"Hög risk" = besvärligt = något att undvika genom att hitta tolkningar som gör att det inte räknas som hög risk.
Hög risk-AI
Start
Bedömning av hög risk-AI. Riktlinjerna, principerna och processen.
En operativ utbildning för dig som ska bygga, upphandla eller införa AI som påverkar invånare. Vi går igenom kommunens egna riktlinjer steg för steg — fem principer, tre roller, fyra processnivåer och fjorton delsteg med konkreta kontrollfrågor.
~30
Minuter
8
Kapitel
14+1
Delsteg
Redo att börja?
Åtta kapitel som tillsammans tar dig från grundinsikten till det formella beslutet att sätta AI i drift. Du kan när som helst pausa eller hoppa fram.
Starta utbildningen
✓ Operativ guide
✓ Konkreta kontrollfrågor
✓ Pausa när du vill
01
Den centrala insikten / Kapitel 01 av 8
Förväntning
Riktlinjernas hållning
Hög risk är inte något att undvika.
Kort sagt
Den första instinkten är ofta att försöka klassa sin AI-tillämpning som låg risk för att slippa krav på dokumentation och kontroller. Men det är fel hållning. En högriskklassning bidrar i sig till riskreducering — genom att aktivera de strukturer som faktiskt skyddar invånare från fel, partiskhet och otillräcklig kontroll.
"Hög risk" = aktiverar rätt skydd. Felklassning är farligast — för då saknas både medvetenhet och kontroller.
Den största verkliga risken uppstår när en AI-tillämpning felaktigt klassas som att inte vara hög risk. Då saknas både medvetenhet om riskerna och de processer som annars hade fångat upp problemen. Riktlinjerna är därför skrivna för att hjälpa er att klassa rätt — inte att klassa lågt.
02
Fem grundprinciper / Kapitel 02 av 8
1
2
3
4
5
Fem hållningar som genomsyrar processen.
Kort sagt
Riktlinjerna vilar på fem principer som genomsyrar hela bedömningsprocessen. Tappar man bort någon av dem riskerar resten av processen att bli kosmetik. Fäst dem i minnet innan du går in i delstegen.
AI förändrar beslutsprocesser
AI ska analyseras som del av en kombinerad mänsklig–teknisk beslutsprocess, inte som en isolerad komponent.
AI är inte rättvist i sig
Rättvisa och trovärdighet uppstår i verksamhetens processer — inte i tekniken.
Ansvar kan inte automatiseras
Alla AI-stödda beslut är fortfarande kommunens beslut. Ansvar kan delegeras men aldrig flyttas till en algoritm.
Transparens för förståelse
Transparens handlar om möjligheten att förstå hur beslut faktiskt uppstår — inte bara att modellen är dokumenterad.
Risker uppstår över tid
Riskhantering måste kopplas till faktisk verksamhet och löpande uppföljning. Det räcker inte att bedöma en gång.
03
Tre roller du behöver förstå / Kapitel 03 av 8
Provider
HITL
FRIA
Tre roller som återkommer.
Kort sagt
Riktlinjerna återkommer till tre roller och begrepp. Att förstå vad de innebär är förutsättningen för att kunna föra ett vettigt samtal om en AI-tillämpning. Provider tillhandahåller systemet, HITL utövar mänsklig kontroll, och FRIA är den formella konsekvensbedömningen som krävs vid hög risk.
Den som tillhandahåller AI-systemet
Kan vara kommunen själv (intern utveckling) eller en extern leverantör. Provider bär huvudansvaret för att systemet fungerar säkert, är dokumenterat och uppfyller AI-förordningens krav.
Vid extern Provider ska högrisk-system vara CE-märkta — det är ett konkret krav, inte en formalitet.
Human-in-the-Loop
Människan som är inkopplad i AI-driven beslutsprocess och utövar mänsklig kontroll. Avgörande för att lagkravet på "mänsklig översyn" ska få verklig betydelse.
