AI-förordningen, när, varför och för vem?

Den här korta guiden är framtagen av Swedish Edtech Industry där vi bland annat använt en referensgrupp av experter som hjälpt oss med innehållet. Stort tack för er hjälp och för att vi fått  hämta inspiration i era material. Att följa våra tips och råd innebär inte att man uppfyller kraven i förordningen, men kan ge en bra ingång till att komma igång med arbetet. Vi hänvisar vidare till myndigheter och deras råd och instruktioner.

Guiden syftar till att ge en första överblick över de regelverk man behöver att förhålla sig till, med fokus på utbildningssektorn, och tipsar om hur man kan ta sig vidare om man inte kommit igång. AI är en kraftfull teknik som kan ge mycket nytta om man använder den på rätt sätt. I den här guiden går vi dock inte in på vad man kan göra och hur man kan använda  AI i undervisningen, eller för att effektivisera arbete eller processer.

Guiden är indelad i olika sektioner som du med fördel kan bläddra mellan utan inbördes ordning, men vi uppmuntrar till läsning av samtliga sektioner. Vi hänvisar även till våra andra guider där så är relevant.

Målgrupp

Guiden är för dig som jobbar inom den offentliga utbildningssektorn, privat utbildningsanordnare och i viss mån som leverantör.

Innehåll

Guiden består dels av en enkel översikt av AI-förordningen, dels av praktiska tips och checklistor för att starta arbetet.

Du navigerar mellan sidorna antingen genom att utgå från startsidan (här) eller genom att klicka på ”nästa” och ”föregående” längst ner på respektive sida. 

AI och AI-system, övergripande begrepp

I den här guiden använder vi orden AI och AI-system som övergripande begrepp för olika former av AI. På sidan Vad är AI och vad behöver ni ha koll på,  förklarar vi lite mer vad AI är och reder ut skillnader mellan generativ AI, språkmodeller och LLM.

Obs! Tolkning pågår!
AI-förordningen implementeras just nu och precis som med andra lagar, t.ex. GDPR, sker olika juridiska tolkningar av artiklarna och definitionerna. Det är inte förrän något har prövats juridiskt och en dom, ett vite eller liknande kommit, som vi faktiskt vet hur förordningen ska tolkas. Den här översikten är till för att skapa medvetenhet om AI-förordningen kopplat till utbildning och att det är viktigt att följa och ha koll på hygienfaktorerna, att era rutiner för informationssäkerhetsklassning, granskning och val av digitala tjänster även inkluderar AI-systemen och att ni jobbar med AI-kunnighet – AI-litteracitetet – hos medarbetarna. Följ speciellt rekommendationer och råd från DIGG och IMY.

AI-förordningen: när, varför och för vem? 

Den 2 februari 2025 trädde delar av AI-förordningen i kraft i EU. För utbildningssektorn, med skolor, universitet och edtechföretag som arbetar med AI, innebär detta nya skyldigheter, regler och till och med vissa förbud att förhålla sig till. Om man inte lever upp till förordningens krav kan man dömas till större viten.

Er organisation kanske redan har en AI-policy på plats, medan andra inte har kommit igång och några av er kanske inte vet att ni behöver en. Då är det dags att agera, för en AI-policy behövs. AI finns i flera tjänster idag, ibland mer eller mindre osynligt och ibland tydligare. Ett allra första tips är att börja med en inventering. Vilka AI-system används i organisationen idag och vilka av de digitala tjänster ni redan använder, kan innehålla AI?

Viktiga datum i implementering av AI-förordningen

Läs mer om vad och när: Implementation Timeline.

AI-förordningen & andra lagar

Kom ihåg: AI-förordningen ersätter inte andra lagrum, som t.ex. upphovsrättslagen, personuppgiftslagen/GDPR osv. De samspelar och överlappar varandra. 

Informationssäkerhetsklassning ska alltid göras när man har med olika digitala tjänster att göra. Och upphovsrätten ska alltid bedömas vid användning av generativ AI. Se DIGG:s vägledning.

Vem är ansvarig hos er?

För dig som läser detta: Vem i er organisation är övergripande ansvarig för hur AI ska användas och se till att det finns en policy och att kraven på kompetens efterlevs? Är det någon i kommunen, i ledningen, din närmaste chef eller är det kanske du? Alla som använder AI inom utbildning har ett ansvar. Du behöver veta om och hur du får använda olika AI-system och vilka risker som finns. Läs mer på sidan AI-kunnighetskravet. 

