Beta AI-guiden är under utveckling — se Status för senaste ändringar och plan
Riktlinjer · för Provider och beslutsfattare

Bedömning av hög risk-AI i kommunal verksamhet.

En stegvis guide för att analysera, bedöma och följa upp AI-tillämpningar i enlighet med EU:s AI-förordning. För dig som ska bygga, upphandla eller införa AI som påverkar invånare — och för dig som behöver fatta beslut om det. Klicka dig igenom de fjorton delstegen och deras kontrollfrågor.

På den här sidan
Den centrala insikten

Hög risk är inte något att undvika.

Den första instinkten är ofta att försöka klassa sin AI-tillämpning som låg risk för att slippa krav på dokumentation och kontroller. Men det är fel hållning.

En högriskklassning bidrar i sig till riskreducering — genom att aktivera de strukturer som faktiskt skyddar invånare från fel, partiskhet och otillräcklig kontroll.

Den största verkliga risken uppstår när en AI-tillämpning felaktigt klassas som att inte vara hög risk. Då saknas både medvetenhet om riskerna och de processer som annars hade fångat upp problemen.

Förväntning

"Hög risk" = besvärligt = något att undvika genom att hitta tolkningar som gör att det inte räknas som hög risk.

Riktlinjernas hållning

"Hög risk" = aktiverar rätt skydd. Felklassning är farligast — för då saknas både medvetenhet och kontroller.

Grundprinciper

Fem grundläggande hållningar.

Riktlinjerna vilar på fem principer som genomsyrar hela bedömningsprocessen. Tappar man bort någon av dem riskerar resten av processen att bli kosmetik.

1

AI förändrar besluts­processer

AI ska analyseras som del av en kombinerad mänsklig–teknisk beslutsprocess, inte som en isolerad komponent.

2

AI är inte rättvist i sig

Rättvisa och trovärdighet uppstår i verksamhetens processer — inte i tekniken.

3

Ansvar kan inte automatiseras

Alla AI-stödda beslut är fortfarande kommunens beslut.

4

Transparens för förståelse

Transparens handlar om möjligheten att förstå hur beslut faktiskt uppstår.

5

Risker uppstår över tid

Riskhantering måste kopplas till faktisk verksamhet och löpande uppföljning.

Processen

Fyra nivåer · fjorton delsteg.

Bedömningen följer en stegvis struktur. Klicka på varje delsteg för att se beskrivning och konkreta kontrollfrågor som verksamheten ska kunna besvara. Du kan också öppna alla delsteg per nivå med länken under varje rubrik.

0

AI-förberedd organisation

Bygg fundamentet innan AI-projekt startas

Innan en specifik AI-tillämpning analyseras måste organisationen ha grundläggande strukturer på plats för styrning, kompetens och ansvar. Nivå 0 är från ett ansvarsperspektiv den viktigaste — det är här ansvar faktiskt tas och risker faktiskt hanteras.

Kartlägg verksamhetens befintliga beslutsgångar, ansvarsfördelning och informationsflöden. Beskriv vilka beslut som fattas, vilken information de bygger på, vilka roller som ansvarar för och påverkas av besluten, samt vilka risker verksamheten hanterar idag.

Kontrollfrågor

  • Är beslutsprocesser, roller och ansvar kartlagda?
  • Vilka påverkas av verksamhetens beslut?
  • Finns dokumenterade informationsflöden (IFM-modeller)?

Fastställ verksamhetens förhållningssätt till AI — hur det bör användas och hur det inte ska användas. Strategin bör skilja mellan privat AI (medarbetares eget bruk), generell AI (breda organisationsverktyg) och specifika AI-verktyg (för särskilda processer).

Kontrollfrågor

  • Finns en AI-strategi för verksamheten?
  • Är verksamheten verksam inom ett högriskområde?
  • Var ska AI inte användas?

Säkerställ att medarbetare har kunskap om hur AI fungerar, förstår sitt personliga ansvar, kan tolka och ifrågasätta AI-resultat, samt känner till etiska risker och verksamhetsspecifika fallgropar.

