AI Act för svenska företag: Vad du behöver veta

Hög adoption, låg medvetenhet

Sverige är en av de mest AI-avancerade ekonomierna i Europa. Regeringens nationella AI-strategi, stark digital infrastruktur och en kultur av tidig teknikadoption innebär att svenska företag — från storföretag till startups — har anammat AI-verktyg snabbare än de flesta av sina europeiska kollegor.

Samma adoptionshastighet är nu en belastning.

I undersökningar genomförda i slutet av 2025 kunde färre än 20 % av svenska medelstora företag korrekt beskriva EU:s AI Acts krav. Bland dem som använder högrisk-AI-system inom rekrytering, kreditgivning eller kundservice var medvetenheten ännu lägre. Antagandet verkade vara: "Det här handlar om big tech och ansiktsigenkänning. Det gäller inte oss."

Det gör det. EU:s AI Act är en förordning, inte ett direktiv. Det innebär att den gäller direkt i Sverige — ingen transponering till svensk lag behövs, ingen nationell implementeringstidslinje, ingen nådeperiod. När skyldigheterna träder i kraft, träder de i kraft för varje företag som verkar inom EU, svenska företag inkluderade.

Vad AI Act är (på 60 sekunder)

EU:s AI Act är världens första heltäckande lag som reglerar artificiell intelligens. Den klassificerar AI-system efter risknivå och tilldelar skyldigheter därefter:

• Oacceptabel risk — Förbjudet helt och hållet. Social poängsättning, manipulativ AI, biometrisk identifiering i realtid på offentliga platser (med snäva undantag).
• Högrisk — Tunga skyldigheter: teknisk dokumentation, mänsklig tillsyn, överensstämmelsebedömning, övervakning, registrering. Gäller AI inom rekrytering, kreditbedömning, utbildning, kritisk infrastruktur, brottsbekämpning med mera.
• Begränsad risk — Transparensskyldigheter. Användare måste informeras om att de interagerar med AI.
• Minimal risk — Inga specifika skyldigheter, men allmänna krav på AI-literacitet gäller.

Förordningen skapar också en separat regim för generella AI-modeller (GPAI) — grundmodellerna som GPT-4, Claude och Gemini som driver många tillämpningar.

För svenska företag är den praktiska frågan: vilken kategori faller dina verktyg i, och vad behöver du göra åt det?

Den svenska kontexten: varför detta är särskilt relevant här

IMY kommer att tillämpa AI Act

Integritetsskyddsmyndigheten (IMY) — Sveriges dataskyddsmyndighet — har utsetts till nationell tillsynsmyndighet för AI Act. Det är samma myndighet som tillämpar GDPR i Sverige.

Om du har haft med IMY att göra kring dataskydd vet du att de är grundliga och alltmer aktiva. Under 2025 utfärdade IMY flera betydande GDPR-tillsynsbeslut och har offentligt meddelat att de bygger kapacitet för AI Act-tillsyn.

IMY kommer att samarbeta med det europeiska AI-kontoret, som övervakar GPAI-modellleverantörer och samordnar gränsöverskridande tillsyn. Men för de flesta svenska företag — de som använder eller tillhandahåller AI-system inom Sverige — är IMY din primära tillsynsmyndighet.

Vad detta innebär i praktiken: Förvänta dig inte en mjuk lansering. IMY har institutionell erfarenhet av komplex teknikreglering (GDPR), en etablerad klagomålshanteringsprocess och en meritlista inom tillsyn. När högrisk-skyldigheterna gäller från augusti 2026, förvänta dig att de tillämpas.

Svenska verktyg i fokus

Svenska företag använder inte bara AI — de bygger och säljer den. Flera brett använda verktyg på den svenska marknaden har betydande AI Act-implikationer:

Teamtailor — Sveriges mest populära ATS, som används av tusentals nordiska företag. Teamtailors AI-drivna kandidatscreening och rangordningsfunktioner faller rakt under Annex III, punkt 4(a): AI-system avsedda att användas för rekrytering. Detta gör det till högrisk. Varje svenskt företag som använder Teamtailors AI-screeningfunktioner är användare av ett högrisk-AI-system, med motsvarande skyldigheter för mänsklig tillsyn, kandidatinformation och konsekvensbedömning.

Visma — Den nordiska företagsmjukvarujätten erbjuder AI-funktioner genom hela sin produktsvit: Visma.net Autopilot för bokföringsautomation, AI-drivna löneprognoser och maskininlärning i finansiella planeringsverktyg. Om dessa AI-funktioner fattar eller påverkar beslut inom områden som täcks av Annex III (t.ex. kreditrelaterade, tillgång till väsentliga tjänster) kan de vara högrisk. Åtminstone gäller transparensskyldigheter.