Exempel: Om du som lärare använder en AI-chatbot i undervisningen med eleverna, behöver du veta om du får använda den och vilka risker som kan finnas

Vem gäller AI-förordningen för? 

Även en myndighet kan vara leverantör

AI-förordningen med dess regler riktar sig till flera olika aktörer på marknaden, som alla har ansvar att uppfylla kraven. Dels de som utvecklar AI-modeller eller AI-system och dels organisationer som köper och använder AI. Andra aktörer, distributörer och importörer, har också krav på sig att säkerställa att kraven uppfylls innan de släpper ut AI på marknaden. 

Förordningen är framtagen för att reglera säker och etisk utveckling och användning av AI.  AI-förordningen gäller AI på EU:s marknad. AI som till exempel enbart används för forskning eller militärt bruk omfattas inte.

Privat användning av AI omfattas inte. Se upp med eventuell användning av AI-system där anställda använder privata konton på jobbet.

Vem är vem?

• Leverantör (provider)
  Leverantör är de som utvecklar och levererar AI till marknaden. Det gäller också dem som tar ett AI-system i bruk i eget namn/varumärke. Det betyder alltså att även en myndighet eller en organisation kan bli en leverantör. Leverantören ansvarar för att deras AI uppfyller kraven. Ett exempel på när en myndighet eller organisation blir en leverantör är om man inkluderar ett AI-system i en e-tjänst till medborgare, exempelvis ett gymnasieantagningssystem, eller en chattbot för medborgarservice.
• Tillhandahållare (deployer)
  Tillhandahållare är de som tillhandahåller ett AI-system åt slutanvändare, exempelvis en skola, ett företag eller organisation som implementerar en AI-modell i sin verksamhet som medarbetarna använder. Tillhandahållaren ansvarar för att vidta tekniska och organisatoriska åtgärder så att AI används korrekt.

Hög tid att agera – värna nyfikenhet och ett utforskande av AI på rätt sätt

För er som arbetar med AI inom utbildningssektorn är det hög tid att agera, att säkerställa att er organisation är redo att använda AI på rätt och säkert sätt, att möta kraven och undvika potentiella sanktionsavgifter. För oavsett om man vill eller ej, är AI här och det är viktigt att såväl anställda som studerande använder AI-systemen på ett korrekt sätt på sin arbetsplats, i sina studier. Att som anställd använda privata konton till olika AI-system är inte förenligt med de lagrum som finns (såväl AI-förordningen som GDPR). 

Var uppmärksam på “skugg-AI”

En stor del av den AI som redan nu används på arbetsplatser och i skolor är “skugg-AI”, vilket betyder att den används utan granskning och beslut utifrån aspekter som informationssäkerhet, integritet och regelefterlevnad. Det kan till exempel vara lärare som använder ett AI-system på eget initiativ med ett egenskapat och till och med privat konto (privat e-postadress osv) och det kan också vara omedvetet, att de digitala tjänster man använder i sin tur har inbyggd AI-funktionalitet som man inte är medveten om. Det här kan bero på att rutinerna helt enkelt inte är på plats och en osäkerhet råder om vad som gäller, i kombination med en iver och nyfikenhet att utforska möjligheterna med AI. 

Alla AI-system som används behöver granskas och godkännas för att inte riskera fel hantering av data, personuppgifter eller de etiska aspekter som finns. Stora delar är i princip “vanlig” informationssäkerhetsklassning som gäller alla digitala tjänster som används. Att ha koll på den data som hanteras i de olika tjänsterna som används. Mer specifikt för just AI-system, framför allt LLM (Large Language Models, dvs avancerade AI-system som kan förstå och generera text genom att analysera enorma mängder språkdata) är det viktigt att förstå att man dels inte ska ladda upp vilken data som helst och dels att resultatet som presenteras inte är 100 % tillförlitligt. Man ska också ta hänsyn till upphovsrättslagen, så att man inte matar in och använder upphovsrättsskyddat material.

Så vårt första tips igen: börja med en inventering. Vilka AI-tjänster används i organisationen idag och vilka av de digitala tjänster ni redan använder, kan innehålla AI?  Se till att fånga upp eventuell “skugg-AI”. Ett viktigt steg vidare är att förtydliga för alla medarbetare och studerande vilka AI-system som är godkända att använda och även tydligt avråda användning av andra.

Informationssäkerhet

• Läs mer om informationssäkerhet i vår guide Att köpa Edtech där vi bl.a. hänvisar till MSB:s metodstöd och SKR:s verktyg KLASSA.
• Mer om informationssäkerhet för generativ AI i riktlinjerna från DIGG.