Kontrollfrågor

  • Har verksamheten genomgått en generell AI-utbildning?
  • Finns rapportvägar och strukturer för problemuppföljning?
  • Finns bred förståelse för fallgropar och etiska frågeställningar?
1

Behovsanalys & krav

Förstå varför AI övervägs och vad det innebär

Nivå 1 aktiveras när behovet av automatisering dyker upp. Syftet är att skapa en välgrundad förståelse av varför AI övervägs, hur det påverkar verksamheten och hur kravställning bör formuleras. Det är här de mest grundläggande besluten tas.

Formulera syftet och målsättningen med att introducera AI. Klargör vilken nytta som förväntas, vilka verksamhetsmål som ska uppnås, och om det finns värdekonflikter. Behovsanalysen ska vara kontextualiserad — beskriv vilka steg, roller och intressenter som berörs.

Kontrollfrågor

  • Varför behövs AI?
  • Finns specifika mål som ska uppnås?
  • Finns risker eller värdekonflikter på övergripande nivå?
  • Finns metoder för att följa upp att önskad effekt uppnåtts?

Undersök vilka processer som påverkas om AI införs. Analysera konsekvenserna för beslutsfattande, ansvar och mänsklig agens. Om mänskliga beslut ersätts — analysera vilka värden (yrkeskunskap, etiskt omdöme, empati) som riskerar att gå förlorade.

Kontrollfrågor

  • Ersätts något mänskligt beslut av automatisering?
  • Vilka egenskaper förloras eller förändras?
  • Kan påverkade roller fortfarande ta det ansvar rollen kräver?

Gör en initial bedömning av om behovet sannolikt innebär hög risk enligt AI-förordningen. En högriskklassning ska inte undvikas — klassificeringen bidrar till riskreducering. Den största risken uppstår när AI-tillämpningar felaktigt klassas som att inte vara hög risk.

Kontrollfrågor

  • Finns lösningar som innebär oacceptabel risk?
  • Faller lösningen under hög risk?
  • Finns skäl att välja en högrisklösning?
  • Är kravbilden och gränsdragningen dokumenterad?

Klargör om AI-lösningen är färdig produkt, under utveckling, eller i tidig idéfas. Den slutliga lösningen ska ha en tydligt definierad Provider med livscykelperspektiv. Om produkten klassas som hög risk ska samtliga krav enligt AI-förordningen uppfyllas.

Kontrollfrågor

  • Finns en tydlig Provider-roll (intern eller extern)?
  • Finns ett livscykelperspektiv för uppdatering och avveckling?
  • Är Deployer-organisationen delaktig i centrala vägval?
2

Bedömning & klassificering

Analysera AI-tillämpningen i detalj

Nivå 2 genomförs när en specifik AI-tillämpning kan studeras. Här säkerställs att tillräcklig information finns för riskklassning, ansvarsfördelning och förståelse för konsekvenserna av integration. Bedömningen görs alltid ur Deployer-perspektiv.

Oavsett om Provider är intern eller extern krävs: en tydlig avsedd användning, transparent beskrivning av systemets beslutsprocess (gärna med IFM-modell), riskanalys som klargör vem som påverkas och hur, samt kvalitetsledning med rutiner för datakvalitet och bias-tester. Extern Provider med högrisk-system måste ha CE-märkning.

Kontrollfrågor

  • Finns avsedd användning och IFM-beskrivning?
  • Finns riskanalys med identifierade och hanterade risker?
  • Finns tester för datakvalitet och bias?
  • Vid extern Provider: finns CE-märkning och fullständig dokumentation?

Analysera hur verksamhetens beslutslogik förändras när AI införs. Använd informationsflödesmodeller (IFM) för att se var beslut automatiseras, var mänskligt ansvar utövas och hur bias kan fortplanta sig. Undvik tomma Human-in-the-Loop-roller som bara "tvättar" AI-utdata — HITL kräver verklig insyn, handlingsutrymme och organisatoriskt stöd.