Tomma HITL-roller — där människan bara klickar OK utan att ha förstått eller kunnat påverka — leder till just de problem som ska undvikas.
Fundamental Rights Impact Assessment
En formell konsekvensbedömning av påverkan på grundläggande rättigheter. Krävs enligt AI-förordningen innan högrisk-system tas i bruk inom offentlig verksamhet.
FRIA är inte en engångsövning — den ska uppdateras när systemet, processerna eller målgrupperna förändras.
04
Nivå 0 — AI-förberedd organisation / Kapitel 04 av 8
0.1
0.2
0.3
Bygg fundamentet innan AI-projekt startar.
Kort sagt
Innan en specifik AI-tillämpning analyseras måste organisationen ha grundläggande strukturer på plats för styrning, kompetens och ansvar. Nivå 0 är från ett ansvarsperspektiv den viktigaste — det är här ansvar faktiskt tas och risker faktiskt hanteras.
Beslutsprocesser och roller
Kartlägg verksamhetens befintliga beslutsgångar, ansvarsfördelning och informationsflöden. Beskriv vilka beslut som fattas, vilken information de bygger på, och vilka roller som ansvarar för dem.
- Är beslutsprocesser, roller och ansvar kartlagda?
- Vilka påverkas av verksamhetens beslut?
- Finns dokumenterade informationsflöden (IFM-modeller)?
Strategi för AI-användning
Fastställ verksamhetens förhållningssätt till AI — hur det bör användas och hur det inte ska användas. Strategin bör skilja mellan privat AI, generell AI och specifika AI-verktyg.
- Finns en AI-strategi för verksamheten?
- Är verksamheten verksam inom ett högriskområde?
- Var ska AI inte användas?
Utbildning och AI-literacy
Säkerställ att medarbetare har kunskap om hur AI fungerar, förstår sitt personliga ansvar, kan tolka och ifrågasätta AI-resultat, och känner till etiska risker.
- Har verksamheten genomgått en generell AI-utbildning?
- Finns rapportvägar och strukturer för problemuppföljning?
- Finns bred förståelse för fallgropar och etiska frågeställningar?
05
Nivå 1 — Behovsanalys & krav / Kapitel 05 av 8
1.1
1.2
1.3
1.4
Förstå varför AI övervägs.
Kort sagt
Nivå 1 aktiveras när behovet av automatisering dyker upp. Syftet är att skapa en välgrundad förståelse av varför AI övervägs, hur det påverkar verksamheten och hur kravställning bör formuleras. Det är här de mest grundläggande besluten tas.
Behov
Formulera syftet och målsättningen med att introducera AI. Klargör vilken nytta som förväntas, vilka verksamhetsmål som ska uppnås, och om det finns värdekonflikter.
- Varför behövs AI?
- Finns specifika mål som ska uppnås?
- Finns risker eller värdekonflikter på övergripande nivå?
- Finns metoder för att följa upp att önskad effekt uppnåtts?
Påverkade processer
Undersök vilka processer som påverkas om AI införs. Om mänskliga beslut ersätts — analysera vilka värden (yrkeskunskap, etiskt omdöme, empati) som riskerar att gå förlorade.
- Ersätts något mänskligt beslut av automatisering?
- Vilka egenskaper förloras eller förändras?
- Kan påverkade roller fortfarande ta det ansvar rollen kräver?
Gränser och risknivå
Gör en initial bedömning av om behovet sannolikt innebär hög risk enligt AI-förordningen. Påminn er: en högriskklassning ska inte undvikas — den bidrar till riskreducering.
- Finns lösningar som innebär oacceptabel risk?
- Faller lösningen under hög risk?
- Finns skäl att välja en högrisklösning?
- Är kravbilden och gränsdragningen dokumenterad?
Utvecklingsstadier
Klargör om AI-lösningen är färdig produkt, under utveckling, eller i tidig idéfas. Den slutliga lösningen ska ha en tydligt definierad Provider med livscykelperspektiv.
