Up North AIUp North
Tillbaka till insikter
9 min läsning

Vad EU:s AI Act innebär för SaaS-företag

SaaS-företag står inför en unik utmaning under EU:s AI Act: du kan vara både användare av AI-verktyg och leverantör av AI-system. Den här guiden förklarar skillnaden, varför den spelar roll och vad CTO:er behöver göra nu.

ai-actcompliancesaas
Share

Problemet med dubbla identiteter

Om du är CTO eller teknikansvarig på ett SaaS-företag placerar EU:s AI Act dig i en position som de flesta andra verksamheter inte möter: du kan bli reglerad från två håll samtidigt.

Å ena sidan använder ditt team AI-verktyg — Copilot för kodgenerering, ChatGPT för supportutkast, Intercoms AI för kundkonversationer, Salesforce Einstein för leadscoring. Det gör dig till en användare.

Å andra sidan, om din egen produkt har AI-funktioner — rekommendationsmotorer, automatiserad klassificering, prediktiv analys, AI-driven sökning — kan du vara en leverantör. Och skyldigheterna för leverantörer är dramatiskt tyngre än för användare.

De flesta SaaS-företag vi arbetar med har inte tänkt på denna distinktion. De antog att AI Act handlade om ChatGPT och ansiktsigenkänning — någon annans problem. Det gör den inte. Om du levererar mjukvara med AI-kapacitet till kunder i EU påverkar denna förordning direkt din produktplan, dina arkitekturbeslut och potentiellt din lanseringstidslinje.

Leverantör vs. användare: distinktionen som förändrar allt

Detta är det enskilt viktigaste konceptet i AI Act för SaaS-företag. Får du det fel kommer du antingen att överinvestera i efterlevnad du inte behöver, eller underinvestera i efterlevnad du definitivt behöver.

Användare (Article 3(4))

En användare är den som använder ett AI-system under sin auktoritet. När ditt marknadsföringsteam använder ChatGPT för att skriva e-post är du en användare. När dina ingenjörer använder Copilot är du en användare. När ditt säljteam förlitar sig på Salesforce Einstein är du en användare.

Användarens skyldigheter är hanterbara. För högrisk-system behöver du mänsklig tillsyn, transparens gentemot berörda personer, konsekvensbedömningar och dokumentation. För generella AI-system och verktyg med lägre risk är skyldigheterna lättare — främst transparens och AI-literacitet.

Leverantör (Article 3(3))

En leverantör är den som utvecklar ett AI-system eller låter utveckla ett AI-system och släpper det på marknaden eller tar det i bruk under eget namn eller varumärke. Det är här SaaS-företag fastnar.

Om din produkt inkluderar:

  • En AI-driven funktion som gör förutsägelser, rekommendationer eller beslut
  • En maskininlärningsmodell du har tränat eller finjusterat
  • Ett automatiserat klassificerings- eller poängsättningssystem
  • En generativ AI-funktion (text-, bild- eller kodgenerering)

...och du säljer eller licensierar produkten till kunder, är du sannolikt en leverantör av ett AI-system.

Leverantörens skyldigheter är omfattande: teknisk dokumentation, kvalitetsledningssystem, överensstämmelsebedömningar, marknadsövervakning efter lansering, incidentrapportering och potentiellt registrering i EU:s databas.

Komplikationen med "generella AI-system"

Om du integrerar en grundmodell (GPT-4, Claude, Gemini) i din produkt bygger du på det som AI Act kallar en generell AI-modell (GPAI). GPAI-leverantören (OpenAI, Anthropic, Google) har skyldigheter enligt Articles 53-55. Men när du paketerar den modellen i din produkt och levererar den till kunder tar du på dig leverantörsskyldigheter för det resulterande AI-systemet. GPAI-leverantörens efterlevnad täcker inte din.

Detta överraskar många SaaS-företag. "Vi använder bara OpenAI:s API" undantar dig inte från att vara leverantör av det AI-system du byggde ovanpå det.

Vanliga SaaS-verktyg och deras riskklassificering

Verktyg du använder (ditt team använder internt)

Generella AI-verktyg (GPAI-transparensskyldigheter)

  • GitHub Copilot — Kodgenerering. Minimal risk för de flesta användningsfall. Din skyldighet: säkerställ att utvecklare förstår att det är AI-genererad kod och granskar den. AI-literacitetsutbildning gäller.
  • ChatGPT / Claude — Textgenerering. Minimal risk för intern användning. Skyldighet: använd det inte för förbjudna metoder, säkerställ AI-literacitet. Om kundriktat gäller transparensskyldigheter.
  • Notion AI, Grammarly — Skrivassistans. Minimal risk.

