EU:s AI-lag kommer att förändra hur företag utvecklar och använder artificiell intelligens, med full tillsyn väntad till 2026. För att hjälpa företag att förbereda sig höll Deel ett webbinarium där egna experter delade insikter om AI-regelefterlevnad och riskhantering.

Emily Johnson, Senior Privacy and AI Compliance Manager på Deel, och Tima Anwana-Gangl, Privacy and AI Manager, delade med sig av sina erfarenheter av att arbeta tvärs över team för att säkerställa Deels efterlevnad av de kommande reglerna. De gick igenom AI-lagens viktigaste delar, konkreta åtgärder företag kan vidta redan nu och strategier för att hantera regelefterlevnadsutmaningar.

Den här sammanfattningen lyfter de viktigaste insikterna från diskussionen, så att du kan ligga steget före regeländringar och minska AI-relaterade risker.

Eller se hela webbinariet on-demand här: Så hanterar du EU:s AI-lag: säkerställ efterlevnad och minska risker

Vad är EU:s AI-lag?

EU:s AI-lag är den första heltäckande lagstiftningen för artificiell intelligens. Den har tagits fram som svar på AI-teknikens snabba utveckling och syftar till att säkerställa att AI används på ett säkert och transparent sätt, samtidigt som grundläggande rättigheter skyddas.

Omfattning och tidsplan

AI-lagen gäller både företag inom EU och icke-EU-bolag som erbjuder AI-system på EU-marknaden. De första kraven, såsom utbildningsskyldigheter inom AI, började gälla i februari 2024, och fullständig efterlevnad krävs från augusti 2025.

Regelefterlevnad och överlappande regelverk

Företag måste säkerställa att deras AI-system följer befintliga regelverk, som GDPR, eftersom AI ofta hanterar personuppgifter. Till exempel kan AI-drivna verktyg för kandidatspårning och intervjuanalyser medföra ytterligare krav på dataskydd.

Varför regelefterlevnad är viktig

Att inte följa AI-lagen kan leda till stora risker, med böter på upp till 35 miljoner euro eller 7 % av den globala årsomsättningen – högre än GDPR-sanktioner. Utöver ekonomiska konsekvenser riskerar företag även driftstopp och skadat rykte. Efterlevnad är avgörande för att behålla förtroende och affärskontinuitet.

Företags största utmaningar med AI-regelefterlevnad

En av de största utmaningarna för företag som implementerar AI är att få en fullständig överblick över sitt AI-ekosystem. Efterlevnad börjar med att kartlägga alla AI-system – både internt utvecklade och tredjepartslösningar. På Deel krävdes samarbete mellan teamen för att identifiera alla AI-verktyg innan vi kunde fastställa vilka åtgärder som behövdes för att uppfylla reglerna.

Utöver överblick är det också en utmaning att få hela organisationen med på tåget. Det är avgörande att teamen förstår vikten av AI-regelefterlevnad och följer rätt rutiner. För att bygga förtroende, både internt och hos kunder, krävs tydliga riktlinjer för AI-användning, strikta dataskyddsåtgärder och noggrann granskning av AI-system så att de uppfyller regelverken.

AI i vardagen – vad omfattas av AI-lagen?

AI är numera en naturlig del av många företags vardag – och mycket av det omfattas av AI-lagen. Här är några viktiga exempel:

• Språk- och konversations-AI: Verktyg som ChatGPT och Deel AI är exempel på AI med bred användning, som kan generera text och bilder, strukturera idéer och mycket mer. Dessa verktyg används inom flera olika branscher
• Rekrytering och medarbetarhantering: AI används ofta inom HR för uppgifter som CV-granskning, kandidatrankning och intervjuanalyser. Dessa verktyg automatiserar och effektiviserar rekryteringsprocessen
• Övervakning och validering: AI används för att upptäcka misstänkt beteende eller bedrägeri vid transaktionsövervakning samt för att säkerställa att anställda får rätt dokument i tid, vilket skapar en extra säkerhetsnivå
• Utvärdering och automation: AI används allt mer i prestationsbedömningar genom att analysera medarbetardata och jämföra prestationer över tid, vilket hjälper till vid utvärderingar och feedback

AI-lagens riskklassificeringssystem

EU:s AI-lag delar in AI-system efter risknivå och ställer högre krav på de system som innebär större risker.

Oacceptabel risk (förbjudna AI-system)

AI-system som innebär allvarliga risker för individer eller samhället är helt förbjudna. Det gäller till exempel AI som används för att vilseleda, manipulera eller utnyttja sårbarheter, samt system för förutsägande brottsbekämpning eller riskbedömning av brott.

