De här AI-verktygen får ni köra – riktlinjer och regelverk för svenska organisationer 2026
ChatGPT, Claude, Gemini, Copilot. Olika konton, olika avtal, olika regler. Här är en praktisk karta över vad som gäller 2026 och vad din organisation måste tänka på.
Microsoft 365 Copilot eller ChatGPT Enterprise? Azure OpenAI i Sverige Central eller Claude.ai? Beslutet är inte bara tekniskt, det är juridiskt. Svaret beror på vad ni redan har, vilken data ni hanterar och vilken sektor ni verkar i.
Den här guiden samlar det regelverk som styr generativ AI i svenska organisationer och visar vad de fyra stora leverantörerna konkret erbjuder. Den ersätter inte en jurists bedömning av just er situation. Däremot ger den en karta som tar er från osäkerhet till en första riskklassad inventering.
Den juridiska strukturen, riskkategorierna och AI Acts mekanik täcker vi i vår tidigare artikel EU AI Act – så påverkar AI-förordningen Sverige. Den här guiden besvarar nästa fråga: vilket verktyg kan ni använda i er organisation och hur?
Kort om läget 2026
Två nya milstolpar har förändrat bilden de senaste månaderna. Den 7 maj 2026 nådde EU-parlamentet och rådet en politisk överenskommelse inom paketet Digital Omnibus om att skjuta upp högrisk-AI-reglerna. Den 7 januari 2026 blev Anthropic Claude subprocessor för delar av Microsoft 365 Copilot. Båda förändringarna har konkreta följder för hur ni bör tänka kring leverantörsval och tidsplan.
Det här gäller redan 2026
• Åtta AI-praktiker är förbjudna (AI Act artikel 5, sedan 2 februari 2025)
• Krav på AI-kompetens hos personal (artikel 4, sedan 2 februari 2025)
• GPAI-regler för leverantörer av ChatGPT, Claude, Gemini med flera (sedan 2 augusti 2025)
• GDPR gäller fullt ut för all AI-användning som rör persondata
• Högrisk-AI-kraven har skjutits upp till 2 december 2027 enligt Digital Omnibus, ej formellt antaget än
Åtta AI-praktiker är totalförbjudna enligt artikel 5
1. Subliminal manipulation som påverkar beslut genom omedvetna tekniker
2. Utnyttjande av sårbarheter (ålder, funktionsnedsättning, ekonomisk utsatthet)
3. Social poängsättning av personer baserat på socialt beteende
4. Prediktiv brottsriskbedömning baserad på profilering
5. Oriktat skrapande av ansiktsbilder från nätet eller övervakningskameror
6. Känsloigenkänning på arbetsplats och i skola
7. Biometrisk kategorisering som härleder ras, politisk åskådning eller sexuell läggning
8. Biometrisk fjärridentifiering i realtid för brottsbekämpning i offentliga miljöer
Förbuden gäller sedan 2 februari 2025. Sanktioner upp till 35 miljoner euro eller sju procent av global omsättning. För djupare genomgång, se vår artikel om EU AI Act.
Det som inte har förändrats är grunden. GDPR fortsätter att kräva rättslig grund, dokumentation och konsekvensbedömning vid känslig behandling av personuppgifter. Sektorsregler för skola, vård och offentlig förvaltning gäller parallellt. Den 2 augusti 2026 aktiveras dessutom sanktionsmekanismerna i AI Act, vilket innebär att tillsynsmyndigheter får verktyg att utdöma böter på upp till 35 miljoner euro eller sju procent av global omsättning.
De tre grindarna varje AI-användning passerar
Varje AI-användning i en svensk organisation måste passera tre grindar innan den är klar för drift. Tänk på det som en checklista i tre steg, oavsett om ni testar en chatbot för kundtjänst eller automatiserar fakturahanteringen.
Grind 1: AI Act
Är användningen förbjuden enligt artikel 5? Klassas systemet som högrisk enligt Annex III? Är ni leverantör eller användare av systemet? Kravet på AI-kompetens (artikel 4) gäller redan och omfattar både er och era anställda.