- Finns en tydlig Provider-roll (intern eller extern)?
- Finns ett livscykelperspektiv för uppdatering och avveckling?
- Är Deployer-organisationen delaktig i centrala vägval?
06
Nivå 2 — Bedömning & klassificering / Kapitel 06 av 8
2.1
2.2
2.3
Analysera AI-tillämpningen i detalj.
Kort sagt
Nivå 2 genomförs när en specifik AI-tillämpning kan studeras. Här säkerställs att tillräcklig information finns för riskklassning, ansvarsfördelning och förståelse för konsekvenserna av integration. Bedömningen görs alltid ur Deployer-perspektiv. Vid hög risk krävs en formell FRIA.
Krav på Provider
Oavsett om Provider är intern eller extern krävs: tydlig avsedd användning, transparent beskrivning av beslutsprocessen (gärna IFM-modell), riskanalys och kvalitetsledning. Extern Provider med högrisk-system måste ha CE-märkning.
- Finns avsedd användning och IFM-beskrivning?
- Finns riskanalys med identifierade och hanterade risker?
- Finns tester för datakvalitet och bias?
- Vid extern Provider: finns CE-märkning och fullständig dokumentation?
Analys av beslutsprocesser
Analysera hur verksamhetens beslutslogik förändras när AI införs. Använd informationsflödesmodeller (IFM). Undvik tomma HITL-roller som bara "tvättar" AI-utdata — HITL kräver verklig insyn, handlingsutrymme och organisatoriskt stöd.
- Kan ansvarsprocesser i verksamheten samspela med AI-systemet?
- Kan HITL-roller fatta beslut på goda grunder?
- Vad händer om automatiska eller mänskliga beslut blir fel?
- Kan besluten följas upp och spåras i efterhand?
Riskanalys, FRIA
Genomför Fundamental Rights Impact Assessment — ett krav enligt AI-förordningen vid hög risk. FRIA bedömer effekten för intressenter, identifierar påverkade grundläggande rättigheter och fastställer total risknivå.
- Finns en dokumenterad FRIA?
- Vilka risker behöver hanteras av verksamheten?
- Hur kan riskerna följas upp?
- Vilken total risknivå har AI-användningen?
07
Nivå 3 — Beslut & uppföljning / Kapitel 07 av 8
3.1
3.2
3.3
3.4
★
Där analys övergår i ansvarstagande.
Kort sagt
Nivå 3 är där analys övergår i ansvarstagande. Här besvaras den avgörande frågan baserat på alla underlag som byggts upp. Ett AI-system kan först sägas vara ansvarsfullt infört efter att denna fas är genomförd — och bekräftats med ett formellt beslut.
"Fråga Noll"
Ta ställning till om AI-tillämpningen ska införas. Beslutet ska väga identifierade risker mot förväntad nytta och organisatoriska förutsättningar. Att gå vidare innebär att verksamheten har faktisk förmåga att använda systemet ansvarsfullt.
- Har riskerna hanterats tillfredsställande?
- Uppfyller tillämpningen de behov som identifierades i Nivå 1?
- Är arbetsbördan rimlig för berörda roller?
- Bör vi använda AI till detta?
Anpassning, utbildning, ramar
Införande av AI innebär nästan alltid en verksamhetsförändring. Identifiera hur arbetsflöden påverkas, om nya roller behövs och vilka ramar som ska gälla. AI-förordningen kräver specifik utbildning vid högrisktillämpningar.
- Behövs verksamhetsförändringar?
- Behövs specifik utbildning?
- Vilka ramar behövs för AI-användningen?
Testperiod
Pröva systemet i praktiken innan full drift. Testperioden ska vara strukturerad och tidsatt, med tydliga kriterier för lyckat test. Vid hög risk kan opt-in-lösningar eller riktad information krävas.
- Vad räknas som ett lyckat test?
- Hur utvärderas testperioden?
- Behövs opt-in eller information till påverkade grupper?