Verktyg som kan vara högrisk beroende på användning

  • Intercom AI / Fin — Kundsupportchattbot. Om den fattar beslut som väsentligt påverkar kunder (t.ex. ärendehantering, tillgång till tjänster) kan den kvalificera som högrisk. Du måste åtminstone informera användare om att de interagerar med AI (Article 50).
  • Salesforce Einstein — Leadscoring och förutsägelser. Generellt inte högrisk om det inte används för kreditbeslut eller på ett sätt som påverkar tillgången till väsentliga tjänster.
  • HubSpot AI — Marknadsföringsautomation och scoring. Liknande Einstein — risknivån beror på de efterföljande besluten.

AI-funktioner du tillhandahåller (i din produkt)

Här blir det allvarligt. Ställ dig själv dessa frågor om varje AI-funktion i din produkt:

  1. Faller den under Annex III? Om din AI-funktion används av kunder för rekrytering, kreditbedömning, försäkringsprissättning, tillgång till utbildning, brottsbekämpning eller hantering av kritisk infrastruktur är den högrisk oavsett vad din produkt gör.

  2. Är den en säkerhetskomponent? Om din AI-funktion är inbäddad i en produkt som omfattas av EU:s produktsäkerhetslagstiftning (medicintekniska produkter, maskiner, fordon) är den högrisk.

  3. Interagerar den med fysiska personer? I så fall måste du åtminstone informera användare om att de interagerar med AI (Article 50). Om den genererar syntetiskt innehåll (deepfakes, AI-text, AI-bilder) måste du säkerställa att innehållet är maskinläsbart som AI-genererat.

  4. Har du finjusterat eller väsentligt modifierat en GPAI-modell? Om du tog en grundmodell och finjusterade den för ett specifikt syfte kan du klassificeras som leverantör av ett nytt AI-system — inte bara någon som använder ett API.

Leverantörens efterlevnadsstack

Om du fastställer att din SaaS-produkt gör dig till leverantör av ett högrisk-AI-system, här är vad du står inför:

Teknisk dokumentation (Article 11, Annex IV)

Du behöver omfattande dokumentation som täcker:

  • Systembeskrivning och avsett syfte
  • Design- och utvecklingsmetodik
  • Datastyrning (tränings-, validerings- och testdata)
  • Åtgärder för mänsklig tillsyn
  • Specifikationer för noggrannhet, robusthet och cybersäkerhet
  • Kända begränsningar och förutsebara missbruksscenarier

Detta är inte en sammanfattning på en sida. Annex IV är detaljerad och förväntar sig dokumentation på ingenjörsnivå.

Kvalitetsledningssystem (Article 17)

Du måste implementera ett kvalitetsledningssystem som täcker:

  • Strategi för regelefterlevnad
  • Design- och utvecklingsrutiner
  • Testning och validering
  • Datahantering
  • Marknadsövervakning efter lansering
  • Incidentrapportering
  • Kommunikation med myndigheter

Om du redan har ISO 27001 eller SOC 2 har du en grund — men AI Acts krav på kvalitetsledningssystem går längre, särskilt kring datastyrning och algoritmtestning.

Överensstämmelsebedömning (Article 43)

För de flesta högrisk-AI-system kan du själv bedöma överensstämmelse (intern kontroll, Annex VI). Vissa kategorier kräver tredjepartsbedömning av ett anmält organ. Fastställ vilken som gäller för din produkt tidigt — kapaciteten hos anmälda organ är begränsad och väntetiderna växer.

Marknadsövervakning efter lansering (Article 72)

Du måste aktivt övervaka ditt AI-system efter lansering. Det innebär att spåra prestanda, samla in användarfeedback, övervaka för drift och snedvridning och agera på resultaten. Bygg in detta i din produktanalys från start.

EU-databasregistrering (Article 49)

Högrisk-AI-system måste registreras i EU:s databas innan de släpps på marknaden. Detta är ett offentligt register — dina konkurrenter kommer att kunna se det, och dina kunder kommer att kontrollera det.

Steg-för-steg checklista för efterlevnad för SaaS-företag

  • [ ] Granska intern AI-verktygsanvändning — Katalogisera varje AI-verktyg din organisation använder. Inkludera skugg-IT — utvecklare som använder Copilot, marknadsförare som använder ChatGPT, supportpersonal som använder AI-sammanfattare. Klassificera varje efter risknivå.

  • [ ] Kartlägg AI-funktioner i din produkt — Lista varje funktion i din produkt som använder AI, ML eller automatiserat beslutsfattande. Var noggrann: rekommendationsmotorer, sökrankning, bedrägeridetektering, automatisk kategorisering, prediktiv analys, chattbottar, innehållsgenerering.

  • [ ] Fastställ din roll för varje — För varje AI-funktion: är du leverantör, användare eller båda? Dokumentera resonemanget. Om du integrerar ett tredjeparts-AI-API, fastställ var leverantörsansvaret börjar och slutar.