Hög risk (strikt reglerade AI-system)

Högrisk-AI är tillåten men måste uppfylla strikta krav eftersom den kan orsaka stor skada. Exempel inkluderar AI i medicinteknik, leksaker för barn, utbildning och – viktigt nog – HR och arbetsliv. AI-verktyg som används för rekrytering, befordran, uppsägningar och medarbetarhantering ingår i denna kategori.

Begränsad risk (krav på transparens)

AI-system som skapar innehåll, som chatbotar och bildgenereringsverktyg, räknas som begränsad risk. Dessa måste uppfylla transparenskrav, till exempel genom att informera användare om att de interagerar med AI och märka AI-genererat innehåll.

Minimal risk (inga extra regler)

AI-system med minimal risk, såsom grammatikkontroller, översättningsverktyg och skräppostfilter, kan användas fritt utan extra regler eftersom de innebär liten eller ingen risk.

AI-lagen anpassar reglerna efter risknivå för att säkerställa att kraven står i proportion till den potentiella skadan.

Se även: AI i HR: hur passar det in i Europas AI-reglering?

Rollklassificering enligt AI-lagen

AI-lagen fördelar också ansvaret för regelefterlevnad beroende på om en aktör utvecklar, distribuerar eller använder AI. Syftet är att säkerställa att alla parter i AI-system hålls ansvariga enligt lagen.

Leverantörer (utvecklare av AI-system)

Leverantörer bygger AI-system själva eller säljer dem under sitt eget namn. De har huvudansvaret för att säkerställa att AI-lagen efterlevs. Till exempel är OpenAI leverantören bakom ChatGPT.

Andra leverantörer (integratörer och white-label-användare)

Vidareutvecklare och white-label-leverantörer använder eller anpassar en AI-modell som utvecklats av en annan aktör. De ansvarar för att säkerställa att deras specifika tillämpning följer reglerna.

Användare (företag som implementerar AI-system)

Användare implementerar AI-system i sina organisationer och ansvarar för att säkerställa regelefterlevnad, till exempel genom att sätta upp riktlinjer för AI-användning.

Så förbereder du dig för AI-lagen

Deel har tagit fram en trestegsmodell för att följa EU:s AI-lag. Företag kan använda en liknande process för att säkerställa att de är redo.

Steg 1: Kartläggning av AI-system

Börja med att identifiera alla AI-system som ditt företag utvecklar och använder. Samarbeta med olika team för att få en fullständig översikt.

• Tänk på att vissa verktyg kan ha fått AI-funktioner i efterhand. Exempel: Google Workspace inkluderar nu Gemini AI, även om det inte gjorde det vid införandet.

Steg 2: Identifiera roller och intressenter

• Fastställ din organisations roll i AI-kedjan: Är ni en leverantör, vidareutvecklare eller användare?
• Identifiera interna ansvariga för AI-systemen – olika team hanterar olika AI-applikationer.

Exempel: Teknikteamet ansvarar för AI-utveckling, medan rekryteringsteamet hanterar AI-drivna rekryteringsverktyg.

Steg 3: Riskklassificering

Utvärdera varje AI-system utifrån de riskkategorier som anges i EU:s AI-lag. Det handlar om att bedöma systemet i förhållande till den riskklassificering som lagen fastställer.

Genom att följa dessa steg kan företag arbeta proaktivt för att uppfylla AI-lagen och hantera AI-relaterade risker på ett effektivt sätt.

Så tar du fram en AI-handlingsplan

När du har kartlagt AI-system, identifierat roller och klassificerat risker är nästa steg att skapa en AI-handlingsplan. Planen fungerar som en guide för att uppfylla EU:s AI-lag genom att tydliggöra eventuella brister, risker, åtgärder och vad som ska prioriteras.

Identifiera dina risker

En viktig del av AI-handlingsplanen är att identifiera och dokumentera riskerna med AI-system. Det innebär att:

• Klassificera AI-system utifrån deras risknivå (t.ex. minimal, begränsad, hög eller oacceptabel risk)
• Utvärdera potentiella risker, såsom bias, diskriminering, brott mot dataskydd, cybersäkerhetshot och juridisk bristande efterlevnad
• Ta fram åtgärder för att minska risker, såsom mänsklig granskning, bias-detektering och regelbundna systemrevisioner
• Identifiera brister i styrningen, såsom avsaknad av policys, otydliga ansvarsfördelningar eller bristfällig teknisk dokumentation

Genom att hantera dessa risker i ett tidigt skede kan företag undvika regelefterlevnadsproblem och säkerställa en etisk användning av AI.