Fortnox — Sveriges dominerande bokföringsplattform för SME:er har lagt till AI-funktioner: automatiserade bokföringsförslag, fakturaklassificering och kassaflödesprognoser. För de flesta användningsfall är dessa troligtvis minimal eller begränsad risk. Men om Fortnox AI-funktioner används för att informera kreditvärdighetsbedömningar eller finansiella beslut om individer kan riskklassificeringen förändras.

Klarna — Även om Klarna är ett fintech snarare än ett verktyg de flesta företag använder, är dess AI-assistent och AI-drivna kreditbeslut mycket relevanta. Klarnas AI-system för kreditbedömning är entydigt högrisk enligt Annex III, punkt 5(b). Om du använder Klarnas handlingsverktyg som inkluderar AI-beslutsfattande, förstå den delade efterlevnadsbilden.

Spotify (för ML-team) — Sveriges teknikflaggskept har publicerat omfattande om ansvarsfull AI. Även om de flesta företag inte använder Spotify sätter dess ML-praxis och open source-verktyg (som Backstage) normer i den svenska teknikgemenskapen. AI Act kommer att formalisera många praxis som Spotify redan följer frivilligt.

Medbestämmandedimensionen

Sveriges starka arbetsrättstradition lägger till ett lager som många AI Act-guider förbiser. Enligt Medbestämmandelagen (MBL) måste arbetsgivare förhandla med fackförbund innan de gör viktiga förändringar av arbetsvillkoren. Att införa AI-system som övervakar, utvärderar eller fördelar arbete till anställda är nästan säkert en fråga för MBL-förhandling.

AI Acts krav på att informera fackliga representanter (Article 26(7)) ligger i linje med befintliga svenska medbestämmandeskyldigheter, men kombinationen innebär att svenska arbetsgivare möter ett dubbelt efterlevnadskrav: AI Act föreskriver det, och svensk arbetsrätt ger facket förhandlingsrättigheter utöver enbart information.

Om du har kollektivavtal (vilket de flesta svenska företag med fler än 25 anställda har), involvera dina fackliga representanter tidigt. Detta är både ett juridiskt krav och praktiskt smart — att få fackligt stöd för AI-verktygsanvändning undviker konflikter senare.

De vanligaste efterlevnadsbristerna i svenska företag

Baserat på vårt arbete med nordiska organisationer är dessa de mönster vi oftast ser:

1. "Vi bara använder verktygen — leverantören sköter efterlevnaden"

Detta är den farligaste missuppfattningen. Enligt AI Act har användare oberoende skyldigheter. Din leverantör (leverantören) måste ge dig dokumentation och instruktioner, men du måste implementera mänsklig tillsyn, genomföra konsekvensbedömningar, informera berörda individer och föra dokumentation. Leverantören kan inte göra detta åt dig.

2. HR-verktyg antagna utan riskbedömning

Det genomsnittliga svenska företaget med 200+ anställda använder 2-4 AI-aktiverade HR-verktyg. De flesta antogs av People-team baserat på funktionsdemos, inte riskbedömningar. Teamtailors AI-screening i synnerhet är så utbredd i Sverige att många HR-team inte ens tänker på det som "AI" — det är bara hur ATS:et fungerar. Det är fortfarande högrisk.

3. Inget AI-register

Du kan inte efterleva regler för verktyg du inte har katalogiserat. Många företag har inget centralt register över vilka AI-verktyg som används, av vem och i vilket syfte. Skugg-AI — anställda som använder ChatGPT, Copilot eller andra verktyg utan formellt godkännande — gör detta värre.

4. GDPR-efterlevnad antas täcka AI Act

GDPR och AI Act överlappar men ersätter inte varandra. En DPIA enligt GDPR är nödvändig men inte tillräcklig för AI Act-efterlevnad. AI Act lägger till krav på teknisk dokumentation, överensstämmelsebedömning, marknadsövervakning efter lansering och konsekvensbedömning av grundläggande rättigheter som går utöver dataskydd.

5. Väntar på branschvägledning

Det svenska AI-ekosystemet är starkt — AI Sweden, RISE och olika branschgrupper producerar vägledning. Men vägledning är inte efterlevnad. Förordningen är förordningen, och deadlines förskjuts inte för att vägledningsdokument inte har publicerats ännu.

Steg för steg: vad svenska företag bör göra nu

• [ ] Utse en AI Act-ansvarig — Någon i din organisation behöver äga detta. Det kan vara ditt dataskyddsombud, CTO, Head of Legal eller en dedikerad efterlevnadsroll. Det som spelar roll är att en person är ansvarig för företagets AI Act-beredskap.

• [ ] Bygg ditt AI-register — Lista varje AI-verktyg som används i din organisation. Inkludera SaaS-produkter med AI-funktioner, interna ML-modeller och informell verktygsanvändning. Dokumentera för varje: vad det gör, vem som använder det, vilken data det bearbetar och vilka beslut det påverkar.