Livscykel & monitorering
Etablera långsiktiga strukturer för uppföljning som täcker tekniska förändringar, organisatoriska konsekvenser och påverkan på intressenter. Inkluderar AI-register, ansvarsfördelning och avveckling.
- Hur hanteras uppdateringar och förändringar?
- Hur följs intressenter och påverkade upp?
- Har AI-tillämpningen registrerats?
- Hur avslutas eller ersätts AI-systemet?
Beslut: sätt AI i drift
Det här är inte en ny fråga — utan svaret på de frågor ni redan ställt i nivå 0–3. Allt grundarbete är vad som ger er rätten att fatta beslutet. Lyser analysen grönt: starta. Landar den i "ja-med-förändringar" — gör först förändringarna. Landar den i "nej" — då är det också ett ansvarsfullt beslut.
- Är beslutet formellt fattat enligt gällande beslutsordning?
- Är alla berörda informerade och utbildade?
- Är monitorering, riskanalys och uppföljning aktiverade från dag ett?
- Har ni datum för utvärdering — 3, 6 och 12 månader?
- Vet ni när och hur ni avvecklar om något inte fungerar?
08
Beslutsfrågan & stöd / Kapitel 08 av 8
Bör vi använda AI för detta?
Kort sagt
Frågan kan besvaras med ja, ja-med-förändringar eller nej. Alla tre är legitima utfall. Riktlinjernas hela poäng är att frågan ska ställas — innan systemet är i drift, innan beslut blir oåterkalleliga, och med ett underlag som tål granskning.
Bör vi använda AI för detta? — riktlinjernas huvudfråga, som ska besvaras öppet i nivå 3
Du gör det inte själv
Bedömning av hög risk-AI är ingen ensamuppgift. AI-teamet i kommunkoncernen finns som stöd genom hela processen — från första idé till löpande uppföljning. Kontakta oss redan i nivå 1, när ni börjar fundera på behov och Provider-roll. Då kan vi tillsammans göra rätt avvägningar tidigt.
ISO/IEC 42001 — för dig som vill formalisera
Den internationella standarden ISO/IEC 42001 ger en struktur för AI-ledningssystem. Riktlinjernas fyra nivåer passar väl ihop med standardens krav på organisation, planering, systematik och uppföljning — och kan användas som ett konkret operativt komplement för organisationer som vill certifiera sig.
Klart / Sista steget
Du har klarat utbildningen.
Här är vägen vidare
Du har nu en grund i kommunens riktlinjer för bedömning av hög risk-AI — fem principer, tre roller, fyra processnivåer och fjorton delsteg. Bra grund. Nästa steg är att tillämpa det på ert eget projekt.
När ni står inför ett verkligt fall — en upphandling, en pilot, ett systemskifte — gå tillbaka till själva riktlinjerna i regelsidan. Där finns alla delsteg som expanderbara kort med kontrollfrågor, och AI-teamet finns bara ett mejl bort om ni vill bolla.
Rekommenderat härnäst
Tre sidor som bygger vidare.
När bedömningen ska göras skarpt är det fullständiga regelsidan ni går till — den här utbildningen är ett pedagogiskt stöd för att förstå strukturen. Här är tre naturliga nästa steg.
Riktlinjer · operativ guide
Hela regelsidan
De fjorton delstegen som expanderbara kort med fullständiga kontrollfrågor. Sidan ni går till när bedömningen ska göras skarpt på ett verkligt projekt.
Till regelsidan →
Utbildning · ~25 min
Lär dig Eneo
Eneo är kommunens egna AI-plattform — en avgörande grund för flera krav i riktlinjerna. Här är den dedikerade Eneo-utbildningen.
Till Eneo-utbildningen →
Snabbkurs · ~10 min
AI på 10 minuter
Den allmänna introduktionen till AI för medarbetare — bra påfyllning för dig som leder ett AI-projekt och vill säkerställa baskunskapen i teamet.
Till snabbkursen →
Du klarade utbildningen