Kontrollfrågor

  • Kan ansvarsprocesser i verksamheten samspela med AI-systemet?
  • Kan HITL-roller fatta beslut på goda grunder?
  • Vad händer om automatiska eller mänskliga beslut blir fel?
  • Kan besluten följas upp och spåras i efterhand?

Genomför Fundamental Rights Impact Assessment (FRIA) — ett krav enligt AI-förordningen vid hög risk. FRIA ska bedöma effekten av den nya beslutsprocessen för intressenter, identifiera påverkade grundläggande rättigheter, analysera risker med hänsyn till sannolikhet och allvarlighetsgrad, klassificera total risknivå, samt fastställa vilka verksamhetsförändringar som behövs.

Kontrollfrågor

  • Finns en dokumenterad FRIA?
  • Vilka risker behöver hanteras av verksamheten?
  • Hur kan riskerna följas upp?
  • Vilken total risknivå har AI-användningen?
FRIA
Fundamental Rights Impact Assessment

En formell konsekvensbedömning av påverkan på grundläggande rättigheter — krävs enligt AI-förordningen innan högrisk-system tas i bruk inom offentlig verksamhet.

3

Beslut & uppföljning

Bör vi använda AI för detta?

Nivå 3 är där analys övergår i ansvarstagande. Här besvaras den avgörande frågan baserat på alla underlag som byggts upp. Ett AI-system kan först sägas vara ansvarsfullt infört efter att denna fas är genomförd.

Ta ställning till om AI-tillämpningen ska införas. Beslutet ska väga identifierade risker mot förväntad nytta och organisatoriska förutsättningar. Att gå vidare innebär inte bara att tekniken bedöms acceptabel — utan att verksamheten har faktisk förmåga att använda systemet ansvarsfullt.

Kontrollfrågor

  • Har riskerna hanterats tillfredsställande?
  • Uppfyller tillämpningen de behov som identifierades i Nivå 1?
  • Är arbetsbördan rimlig för berörda roller?
  • Bör vi använda AI till detta?

Införande av AI innebär nästan alltid en verksamhetsförändring. Identifiera hur arbetsflöden påverkas, om nya roller behövs och vilka ramar som ska gälla. AI-förordningen kräver specifik utbildning vid högrisktillämpningar, men även i andra fall behöver användare kunna förstå och ifrågasätta AI-resultat.

Kontrollfrågor

  • Behövs verksamhetsförändringar?
  • Behövs specifik utbildning?
  • Vilka ramar behövs för AI-användningen?

Pröva systemet i praktiken innan full drift. Testperioden ska vara strukturerad och tidsatt, med tydliga kriterier för lyckat test och hantering av avvikelser. Vid hög risk kan det krävas opt-in-lösningar eller riktad information till berörda grupper.

Kontrollfrågor

  • Vad räknas som ett lyckat test?
  • Hur utvärderas testperioden?
  • Behövs opt-in eller information till påverkade grupper?

Etablera långsiktiga strukturer för uppföljning som täcker tekniska förändringar, organisatoriska konsekvenser och påverkan på intressenter. Inkluderar rutiner för uppdateringar, AI-register, ansvarsfördelning och avveckling.

Kontrollfrågor

  • Hur hanteras uppdateringar och förändringar?
  • Hur följs intressenter och påverkade upp?
  • Har AI-tillämpningen registrerats?
  • Hur avslutas eller ersätts AI-systemet?

Beslut: sätt igång

Det formella beslutet att börja använda AI

Med fyra nivåer av analys, fjorton delsteg av kontrollfrågor och en FRIA-bedömning bakom er — nu är det dags för det avgörande beslutet. Att gå skarpt med AI är ingen automatisk följd av en lyckad analys. Det är en aktiv handling som ska dokumenteras, kommuniceras och stå sig vid en granskning.

