Hogrisk AI-system: praktisk guide for SaaS-team

Hogrisk AI-system ar system som hamnar i EU AI Acts striktare compliance-rutt pa grund av syfte, produktkontext eller mojlig paverkan pa halsa, sakerhet eller grundlaggande rattigheter. For SaaS-team ar den praktiska fragan inte bara om produkten anvander AI. Fragan ar om ett konkret use case ar sakerhetskomponent i en reglerad produkt, sjalv ar en reglerad produkt, eller ar avsedd for ett Annex III-use case.

Om svaret kan vara ja behover teamet ett strukturerat workflow. Det ska identifiera system, roll, syfte, berorda personer, data, kundkonfiguration, vendor, bevis, kontroller, agare och launch gate. Beslutet ska inte bara finnas i ett juridiskt memo; det ska styra hur product, engineering, security, privacy, compliance och kundteam arbetar.

European Commissions draft guidelines fran maj 2026 ar anvandbara eftersom de forklarar aktuell tolkning av Article 6 och ger praktiska exempel. De ar fortfarande draft guidance, sa AI Act ar kallan till den juridiska skyldigheten.

Varfor det spelar roll

High-risk klassificering kan aktivera risk management, data governance, teknisk dokumentation, logging, transparens, human oversight, accuracy, robustness, cybersecurity, quality management, conformity assessment, registrering, monitoring och incident handling.

Den storsta operativa risken ar oklarhet. Ett team kan lansera ranking, scoring, filtering, rekommendationer, HR, education, healthcare eller access decisions utan att avgora om high-risk-rutten galler. Nar procurement, kundsecurity eller audit fragar kan featuret redan ligga i avtal.

Klassificering skyndar pa eftersom den routar arbetet. En drafting assistant behover inte samma process som ett system som filtrerar kandidater. Ett internt sammanfattningsverktyg ar inte samma sak som scoring for kredit, arbete, utbildning eller essential services.

Tva huvudrutter

Den forsta rutten galler reglerade produkter. Ett AI-system kan vara high-risk om det ar sakerhetskomponent i en produkt, eller sjalva produkten, som omfattas av harmoniseringslagstiftning i Annex I och kraver third-party conformity assessment. Detta ar relevant for SaaS inom medical devices, machinery, transport, aviation, robotics, industri eller infrastructure.

Den andra rutten ar Annex III: biometrics, critical infrastructure, education, employment, worker management, essential services, law enforcement, migration, justice och democratic processes. Analysen beror pa syfte och konkret anvandning, inte modellnamn.

For SaaS ar Annex III ofta vanligast. Hiring, candidate filtering, worker evaluation, student assessment, creditworthiness, insurance risk, biometric identification eller legal decision support behover djupare review.

Nar review ska startas

Starta review vid nytt AI feature, ny modell eller vendor, nytt syfte, ny kundkonfiguration, anvandning i HR, education, healthcare, essential services, credit eller insurance, biometri, automatiserad ranking, mindre human review, EU-marknadsintrade eller kundfragor om AI Act.

Vendor AI kraver samma disciplin. Ord som insight, intelligence, automation, recommendation, screening, identity eller safety svarar inte pa klassificeringen. Teamet maste veta vad systemet gor, vilka data det anvander, vem som paverkas, hur output anvands, vilka kansliga konfigurationer som finns och vilken roll kunden har.

Praktiskt workflow

Borja med en kort intake: system, agare, syfte, user journey, berorda personer, geografi, data, modell eller vendor, AI Act-roll, output, human review, kundkonfiguration och koppling till Annex I eller Annex III.

Routa sedan. Fall utan red flags gar till vanlig klassificering, privacy, security och vendor review. Troliga high-risk-kandidater gar till legal och compliance assessment fore launch. Oklara fall gar till en namngiven reviewer med deadline.

For troliga high-risk-system utokas posten: risk management, data governance, technical documentation, logging, instructions for use, human oversight, testing, cybersecurity, post-market monitoring, incident escalation, vendor evidence, conformity route och kunddokumentation.

Bevis och agarskap

Bevis ska svara pa vad som granskades, varfor klassificeringen valdes, vilka kontroller som foljde och nar beslutet oppnas igen. Spara inventory, intake, produkt- eller vendorbeskrivning, data flow, analys av berorda personer, intended purpose, screening, role analysis, slutsats, reviewer, datum, kallor, launch decision, kontroller och reviewtrigger.

Product ager syfte och konfiguration. Engineering ager arkitektur, data, loggar och testing. Security ager vendor och cybersecurity. Privacy ager data protection. Legal och compliance ager AI Act-tolkning och evidence standard. Leadership ager risk acceptance for kansliga eller oklara lanseringar.

Vanliga misstag

Forsta misstaget ar att behandla high-risk som en marketikett. Samma modell kan stodja low-risk drafting eller high-risk employment review. Det andra ar att lita bara pa vendor assurances. Det tredje ar att anta att human review loser allt. Det fjarde ar att missa change management nar syfte, data, geografi, kund, modell eller oversight andras.

FAQ

Vad ar det praktiska syftet?

Att identifiera AI-system som kraver striktare governance-rutt, starkare bevis och lifecycle controls innan de satts pa marknaden, tas i bruk eller anvands i kansliga workflows.

Nar galler det SaaS-team?

Nar teamet bygger, saljer, integrerar, konfigurerar eller anvander AI som sakerhetskomponent i en reglerad produkt, som reglerad produkt eller for Annex III-use cases som arbete, utbildning, essential services, biometrics, law enforcement, migration, justice eller democratic processes.

Vad dokumenteras forst?

AI inventory, high-risk intake, role analysis, intended purpose, berorda personer, classification decision, agare, bevisplats och launch gate.

Sources

• Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence.
• European Commission draft guidelines on the classification of high-risk AI systems.
• European Commission AI Act FAQ on high-risk AI systems.
• AI Act Service Desk guidance on high-risk AI in regulated products.