1. Klassificering styr inköpet
När du upphandlar AI måste du först förstå vilken riskklass systemet har:
- Låg risk – relativt fritt att köpa (t.ex. enkla chatbots)
- Hög risk – omfattande krav (t.ex. AI i HR, kreditbedömning, medicin)
- Otillåten AI – får inte köpas alls
Inköpsprocessen börjar alltså med riskbedömning, inte bara pris/funktion.
2. Nya krav på leverantörer
Du kan inte längre köpa “black box”-AI hur som helst.
Som inköpare behöver du säkerställa att leverantören:
- uppfyller AI Act-krav
- har dokumentation och transparens
- kan visa compliance (CE-märkning i vissa fall)
- har riskhantering och datakvalitet på plats
Praktiskt: fler krav i upphandling/RFP.
3. Ökat ansvar för köparen (användaren)
Det räcker inte att leverantören är compliant.
Som organisation som använder AI måste du:
- använda systemet enligt instruktioner
- övervaka användningen
- hantera risker och incidenter
- ibland registrera systemet
Inköp innebär även ansvar för drift och governance.
4. Dataskydd och etik
AI Act hänger ihop med GDPR och etik.
Vid inköp behöver du tänka på:
- vilken data AI tränas/använder
- bias och diskriminering
- transparens mot användare
Juridik och etik blir en del av inköpskraven.
5. Dokumentation och spårbarhet
Du behöver kunna visa:
- varför systemet köptes
- hur risk bedömdes
- att krav uppfylls
Inköpsprocessen blir mer lik ett compliance-projekt.
6. Påverkan på organisationen
Vanliga förändringar:
- Inköp jobbar närmare juridik, IT och risk
- Nya policies för AI-inköp
- Djupare leverantörsgranskning
Sammanfattning
AI Act gör att inköp går från att bara köpa mjukvara till att även granska, styra risk och följa lag.