Det här är inte en ny fråga — utan svaret på de frågor ni redan ställt i nivå 0–3. Allt grundarbete är vad som ger er rätten att fatta beslutet. Om analysen lyser grönt: starta. Om den landar i "ja-med-förändringar" — gör först förändringarna. Om den landar i "nej" — då är det också ett ansvarsfullt beslut.

Innan ni rullar ut

  • Är beslutet formellt fattat enligt gällande beslutsordning?
  • Är alla berörda informerade och utbildade?
  • Är monitorering, riskanalys och uppföljning aktiverade från dag ett?
  • Har ni datum för utvärdering — 3, 6 och 12 månader?
  • Vet ni när och hur ni avvecklar om något inte fungerar?

Roller & begrepp

Tre roller du behöver förstå.

Riktlinjerna återkommer till tre roller och begrepp som är centrala för hela bedömningsprocessen. Att förstå vad de innebär är förutsättningen för att kunna föra ett vettigt samtal om en AI-tillämpning.

Provider

Den som tillhandahåller AI-systemet

Kan vara kommunen själv (intern utveckling) eller en extern leverantör. Provider bär huvudansvaret för att systemet fungerar säkert, är dokumenterat och uppfyller AI-förordningens krav.

Vid extern Provider ska högrisk-system vara CE-märkta — det är ett konkret krav, inte en formalitet.

HITL

Human-in-the-Loop

Människan som är inkopplad i AI-driven beslutsprocess och utövar mänsklig kontroll. Avgörande för att lagkravet på "mänsklig översyn" ska få verklig betydelse.

Tomma HITL-roller — där människan bara klickar OK utan att ha förstått eller kunnat påverka — leder till just de problem som ska undvikas.

FRIA

Fundamental Rights Impact Assessment

En formell konsekvensbedömning av påverkan på grundläggande rättigheter. Krävs enligt AI-förordningen innan högrisk-system tas i bruk inom offentlig verksamhet.

FRIA är inte en engångsövning — den ska uppdateras när systemet, processerna eller målgrupperna förändras.

Den avgörande frågan

Bör vi använda AI för detta?

— riktlinjernas huvudfråga, som ska besvaras öppet i nivå 3

Frågan kan besvaras med ja, ja-med-förändringar eller nej. Alla tre är legitima utfall. Riktlinjernas hela poäng är att frågan ska ställas — innan systemet är i drift, innan beslut blir oåterkalleliga, och med ett underlag som tål granskning.

Ta hjälp av AI-teamet → Tillbaka till processen

AI-teamet är din partner

Du gör det inte själv.

Bedömning av hög risk-AI är ingen ensamuppgift. AI-teamet i kommunkoncernen finns som stöd genom hela processen — från första idé till löpande uppföljning.

Kontakta oss redan i nivå 1, när ni börjar fundera på behov och Provider-roll. Då kan vi tillsammans göra rätt avvägningar tidigt — och slippa kostsamma omtag senare.

Kontakta AI-teamet →
ISO/IEC 42001

För dig som vill formalisera

Den internationella standarden ISO/IEC 42001 ger en struktur för AI-ledningssystem. Riktlinjernas fyra nivåer passar väl ihop med standardens krav på organisation, planering, systematik och uppföljning — och kan användas som ett konkret operativt komplement för organisationer som vill certifiera sig.

Gå vidare

Relaterade regler och resurser.

Regler · publika AI

Regler för publika AI-system

Den dagliga input-säkerheten för dig som använder ChatGPT, Copilot eller liknande. 7 input-regler + 4 resultatregler.

Läs reglerna → Utbildning

AI på 10 minuter

Den korta introduktionen för medarbetare. Innehåller bland annat AI-förordningens fyra risknivåer förklarat enkelt.

Till utbildningen → Verktyg

Introduktion till Eneo

Kommunens egna plattform som ger oss full rådighet över AI-användningen — en avgörande grund för flera krav i riktlinjerna.

Lär dig Eneo →