Nar general-purpose AI-modeller galler och vad du gor harnast

General-purpose AI-modeller galler for ett SaaS-team nar foretaget tillhandahaller, integrerar, deployar, fine-tunar, konfigurerar eller ar materiellt beroende av en modell som kan gora manga olika uppgifter. Forsta fragan ar inte om foretaget ar ett modellabb. Den ar var modeller finns i produkt, leverantorer, interna workflows, kundloften och bevis.

Enligt EU AI Act finns huvudkraven i kapitel V. Artikel 53 kraver teknisk dokumentation, information till downstream providers, copyrightpolicy och offentlig traningssammanfattning. Artikel 55 lagger till krav for modeller med systemrisk. Artikel 51 forklarar klassificeringen.

Nar det galler i praktiken

Det galler nar produkt eller process beror pa en allman modell: API, copilot, dokumentsammanfattning, rekommendationer, klassificering, support svar, search, text- eller kodgenerering, eller kundkonfigurerbara workflows.

Det galler ocksa internt. Support, sales, security eller operations kan anvanda AI sa att fragor om privacy, sakerhet, copyright, kundfortroende och role mapping uppstar.

Nar det kanske inte ar huvudfragan

Vid lagrisk intern anvandning kan acceptable use, sekretess och sakerhet vara viktigare an full modellprovideranalys. Men "galler inte" ska dokumenteras. En liten pilot kan bli produktberoende.

Steg 1: modellinventering

Lista hosted APIs, open source, fine-tuning, vendor features, interna verktyg, copilots, support assistants, analytics och kundkonfigurerbara workflows.

For varje post, registrera modell, provider, version, hosting, use case, agare, data, kundexponering, viktiga outputs, fine-tuning, kundkonfiguration och vendordokumentation.

Steg 2: rollkarta

Avgor om foretaget ar modellprovider, downstream provider av AI-system, deployer, anvandare av vendor feature eller modifierare av modellen. Rollen styr skyldigheter och beviskrav.

Rollkartan hor hemma i product intake, vendor review, security, privacy, architecture, launch readiness och customer trust.

Steg 3: providerbevis

Om extern modell finns, samla bevis tidigt. Fraga om formagor, begransningar, tillaten anvandning, versioner, change notices, security, evaluation, retention, data for training, copyright, traningssammanfattning och incidenter.

Om providern namner systemrisk, fraga vilka artikel 55-bevis som finns och vilka andringar som kraver notis.

Steg 4: reviewvag

All anvandning behover inte samma review. Latt for godkand intern produktivitet. Standard for vendor features, copilots, support, analytics eller kundsynliga outputs. Forstarkt for kansliga data, reglerade kunder, fine-tuning, kritiskt beroende eller kundkonfiguration.

Varje review ska sluta med approved, approved with conditions, blocked eller more facts needed. Villkor behover agare och datum.

Steg 5: andringstriggers

Beslut aldras snabbt. Ny provider, version, feature, data, reglerad kund, fine-tuning, hosting, vendor policy, incident eller viktig beteendeforandring ska oppna review igen.

FAQ

Vad ar syftet med denna governance?

Att veta var modeller paverkar foretaget, vilken roll foretaget har, vilka bevis som finns, vilka kontroller som galler och nar beslutet ska granskas igen.

Nar galler det for SaaS?

Nar teamet tillhandahaller, integrerar, deployar, konfigurerar, fine-tunar eller beror pa en modell i produkt, workflow, vendor relation, kundlofte eller enterprise review.

Vad dokumenteras forst?

Modellinventering och rollkarta. Sedan providerbevis, version, use case, data, kunder, security, privacy, copyright, begransningar, monitoring, andringar och godkanda svar.

Sources

• Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence.
• European Commission AI Act Service Desk, Article 51, Article 53, Article 55, Article 56 and Article 113.