Genomförande enligt AI-lagens krav

Mänsklig granskning

EU:s AI-lag kräver att högrisk-AI har mänsklig granskning för att förhindra skadliga beslut och säkerställa ansvarstagande. Företag måste:

• Införa kontrollmekanismer för att övervaka AI-system och ingripa vid behov
• Säkerställa mänskligt godkännande av AI-beslut, särskilt inom områden som rekrytering, kreditbedömning och brottsbekämpning
• Använda en ”human-in-the-loop”-modell där AI:s resultat granskas och godkänns av utbildad personal innan beslut fattas

Transparens och tydlighet

För att följa EU:s AI-lag måste företag se till att AI-system är transparenta och lätta att förstå. Det innebär att:

• Ta fram tydlig dokumentation om hur AI-system fungerar, inklusive vilka träningsdata som används och hur beslut fattas
• Se till att användare förstår AI-beslut, särskilt när de påverkar individers rättigheter eller möjligheter
• Publicera transparenspolicyer, uppdatera integritetspolicyer med AI-relaterade villkor och ha en FAQ om AI-användning

Bedömning av regelefterlevnad

Högrisk-AI måste genomgå efterlevnadsbedömningar för att säkerställa att de följer EU:s regelverk. Dessa bedömningar:

• Bedömer AI-modeller utifrån tekniska, etiska och juridiska krav
• Skiljer mellan bedömningar av mänskliga rättigheter (som fokuserar på sociala risker) och efterlevnadsbedömningar (som fokuserar på produktens regeluppfyllnad)
• Dokumentera efterlevnadsarbetet så att myndigheter och intressenter kan verifiera att lagkraven följs

Företag som använder AI måste ha detaljerad dokumentation över sina regelefterlevnadsbedömningar och vara redo för externa granskningar.

Bedömning av tekniska åtgärder

Teknisk regelefterlevnad innebär att införa skyddsåtgärder för att säkerställa att AI-system fungerar säkert och etiskt. Det innebär bland annat:

• Ramverk för datahantering som säkerställer att träningsdata är opartisk och representativ
• Cybersäkerhetsåtgärder för att förhindra manipulation eller hackerattacker mot AI-system
• Regelbunden testning och validering för att säkerställa att systemet är träffsäkert och rättvist
• Hålla teknisk dokumentation uppdaterad för interna och externa efterlevnadsgranskningar

Genom att proaktivt hantera dessa tekniska krav kan organisationer undvika sanktioner och säkerställa att AI-systemen fungerar som de ska.

Registreringskrav

Leverantörer av högrisk-AI-system måste registrera sina modeller i en EU-gemensam databas. Det innebär:

• Skicka in detaljerad systemdokumentation som beskriver funktionalitet, avsedd användning och strategier för att minska risker
• Uppdatera register regelbundet för att återspegla förändringar i systemets kapabiliteter och efterlevnadsinsatser
• Säkerställa transparens vid AI-implementering, vilket gör det möjligt för regleringsmyndigheter att övervaka AI-applikationer inom olika branscher

Organisationer som inte registrerar tillämpliga AI-system riskerar regulatoriska böter och restriktioner för systemanvändning.

Kunskap och utbildning

Från och med februari 2025 måste organisationer säkerställa att anställda får utbildning i AI-kunskap och efterlevnad. Utbildningen bör omfatta:

• Juridiska och etiska skyldigheter enligt EU:s AI-förordning
• Bedömning av AI-risker och strategier för att minska risker
• Protokoll för hantering av incidenter vid AI-relaterade fel eller överträdelser
• Skräddarsydd utbildning för olika team (t.ex. teknisk utbildning för ingenjörer, medan HR fokuserar på etisk användning av AI)

Deel har infört AI-specifika utbildningsprogram för att säkerställa att anställda på olika avdelningar förstår ansvarsfulla AI-praktiker.

Se även: AI i HR: Hur arbetsgivare kan stänga beredskapsgapet

Leverantörsutvärderingar

Företag som använder tredjeparts-AI-system måste genomföra leverantörsutvärderingar för att säkerställa efterlevnad. Detta innebär:

• Granska avtal för att verifiera att AI-leverantörer uppfyller EU:s regleringar
• Genomföra oberoende granskningar av leverantörers AI-modeller, med fokus på bias, transparens och säkerhet
• Kräva att AI-leverantörer fyller i efterlevnadsfrågeformulär, för att säkerställa att deras system överensstämmer med regulatoriska standarder

Att implementera AI utan ordentliga leverantörsutvärderingar kan utsätta organisationer för juridiska och ekonomiska risker, vilket gör att noggrann due diligence är ett viktigt efterlevnadsskede.

Genom att följa dessa strukturerade steg kan organisationer säkerställa efterlevnad av AI-regler, minska risker och leva upp till kraven i EU:s AI-förordning.

Så minskar Deel etiska risker

På Deel är det en högsta prioritet att minska etiska risker i AI-verktyg, särskilt inom rekrytering. Tima Anwana-Gangl berättade att Deel tillämpar en tydlig ”human-in-the-loop”-princip för att förhindra potentiella bias i automatiserade processer, som till exempel ras- eller könsdiskriminering.