Grind 2: GDPR
Behandlas persondata? Då krävs rättslig grund, registerförteckning och i många fall en konsekvensbedömning (DPIA). Vid användning av amerikanska leverantörer behövs personuppgiftsbiträdesavtal (DPA) och giltig grund för tredjelandsöverföring. EDPB:s opinion 28/2024 om AI-modeller och persondata är den centrala vägledningen.
Grind 3: Sektorsregler
Är ni verksamma inom skola, vård, finans eller offentlig förvaltning? Då gäller egna regelverk parallellt. Skollagen, patientdatalagen, offentlighets- och sekretesslagen (OSL) och finansiella tillsynskrav lägger ofta strängare krav än AI Act och GDPR.
En generativ AI som klarar alla tre grindar är inte automatiskt riskfri, men en som inte klarar någon av dem är inte heller redo att driftsättas, oavsett hur lockande pilotprojektet känns.
Beslutsträd för era AI-verktyg
För att snabbt orientera er, ta er igenom beslutsträdet nedan. Det leder från fyra grundfrågor till en av fyra slutsatser: lämpligt, lämpligt med villkor, avråds eller förbjudet.
Beslutsträdet är en första sortering, inte en juridisk bedömning. För komplexa fall, särskilt i offentlig sektor och vård, krävs en mer detaljerad analys tillsammans med dataskyddsombud och jurist.
Leverantörerna och deras EU-erbjudanden
De fyra stora utländska leverantörerna har under 2025 och 2026 byggt ut sina europeiska erbjudanden i snabb takt. Skillnaderna mellan konsumentkonto och företagsavtal är dock stora, både juridiskt och i praktiken.
Microsoft 365 Copilot och Azure OpenAI
Microsofts erbjudande är det mest mogna i Europa just nu. EU Data Boundary är en geografiskt definierad gräns inom vilken Microsoft lagrar och processar kunddata för Azure, Microsoft 365, Dynamics 365 och Power Platform. Den sista fasen rullades ut den 26 februari 2025 och omfattar nu även pseudonymiserade systemloggar och professional services data.
Sverige Central, Microsofts svenska datacenter-region i Gävle-Sandviken-området, är en av regionerna som ingår i EU Data Boundary. Det betyder att ett svenskt företag med Microsoft 365-tenant i Sverige får sina Copilot-prompter, svar och tillhörande data processade inom EU och EFTA. Microsoft har dessutom uttryckliga åtaganden i Product Terms och Data Protection Addendum om att data från Microsoft 365 Copilot inte används för att träna grundmodellerna.
Azure OpenAI Service är Microsofts variant av OpenAIs modeller, körda i Azures egna datacenter. Det finns regional tillgänglighet i flera europeiska datacenter, inklusive Sverige Central, och en så kallad Data Zone-konfiguration som låser processning till EU-regioner. För svenska företag som vill ha generativ AI integrerad med Microsoft Graph, SharePoint och Teams är detta ofta vägen med minst friktion.
Den Anthropic-nyans som många missar
Den 7 januari 2026 blev Anthropic subprocessor för delar av Microsoft 365 Copilot, främst för funktioner som använder Claude-modeller i agenter och research-scenarier. Microsoft skriver explicit i sin egen privacy-dokumentation:
"Anthropic models are out of scope for the EU Data Boundary and when available, in-country LLM processing commitments."
Det betyder att den Copilot-konfiguration ni köper med EU Data Boundary inte täcker det Anthropic-skikt som körs när vissa funktioner anropas. Kartlägg därför vilka Copilot-funktioner ni aktiverar, och om ni vill begränsa er till OpenAI-baserade modeller, dokumentera valet i er AI-policy.
OpenAI ChatGPT och API
OpenAI lanserade EU Data Residency för ChatGPT Enterprise och Edu i februari 2025, och utökade i januari 2026 med inference-residency, vilket innebär att även själva processningen sker inom EES och Schweiz. Företagsplaner ChatGPT Enterprise, Business och Edu omfattas, liksom API:et för utvecklare som väljer EU-region. Notera att ChatGPT Team döptes om till ChatGPT Business i augusti 2025.