  • [ ] Klassificera risknivåer — Kartlägg varje AI-funktion mot Annex III (högrisk-kategorier) och Annex I (EU-lagstiftning). De flesta SaaS-funktioner kommer att vara begränsad eller minimal risk, men anta inte — kontrollera noggrant.

  • [ ] För leverantörsskyldigheter: påbörja teknisk dokumentation — Om du är leverantör av ett högrisk-system, påbörja Annex IV-dokumentation nu. Detta är det mest tidskrävande steget och kräver typiskt samarbete mellan teknik, produkt och juridik.

  • [ ] Implementera transparenskrav — Säkerställ åtminstone att användare vet när de interagerar med AI (Article 50). För AI-genererat innehåll, implementera innehållsmärkning. Uppdatera din produktdokumentation och användarvillkor.

  • [ ] Bygg eller utvidga ditt kvalitetsledningssystem — Om du behöver ett kvalitetsledningssystem, börja bygga det. Om du har SOC 2 eller ISO 27001, utvidga dem — börja inte från noll.

  • [ ] Planera överensstämmelsebedömning — Fastställ om du behöver egenbedömning eller tredjepartsbedömning. Om det senare, kontakta anmälda organ tidigt. Processen tar månader.

  • [ ] Designa marknadsövervakning efter lansering — Bygg in övervakning i din produkt: prestandaspårning, snedvridningsdetektering, driftvarningar, insamling av användarfeedback. Detta är enklare att bygga in från start än att efteranpassa.

  • [ ] Etablera AI-literacitetsutbildning — Article 4 kräver att all personal som arbetar med AI har tillräcklig AI-literacitet. För SaaS-företag innebär detta teknik-, produkt-, support- och säljteam.

  • [ ] Granska avtal med AI-leverantörer — Säkerställ att dina avtal med AI-leverantörer (OpenAI, Anthropic etc.) tydligt fördelar ansvar enligt AI Act. Skaffa deras efterlevnadsdokumentation.

  • [ ] Uppdatera kundavtal — Om du är leverantör kommer dina kunder (användare) att behöva information från dig för att uppfylla sina egna skyldigheter. Bygg in detta i dina avtal och din dokumentation proaktivt.

Tidslinje för SaaS-företag

| Datum | Påverkan på SaaS | |-------|------------------| | 2 februari 2025 | Förbud mot förbjudna metoder. Granska din produkt för förbjudna användningsfall (social poängsättning, manipulation, känsloigenkänning på arbetsplatser/skolor). | | 2 augusti 2025 | GPAI-skyldigheter gäller. Om du bygger på grundmodeller, förstå din GPAI-leverantörs efterlevnadsstatus. AI-literacitetskrav träder i kraft. | | 2 augusti 2026 | Högrisk-AI-skyldigheter gäller. Om din produkt innehåller högrisk-AI-funktioner krävs full efterlevnad: dokumentation, kvalitetsledningssystem, överensstämmelsebedömning, övervakning, registrering. | | 2 augusti 2027 | Högrisk-AI i produkter som styrs av annan EU-lagstiftning (medicintekniska produkter, maskiner etc.). |

Den strategiska verkligheten: Om du bygger AI-funktioner i din produkt just nu, bygg in efterlevnad i designen. Att efteranpassa ett kvalitetsledningssystem och teknisk dokumentation på ett befintligt system är 3-5 gånger dyrare än att bygga in det från start.

Konkurrensvinkeln

Här är något som de flesta efterlevnadsguider inte berättar: tidig AI Act-efterlevnad är en konkurrensfördel för SaaS-företag som säljer till Europa.

Företagsköpare frågar redan om AI Act-beredskap i upphandlingsfrågeformulär. Att kunna säga "vi är regelefterlevande, här är vår dokumentation, här är vår post i EU:s databas" kommer att vinna affärer som mindre förberedda konkurrenter kommer att förlora.

Omvänt, om du inte kan svara på AI Act-frågor under en säljprocess kommer du att förlora mot någon som kan. Europeiska företagsupphandlingsteam behandlar AI Act-efterlevnad på samma sätt som de behandlade GDPR — som ett kvalificeringskriterium, inte en bonus.

Börja med klarhet

Den sämsta positionen att befinna sig i är osäkerhet. Du vet inte om du är leverantör, du har inte klassificerat dina funktioner och tillsynen närmar sig. Det första steget är alltid detsamma: förstå exakt var du står.

Vår AI Act-skanning kartlägger hela din verktygsstack och dina produktfunktioner mot regelverket. Den berättar om du är leverantör, användare eller båda — och exakt vilka skyldigheter som gäller. Kostnadsfri, tar 10 minuter och ger dig en tydlig startpunkt.

Gör vår kostnadsfria AI Act-skanning

Vill du gå djupare?

Vi utforskar frontlinjen för AI-byggd mjukvara genom att faktiskt bygga den. Se vad vi jobbar med.

Se våra projekt