AI-portalenSundsvalls kommun

eu-ai-act

Bedömning av högrisk-AI

Bedömningsprocess

Från förberedd organisation till löpande uppföljning

Bedömningen byggs i fyra nivåer. Varje nivå förutsätter att den föregående är på plats. Det som ofta går snett är att organisationen hoppar direkt till verktygsval utan att ha klart för sig vilken beslutsprocess AI:n faktiskt förändrar.

Nivå 0Nivå 1Nivå 2Nivå 3

Fem grundprinciper som gäller hela vägen

  1. 01

    AI förändrar beslutsprocesser

    Inte bara verktyg. Varje system analyseras som en kombinerad mänsklig–teknisk beslutsprocess.

  2. 02

    AI är inte rättvist i sig

    Rättvisa och trovärdighet uppstår i verksamhetens processer, inte i tekniken.

  3. 03

    Ansvar kan inte automatiseras

    Alla beslut som fattas med stöd av AI är fortfarande kommunens beslut.

  4. 04

    Transparens för förståelse

    Transparens ska möjliggöra förståelse och kontroll — inte bara formell dokumentation.

  5. 05

    Risker uppstår över tid

    Risk uppstår i användning och över tid, inte enbart vid utveckling eller införande.

Fyra nivåer från förberedelse till monitorering

  1. Nivå 0

    AI-förberedd organisation

    Kartlägg beslutsprocesser, fastställ strategi, säkerställ AI-literacy. Här tas ansvaret.

    • Kartläggning av beslutsprocesser och roller
    • AI-strategi med gränsdragningar
    • Utbildning och AI-literacy
  2. Nivå 1

    Behovsanalys och krav

    Dokumentera varför AI övervägs, vilka processer påverkas och vilken Provider-roll som gäller.

    • Behovsbeskrivning och påverkade processer
    • Initial risknivå-bedömning
    • Krav på Provider (intern eller extern)
  3. Nivå 2

    Bedömning och klassificering

    Kärnan i högriskbedömningen. Här granskas Provider, beslutsprocesser och FRIA.

    • Provider-krav (dokumentation, CE-märkning)
    • Informationsflödesmodell (IFM)
    • Human-in-the-Loop-analys
    • FRIA — påverkan på grundläggande rättigheter
  4. Nivå 3

    Beslut och uppföljning

    Bör vi använda AI för detta? Beslut, anpassning, testperiod och långsiktig monitorering.

    • Formellt beslut — risk mot nytta
    • Anpassade arbetsflöden och utbildning
    • Strukturerad testperiod
    • Löpande monitorering över tid

Den avgörande frågan

“Bör vi använda AI för detta — givet vad vi nu vet om risk, ansvar och påverkan på berörda?”

Frågan besvaras i Nivå 3, men den är bara meningsfull om Nivå 0–2 gjorts ordentligt. En högriskklassning ska inte undvikas — den största risken är att felaktigt klassa en tillämpning som icke-högrisk.

Standard
ISO/IEC 42001
Ramverk
EU AI Act

Varför en särskild bedömningsprocess?

AI-förordningen ställer särskilda krav på system som kan påverka människors rättigheter, säkerhet eller tillgång till samhällstjänster. I kommunen handlar det ofta om beslutsstöd inom socialtjänst, utbildning, arbetsmarknad eller handläggning — områden där felaktiga eller partiska beslut får allvarliga konsekvenser för enskilda.

En högriskklassning ska inte undvikas. Tvärtom bidrar den till riskreducering genom ökade krav på kontroller, dokumentation och uppföljning. Den största risken uppstår när en AI-tillämpning felaktigt klassas som att inte vara högrisk.

Fem grundprinciper

Bedömningsprocessen vilar på fem principer som gäller genom hela livscykeln:

  1. AI förändrar beslutsprocesser — inte bara verktyg. Varje system måste analyseras som en del av en kombinerad mänsklig–teknisk beslutsprocess.
  2. AI är inte rättvist i sig. Rättvisa och trovärdighet uppstår i verksamhetens processer, inte i tekniken.
  3. Ansvar kan inte automatiseras. Alla beslut som fattas med stöd av AI är fortfarande kommunens beslut.
  4. Transparens ska möjliggöra förståelse och kontroll — inte bara formell dokumentation.
  5. Risker uppstår i användning och över tid, inte enbart vid utveckling eller införande.