Det viktigaste att veta är att ChatGPT Enterprise och Business enligt OpenAIs Data Processing Addendum inte använder företagskundernas prompter eller svar för att träna grundmodellerna. Detta gäller också API:et. Däremot tränas konsumentversionerna ChatGPT Free, Plus och Pro på prompter och svar som default. Det går att slå av, men kräver aktiv inställning från varje användare.
ChatGPT Enterprise eller Business med EU-region aktiverad är ett rimligt val för svenska organisationer som vill ha en fristående AI-arbetsyta. För enstaka medarbetare som använder ChatGPT Plus privat utan företagsavtal gäller däremot inga av dessa skydd. Detta är skugg-AI och ska kartläggas separat.
Google Gemini, Workspace och Vertex AI
Google har tre olika erbjudanden som ofta blandas ihop men som juridiskt och tekniskt är skilda. Skillnaden avgör om ni faktiskt kan använda Gemini inom EU eller inte.
Vertex AI är utvecklarplattformen i Google Cloud där Gemini-modeller anropas via API. Här finns den bredaste EU-tillgängligheten. En svensk region (europe-north2) i Stockholm öppnades 6 mars 2025, och Vertex AI har dessutom ett multi-region EU-endpoint som balanserar trafik inom EU vid kapacitetsbrist. För dataintensiva användningar och egenbyggda integrationer är detta Googles starkaste europeiska erbjudande.
Google Workspace med Gemini Enterprise är paketet för organisationer som vill ha AI integrerat i Gmail, Docs, Meet och Drive. Enterprise- och Plus-utgåvorna har data residency commitments för specifika EU-regioner som konfigureras per kund i Workspace admin. Workspace med Gemini tränar inte på företagsdata och har DPA. En viktig brasklapp: de senaste Gemini-modellerna från I/O 2026 (3.x och 3.5) är ännu inte tillgängliga i EU-regionerna. Bara Gemini 2.5 Pro och 2.0 Flash körs i EU (via europe-west4 i Nederländerna). Behöver ni absolut senaste modellen är USA-region enda alternativet, och då gäller andra villkor.
Gemini-appen (gemini.google.com och mobilapparna) är konsumentversionen, med planerna Free, AI Pro och AI Ultra. Den är tillgänglig i Sverige, men chats kan användas för modellförbättring som default. Human reviewers kan se anonymiserade konversationer i upp till tre år om inte inställningarna ändras. Konsument-Gemini ska inte användas för företags- eller persondata, även om kontot betalas via organisation. Det är samma försiktighet som för ChatGPT Free och Plus.
Sammanfattat: vill ni köra Google Gemini i ert företag, välj Workspace Enterprise eller Vertex AI, inte Gemini-appen.
Anthropic Claude
Anthropic lanserade Claude i Europa under 2024 och har sedan dess byggt ut företagserbjudandet med Claude Team och Claude Enterprise. Anthropic följer principen att företagsdata inte används för modellträning, och Enterprise-planen erbjuder konfigurerbar retention, SSO och granulär åtkomstkontroll.
Den svaga punkten är data residency. Anthropic har inte publicerat ett tydligt åtagande om att inference för Claude-modeller sker uteslutande inom EU för Enterprise-kunder. För svenska organisationer som vill köra Claude med dokumenterad EU-residency är vägen i dag ofta via AWS Bedrock i Frankfurt eller Dublin, där avtalet tecknas med AWS som har etablerade EU-regioner och DPA-mekanik, medan Claude-modellerna körs i bakgrunden via Anthropics integration.
Det är samma logik som många använder för andra AI-tjänster i AWS-stacken: kontrakt och region styr legal hemvist, även om underliggande teknik kommer från en partner.
