AI-förordningen, på svenska
10 april 2026
EU:s AI-lag är redan här. De flesta vet det inte.
Den 1 augusti 2024 trädde EU:s AI-förordning i kraft. De flesta svenska företag har inte märkt av den ännu, och det är precis det som är problemet. Reglerna rullas nämligen ut i etapper, och hösten 2026 är den gräns som berör de allra flesta.
Jag jobbar till vardags med digital marknadsföring och har under det senaste året ägnat en hel del tid åt att förstå vad den här förordningen faktiskt innebär i praktiken, inte bara i teorin. Det jag skriver här är inte juridisk rådgivning, men det är en ärlig genomgång av vad du behöver veta.
Vad handlar det egentligen om?
EU:s AI-förordning (officiellt förordning 2024/1689) är världens första heltäckande lagstiftning för artificiell intelligens. Den klassificerar AI-system efter risk: från förbjudna tillämpningar längst upp, via hög risk, begränsad risk, till minimal risk längst ner. De flesta företag och privatpersoner rör sig uteslutande i de nedre kategorierna, men det finns krav även där.
Förordningen gäller alla som använder, distribuerar eller på annat sätt hanterar AI-system inom EU, oavsett om systemet är byggt i Europa eller inte. Det räcker alltså att du använder ChatGPT eller Claude i ditt arbete för att hamna inom lagens tillämpningsområde.
Tidslinjerna som faktiskt spelar roll
2 februari 2025: Förbud mot vissa AI-tillämpningar trädde i kraft, bland annat sociala poängsystem och viss manipulativ AI riktad mot utsatta grupper. Dessutom krav på att personal som arbetar med AI ska ha adekvat kunskap om det (AI-kunnighet).
2 augusti 2025: Regler för så kallade GPAI-modeller, det vill säga de stora grundmodellerna som GPT-4, Claude och Gemini bygger på. Berör primärt de företag som bygger eller distribuerar sådana modeller.
2 augusti 2026: Förordningen är fullt tillämplig. Det är här märkningskraven slår in på allvar, och det är den datum som berör dig om du driver ett företag och använder AI i produktionen av innehåll.
Vad måste du göra?
Det beror på din roll. Förordningen delar upp aktörerna i leverantörer (de som bygger AI-system), importörer, distributörer och användare. De allra flesta företag är användare, det vill säga de köper licenser till verktyg som ChatGPT eller Midjourney och producerar material med dem.
Som användare är de konkreta minimikraven:
1. AI-kunnighet hos personalen (gäller redan)
Alla som arbetar med AI-verktyg ska ha ”tillräcklig AI-kompetens” för att förstå vad de använder och vilka risker det medför. Det låter vagt, och det är det, men kravet finns. Dokumentera att du och eventuell personal har gått igenom grunderna.
2. Märkning av visst innehåll (gäller från 2 augusti 2026)
Artikel 50 kräver märkning i följande fall:
AI-genererade eller AI-manipulerade bilder, ljud eller video som föreställer verkliga, identifierbara personer, platser eller händelser. Det klassiska exemplet är deepfakes.
Text som publiceras i informationssyfte till allmänheten i frågor av allmänt intresse, om texten är helt AI-genererad.
Det finns däremot inget generellt krav på att märka varje AI-skriven annonstext eller AI-redigerad produktbild. Den gränsen är viktig att förstå, eftersom många tror att all AI-produktion måste skyltas.
3. Undvika förbjudna tillämpningar
Dessa är ytterst sällan relevanta för ett vanligt företag, men för säkerhets skull: det är förbjudet att använda AI för att manipulera personer utanför deras medvetande, exploatera psykologiska svagheter, bygga sociala poängsystem baserade på beteende, eller använda biometrisk realtidsövervakning på allmän plats.
Vad bör du göra, utöver minimikraven?
Det juridiska minimikravet och det kloka minimikravet är inte samma sak. Här är vad jag rekommenderar att du faktiskt gör, baserat på vad som ger dig trygghet och spårbarhet om någon frågar:
Dokumentera ditt AI-arbetsflöde
Skriv ner vilka verktyg du använder, för vad och i vilka sammanhang. Det behöver inte vara ett formellt system, ett Google Docs-dokument räcker. Poängen är att du kan svara om en kund eller en myndighet ber dig redogöra för hur ett visst material producerades.
Klargör ansvar i kundavtal
Om du levererar AI-producerat material till kunder, se till att dina avtal är tydliga med att materialet kan vara helt eller delvis AI-producerat, och vem som ansvarar för eventuell märkning vid publicering. Det är enklare att ordna nu än att bråka om det i efterhand.
Undvik identifierbara verkliga personer i AI-bilder
Det är den enskilt enklaste interna regeln att sätta upp, och den eliminerar den största juridiska risken under artikel 50. En AI-skapad bild på ett fiktivt café är i princip problemfri. En AI-bild som ser ut att föreställa din konkurrent är det inte.
Håll koll på vägledningsdokument
EU-kommissionen och Integritetsskyddsmyndigheten (IMY) arbetar med att precisera hur förordningen ska tolkas i praktiken. Flera viktiga vägledningar är inte klara ännu. Det är värt att bevaka IMY:s hemsida under 2025 och 2026.
Det är mer hanterbart än det låter
Förordningen är omfångsrik. På papper ser den ut som ett enormt projekt. Men för det stora flertalet företag handlar det om tre konkreta saker: veta vilka verktyg du använder, dokumentera det, och märka det du är skyldig att märka.
Det som tar tid är inte efterlevnaden i sig, det är att förstå vad som faktiskt krävs.
En sak till, och den är viktig: det här är min tolkning. Jag är inte jurist och det här är inte en manual. Det är en genomgång av hur jag läst och förstått regelverket, i hopp om att det ska ge dig en bättre startpunkt än att börja från noll. Ta det som inspiration och en anledning att faktiskt sätta dig ner och göra jobbet, för det visar sig nästan alltid vara mindre krångligt än man trott. Vill du ha den juridiskt vattentäta versionen, prata med någon som är kvalificerad för det.