Processen i fyra nivåer

Den visuella översikten ovanför artikeln visar hur bedömningen byggs upp från organisatorisk förberedelse (Nivå 0) till löpande monitorering (Nivå 3). Varje nivå förutsätter att den föregående är på plats.

Nivå 0 — AI-förberedd organisation

Innan en specifik tillämpning bedöms måste grundstrukturerna finnas. Kartlägg befintliga beslutsprocesser och roller, fastställ en strategi för AI-användning med tydliga gränsdragningar, och säkerställ utbildning och AI-literacy hos medarbetare.

Från ett ansvarsperspektiv är Nivå 0 den viktigaste — det är här ansvar faktiskt tas och risker faktiskt hanteras.

Nivå 1 — Behovsanalys och krav

När ett AI-behov identifieras ska verksamheten dokumentera varför AI övervägs, vilka processer som påverkas, vilka initiala gränsdragningar kring risknivå som kan göras, samt hur Provider-rollen ser ut (intern utveckling eller extern leverantör).

Vid högrisk är det särskilt viktigt att tidigt identifiera om lösningen faller under AI-förordningens högriskklassning och att formulera krav som säkerställer att den valda lösningen klarar de kontroller som krävs.

Nivå 2 — Bedömning och klassificering

Detta är kärnan i högriskbedömningen. Här analyseras den specifika AI-tillämp­ ningen i detalj.

Krav på Provider (intern eller extern):

  • Avsedd användning ska vara tydligt definierad.
  • Transparent beskrivning av hur systemet fungerar, inklusive informations­ flöden och delbeslut.
  • Riskanalys som täcker vem som påverkas, vilka effekter som kan uppstå och hur riskerna hanteras.
  • Kvalitetsledning med rutiner för datakvalitet, bias-tester och monitorering.
  • För extern Provider med högrisk-system krävs CE-märkning och fullständig dokumentation.

Analys av beslutsprocesser:

Ett centralt verktyg är informationsflödesmodeller (IFM) som visar vilka beslut som tas, vilken information som används, var mänskligt ansvar utövas och hur bias kan fortplanta sig genom processen.

Human-in-the-Loop-roller (HITL) är bara meningsfulla om personerna har verklig insyn, handlingsutrymme och tillgång till relevanta beslutsunderlag. Tomma HITL-roller som bara "tvättar" AI-utdata leder till just de problem som ska undvikas.

FRIA — Fundamental Rights Impact Assessment:

Innan ett högrisk-AI-system tas i bruk krävs en FRIA enligt AI-förordningen. Den ska bedöma effekten av den nya beslutsprocessen för berörda intressenter, identifiera påverkade grundläggande rättigheter, analysera risker med hänsyn till sannolikhet och allvarlighetsgrad, klassificera den totala risknivån, samt fastställa vilka verksamhetsförändringar som behövs.

Nivå 3 — Beslut och uppföljning

Här besvaras den avgörande frågan — "Bör vi använda AI för detta?" — baserat på alla underlag som byggts upp.

Processen omfattar ett formellt beslut som väger risk mot nytta, anpassning av arbetsflöden och utbildning av användare, en strukturerad testperiod med tydliga kriterier för vad som räknas som lyckat, samt långsiktig monitorering som täcker uppdateringar, verksamhets­förändringar och konsekvenser för berörda grupper.

Kvalitetsledning och ISO 42001

För organisationer som vill formalisera sitt AI-arbete ger standarden ISO/IEC 42001 en struktur för AI-ledningssystem. De fyra nivåerna passar väl ihop med standardens krav på organisation, planering, systematik och uppföljning — och kan användas som ett konkret operativt komplement.

När du är osäker

Kontakta AI-rådet och dataskyddsombudet innan en tillämpning tas i drift. Vänta inte tills användningen är igång — Nivå 0 och Nivå 1 är de billigaste tillfällena att ställa frågan "ska vi göra detta alls?".

Bedömningsprocessen är baserad på Compleys "Riktlinjer för AI" (2025).