EU-alternativ och svensk infrastruktur
Mistral och Aleph Alpha har länge nämnts som de tydligaste europeiska alternativen, men kartan ritades om under våren 2026. Mistral, baserat i Paris, gick under 2025 från ett ursprungligt EU-only-erbjudande till en blandad modell där delar av La Plateforme processas i USA via Google Cloud. Det är fortfarande ett rimligt val för organisationer med EU-fokus, men ingen ren EU-jurisdiktion längre. Aleph Alpha, baserat i Heidelberg, var under många år det starkaste rent europeiska alternativet. Den 24 april 2026 annonserade kanadensiska Cohere förvärv av Aleph Alpha för cirka 20 miljarder dollar, med Schwarz-gruppen som ny investerare i Cohere. Affären är ännu inte stängd, men effekten för svenska kunder beror på hur den kombinerade enheten organiserar sin EU-infrastruktur framåt. Cohere är kanadensiskt, vilket ändrar bilden av Aleph Alpha som suveränt EU-alternativ.
I Sverige finns dessutom Berget AI, Stockholmsbaserade sedan 2024 med uttalat fokus på sovereign AI-infrastruktur. Berget kör öppna språkmodeller på fossilfri infrastruktur i Sverige, med data som aldrig lämnar svenska gränser. Riksbanken är flagskepps-kund och företaget har växt snabbt under 2026. För svenska organisationer som vill ha både svensk jurisdiktion och svensk teknik är Berget i dag det tydligaste alternativet, även om modellutbudet är smalare än hos de stora amerikanska leverantörerna.
För de flesta svenska organisationer är detta i dag komplement, inte ersättning. Modellkapaciteten ligger generellt fortfarande efter de fyra stora amerikanska, men gapet minskar. För publika sektorn och försvarsnära användning kan en EU- eller svensk leverantör vara den enda gångbara vägen.
Översikt av leverantörerna
Tabellen nedan sorterar leverantörerna mot de viktigaste kriterierna. Använd den som första filter och fördjupa er sedan i den eller de leverantörer som passar er situation bäst.
Samtliga fyra amerikanska storleverantörer har signerat den Code of Practice för GPAI som EU-kommissionen publicerade den 10 juli 2025. Det förenklar leverantörsbedömningen, eftersom åtagandena är dokumenterade och granskningsbara, men det ersätter inte er egen riskbedömning.
När Microsoft räcker hela vägen
Det här är den vanligaste utgångspunkten i svenska företag. Microsoft 365 är redan implementerat, IT-avdelningen kan miljön, och Copilot kan aktiveras med några klick. Är det då bara att köra?
För enkla användningsfall, sammanfattning av Teams-möten, omformulering av utkast i Word, datatolkning i Excel, är svaret oftast ja. Microsoft 365 Copilot ligger inom EU Data Boundary för svenska tenants, tränar inte på er data och har en uppsättning compliance-certifieringar (GDPR, ISO 27001, ISO 42001, HIPAA) som är svår att matcha. För många organisationer är det den friktionsfria vägen från skugg-AI till en första kontrollerad användning.
Men det finns tre punkter att vara medveten om. Den första är leverantörsinlåsning: när Copilot är integrerad i arbetsflödet är det dyrt att byta. Den andra är modellbredden, ni får det Microsoft tillhandahåller (primärt OpenAI-modeller via Azure OpenAI), inte fritt val mellan Claude, Gemini och GPT. Den tredje är Anthropic-nyansen som beskrevs i Microsoft-sektionen ovan: vissa Copilot-funktioner anropar Claude som subprocessor och ligger då utanför EU Data Boundary.
Praktisk rekommendation: aktivera Copilot för bredd och friktionsfri produktivitet, men ha minst ett kompletterande verktyg för uppgifter där modellkapacitet eller fri leverantör är viktigt. Många organisationer kompletterar Microsoft med Claude Enterprise (för djup textbearbetning) eller med en API-baserad lösning för automation.
Offentlig sektor har egna grindar
Offentlig förvaltning lyder under fler regelverk än privata bolag. AI Act och GDPR gäller även här, men ovanpå dessa ligger sektorsspecifika krav som ofta är strängare.