Deel ser också över tredjepartsverktyg med AI för att säkerställa att de följer etiska riktlinjer. Det handlar bland annat om att kolla vilket träningsdata som används och hur personuppgifter behandlas. Målet är att använda AI som ett stöd – inte som den som fattar besluten – så att det mänskliga omdömet alltid finns med i rekryteringsprocessen.

Deel hanterar även etiska riskbedömningar internt, med hjälp av experter som Emily Johnson och Tima, som har många års erfarenhet och gedda kvalifikationer inom området.

Kommer AI-lagen sprida sig globalt?

EU:s AI-lag är banbrytande – men det är långt ifrån en enskild satsning. Tima Anwana-Gangl lyfte att liknande initiativ är på gång runt om i världen.

Emily Johnson påpekade att även om EU:s AI-lag är den första i sitt slag, så följer länder som Sydkorea och Singapore efter med egna AI-regler – ofta i linje med EU:s ramverk.

Även om Storbritannien inte längre lyder under EU:s lagstiftning, håller de också på att ta fram principer för rättvisa, transparens och mänskliga rättigheter vid användning av AI – med liknande fokusområden som i EU.

AI och risken för att jobb försvinner

Det är vanligt att känna oro för att AI ska ta över jobb – särskilt inom HR. Tima Anwana-Gangl berättade att många kunder är just oroliga för att AI ska ersätta deras roller. Men som Emily Johnson påpekade har teknikutveckling historiskt sett snarare förändrat arbetsmarknaden än tagit bort jobb – och ofta skapat nya möjligheter längs vägen.

Tima höll med och la till att nya roller som AI Ethics Officer börjar dyka upp. De här tjänsterna handlar om att se till att AI utvecklas på ett sätt som följer etiska riktlinjer. Både Tima och Emily ser AI som en möjlighet för yrkesverksamma att utvecklas och hitta nya karriärvägar inom AI-ledning och etik.

Kommer AI-lagen att påverka innovationen?

En vanlig oro kring EU:s AI-lag är hur den kan påverka innovation. Emily Johnson berättade att vissa kunder är rädda att den ska bromsa användningen av AI-system.

Tima tog upp den här oron och förklarade att även om nya lagar för ny teknik ibland kan uppfattas som ett hinder, så handlar AI-lagen snarare om att ge en tydlig ram för att utveckla AI på ett ansvarsfullt sätt.

Tima lyfte att AI-lagen ställer krav som till stor del överlappar med befintliga lagar och riktlinjer – särskilt när det gäller dataskydd, kvalitetsstandarder, datastyrning och behovet av mänsklig kontroll.

Tima påpekade också att AI-lagen innehåller inslag som så kallade regulatoriska sandlådor, vilket gör det möjligt för företag att testa sina AI-verktyg i kontrollerade miljöer.

Få hjälp och stöd

När företag tar sig an de komplexa AI-reglerna finns det flera viktiga sätt att få stöd och hjälp för att säkerställa efterlevnad.

Deels AI-rådgivningstjänster

Deel erbjuder AI-rådgivning med Tima Anwana-Gangl, Emily Johnson och deras team i spetsen. De har tagit fram egna mallar, till exempel för bedömning av mänskliga rättigheter, som hjälper kunder att leva upp till kraven på AI-efterlevnad. För företag som saknar egen expertis erbjuder Deel även praktisk rådgivning – från vägledning genom hela bedömningsprocessen till att dela med sig av kunskap och bästa praxis.

EU-kommissionens vägledningar och resurser

Företag kan också ta hjälp av resurser från EU-kommissionen, det europeiska AI-kontoret och dataskyddsmyndigheter. De erbjuder vägledningar kring hur AI-lagen ska följas och hur den hänger ihop med annan lagstiftning. Att hålla sig uppdaterad via dessa källor är viktigt för företag som vill hänga med i utvecklingen och följa reglerna.

Deels Compliance Monitor

Deels Compliance Monitor ger företag uppdateringar i realtid om lagändringar och nya riktlinjer världen över. Verktyget hjälper organisationer att hålla koll på AI-regler och säkerställa efterlevnad – särskilt när det gäller att avgöra om ett AI-system räknas som högrisk eller hör till kategorin otillåten användning.

Säkerställ AI-efterlevnad med Deel

Vill du fördjupa dig i insikterna från webbinariet? Se hela sessionen här. Eller vill du veta hur Deel kan hjälpa dig att uppfylla kraven i AI-lagen – samtidigt som du drar nytta av Deel AI för smidig global rekrytering, löner, HR och regelefterlevnad för internationella team? Boka ett möte med vårt team.