar forbjudet ska teamet inte bygga vanliga kontroller runt det. Ratt svar ar att stoppa, designa om, avgransa eller eskalera innan arbetet fastnar i roadmapen eller i ett kundlofte.

I SaaS kommer AI ofta in stegvis: produktnudges, account scoring, HR analytics, vendorverktyg eller biometriska moduler i plattformar som redan anvands. En liten ticket kan andra tjanstens regulatoriska och etiska position.

Vad som ska kontrolleras

Oversatt Article 5 till operativa fragor. Anvander systemet dolda, manipulativa eller vilseledande tekniker som kan forandra beslut och orsaka betydande skada? Utnyttjar det sarbarheter kopplade till alder, funktionsnedsattning eller social eller ekonomisk situation? Bedomer det personer mellan olika kontexter? Ror det social scoring, brottsprediktion enbart baserad pa profiling, ansiktsigenkanningsdatabaser fran scraping, emotion recognition i arbete eller utbildning, kanslig biometrisk inferens eller biometrisk fjarridentifiering?

Modellnamnet racker inte. Titta pa syfte, kontext, data, berorda personer och outputens effekt.

Praktiskt workflow

Lagg till AI-fragor i product review, vendor review, security review, privacy review och godkannande av interna verktyg. Fraga inte bara om nagot ar forbjudet. Fraga vad systemet gor, vem som paverkas, vilka data det anvander, om det paverkar beslut, om det behandlar biometri, om det drar slutsatser om kanslor och om caset ror arbete, utbildning, kredit, viktiga tjanster, law enforcement eller allman sakerhet.

Tydliga nej kan ga vidare till vanlig AI-klassificering och risk review. Tydliga ja ska stoppa arbetet tills legal och compliance godkanner redesign eller bekraftar att caset ligger utanfor forbudet. Osakra svar gar till en utsedd reviewer.

Beslutet ska dokumentera system, agare, vendor, syfte, berorda personer, data, geografi, AI Act-roll, Article 5-fragor, slutsats, motivering, kravda andringar, approver och trigger for ny review.

Evidens att spara

Spara intake, produkt- eller vendorbeskrivning, data-flow note, analys av berorda personer, screenshots eller konfiguration, beslut, motivering, reviewer, datum och redesignatgarder. Med en vendor sparar ni AI-dokumentation, avtalsataganden och svar om biometri, emotion recognition, profiling, modelltraning och anvandarmanipulation.

Evidensen ska ocksa visa nar beslutet ska oppnas igen: nytt syfte, ny anvandargrupp, ny marknad, nya datakallor, andrad human review, kundkonfiguration eller ny guidance.

Vanliga misstag

Det forsta misstaget ar att granska for sent. Nar en feature nastan ar klar kan design, avtal, messaging och engineering redan bygga pa fel antagande. Det andra ar att bara granska customer-facing features. Interna verktyg kan ocksa skapa risk nar de paverkar anstallda, kandidater, utbildning, produktivitet, fraud, support eller security.

Lita inte pa vendorlabels som insight, sentiment, safety eller personalization. Den verkliga fragan ar vad systemet gor och hur det paverkar manniskor. Human in the loop kan hjalpa, men det botar inte automatiskt forbjuden manipulation eller kanslig biometrisk inferens.

FAQ

Vad ar det praktiska syftet?

Att identifiera AI-anvandningar som ska blockeras, designas om eller eskaleras innan de gar in i produkt, vendorworkflow eller intern process.

Nar galler detta for SaaS?

Nar teamet bygger, koper, integrerar, saljer, konfigurerar eller anvander AI som kan berora en Article 5-kategori.

Vad ska dokumenteras forst?

Ett intake, decision record, utsedd reviewer och launch gate kopplad till product, vendor, privacy, security och customer trust.

Sources

• Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence.
• European Commission guidelines on prohibited artificial intelligence practices.
• European Commission studies on Article 5 of the AI Act.