• [ ] Klassificera din riskexponering — Kartlägg varje verktyg mot AI Acts riskkategorier. Var särskilt uppmärksam på Annex III (högrisk) kategorier relevanta för svensk verksamhet: anställning (punkt 4), kredit och försäkring (punkt 5), tillgång till tjänster (punkt 5) och utbildning (punkt 3).

• [ ] Kontrollera om du också är leverantör — Om ditt företag bygger mjukvara med AI-funktioner som säljs till kunder kan du vara en leverantör med tyngre skyldigheter. Detta är vanligt i Sveriges SaaS-ekosystem.

• [ ] Engagera IMY proaktivt — Följ IMY:s AI Act-publikationer och vägledning. Delta i deras webbinarier. Om du har specifika frågor om klassificering är det bättre att fråga tidigt än att gissa fel.

• [ ] Involvera fackliga representanter — För alla AI-system som påverkar medarbetare, inled MBL-förhandlingar. Detta inkluderar prestationsövervakning, uppgiftsfördelning och schemaläggningsverktyg med AI-komponenter. Dokumentera processen.

• [ ] Uppdatera integritetspolicyer och HR-policyer — Lägg till AI-upplysning i din integritetspolicy, kandidatkommunikation och medarbetarhandbok. Var specifik om vilka verktyg som använder AI och hur.

• [ ] Genomför konsekvensbedömningar — För högrisk-system: genomför en DPIA (GDPR) och konsekvensbedömning av grundläggande rättigheter (AI Act). Dessa kan kombineras men måste täcka båda ramverken.

• [ ] Granska leverantörsavtal — Säkerställ att dina avtal med AI-verktygsleverantörer inkluderar skyldigheter för dem att tillhandahålla teknisk dokumentation, instruktioner för användning och stöd för dina efterlevnadsskyldigheter. Svenska företag använder ofta engelskspråkiga SaaS-avtal som inte nämner AI Act — uppdatera dem.

• [ ] Implementera AI-literacitetsutbildning — Article 4 kräver AI-literacitet för all personal som arbetar med AI. Detta gäller från 2 augusti 2025. Enkelt uttryckt: alla som använder AI-verktyg i sitt arbete behöver utbildning i vad AI kan och inte kan göra, och vilka reglerna är.

• [ ] Sätt upp övervakning och loggning — För högrisk-system behöver du revisionsspår av AI-assisterade beslut. Säkerställ att dina verktyg tillhandahåller adekvat loggning och att du lagrar dessa loggar i minst sex månader.

Tidslinje för svenska företag

| Datum | Vad som händer | Svensk kontext | |-------|----------------|----------------| | 2 februari 2025 | Förbjudna AI-metoder förbjuds | Granska för känsloigenkänning på arbetsplatser, manipulativa metoder | | 2 augusti 2025 | AI-literacitet + GPAI-skyldigheter | Utbilda dina team. Detta gäller redan. | | 2 augusti 2026 | Högrisk-skyldigheter gäller | Full efterlevnad krävs. IMY påbörjar tillsyn. | | 2 augusti 2027 | Högrisk-AI i reglerade produkter | Medicintekniska produkter, maskiner — relevant för svensk MedTech och industriföretag |

Den svenska fördelen (om du agerar nu)

Här är den uppmuntrande delen: svenska företag är faktiskt väl positionerade för att efterleva AI Act — om de börjar nu.

Sveriges starka dataskyddskultur (GDPR implementerades relativt smidigt här), höga digitala literacitet och institutionella tillit till reglering innebär att byggstenarna för efterlevnad redan finns på plats. Många svenska företag genomför redan konsekvensbedömningar, har redan dataskyddsombud och har redan ramverk för strukturerad teknologistyrning.

Gapet är medvetenhet och specificitet, inte förmåga. De flesta svenska organisationer kan efterleva AI Act — de har bara inte påbörjat arbetet ännu för att de inte insåg att de behövde det.

De företag som rör sig först kommer att ha en genuin fördel: smidigare leverantörsförhandlingar, renare revisionsspår och möjligheten att berätta för kunder och partners "vi är AI Act-redo" innan det blir en hygienfaktor.

Ta reda på var du står

Vi byggde vår AI Act-efterlevnadsskanning specifikt för den nordiska marknaden. Den kartlägger dina verktyg, klassificerar din riskexponering, identifierar dina skyldigheter och ger dig en prioriterad handlingsplan — på klarspråk.

Det tar ungefär 10 minuter, det är kostnadsfritt och det ger dig en tydlig startpunkt istället för en vag känsla av oro.

Gör vår kostnadsfria AI Act-skanning