Digg publicerade den 21 januari 2025 sina riktlinjer för generativ AI i offentlig förvaltning, framtagna tillsammans med IMY på regeringsuppdrag. De slår fast att myndigheter får använda generativ AI inom ramen för GDPR och OSL, men kräver bland annat sekretessbedömning, AI-policy och dokumentation av varje användningsområde.
Ett kompletterande initiativ är AI-verkstaden, ett regeringsuppdrag från januari 2026 där Försäkringskassan och Skatteverket bygger en gemensam testmiljö för andra myndigheter och regioner. Piloten startar i juli 2026 och får en budget på cirka 200 miljoner kronor över perioden 2026 till 2030. För myndigheter som vill testa AI-användning på riktigt data men i kontrollerad miljö blir AI-verkstaden en viktig kanal.
OSL och sekretess är en återkommande fråga. SOU 2025:101, Anpassningar till AI-förordningen, föreslår nya OSL-bestämmelser för att skydda information som hanteras av AI-system. Innan dessa träder i kraft gäller principen att information som hanteras i AI-tjänster fortfarande omfattas av befintlig sekretess, vilket gör konsumentkonton och otestade molntjänster olämpliga för sekretessbelagt material.
För skolsektorn har Skolverket sedan 2025 löpande uppdaterat sina råd om chatbotar. Huvudbudskapen är två: AI får inte användas för betygsättning av elevarbeten, och personuppgifter om elever får inte matas in i konsumentvarianter av ChatGPT, Claude eller Gemini. Skolor som vill använda generativ AI behöver gå via leverantör med DPA och elev-säkrade konton.
För vården trädde nya föreskrifter från Socialstyrelsen i kraft den 1 februari 2026, om behandling av personuppgifter och informationssäkerhet i hälso- och sjukvård (motsvarande regler för socialtjänsten träder i kraft 2 maj 2028). Patientdatalagen lägger sedan tidigare striktare krav på dokumentation, åtkomstkontroll och loggning, vilket i praktiken innebär att generativ AI i patientnära processer kräver DPIA och rättslig grund som ofta måste utredas i förväg.
IMY har dessutom signalerat att tillsynen 2026 fokuserar på AI, barn och brottsbekämpning. Den som driftsätter generativ AI mot persondata utan dokumenterad konsekvensbedömning kan räkna med att höra av sig från myndigheten under det kommande året.
AI literacy – kravet alla missar
Av alla AI Act-krav är det som har varit i kraft längst också det som tystast har glidit förbi många organisationer. Artikel 4 trädde i kraft den 2 februari 2025 och kräver att alla leverantörer och användare av AI-system, vilket i praktiken inkluderar varje organisation som använder generativ AI på allvar, säkerställer en tillräcklig nivå av AI-kompetens hos sin personal.
Kravet är medvetet generellt formulerat. Det handlar inte om att alla anställda ska bli prompt-ingenjörer. Det handlar om att de som arbetar med eller fattar beslut baserade på AI-system ska förstå systemens möjligheter, begränsningar och risker. För en redaktör som använder ChatGPT i textarbetet räcker det med grundläggande förståelse för hallucinationer och källkritik. För en handläggare som tar beslut delvis baserat på AI-output behövs mer.
Tillsynen på artikel 4 aktiveras fullt den 2 augusti 2026, samtidigt som AI Acts övriga sanktionsmekanismer. Den organisation som ännu inte påbörjat en grundläggande AI-utbildning för berörd personal har god marginal, men ingen anledning att vänta. Teknikministeriets kurser täcker både grundläggande AI-kompetens och fördjupning för specifika roller.
I praktiken brukar tre komponenter räcka som dokumenterad grund: en kort intern AI-policy, en obligatorisk introduktionsutbildning vid onboarding och tillgång till löpande materialuppdateringar (nyhetsbrev, intranät, kurser).
Mognadstrappa för AI-styrning
För att placera ut er själva och identifiera nästa logiska steg, jämför mot trappan nedan. De flesta organisationer rör sig genom dessa nivåer i ordning, men inget hindrar att en mindre organisation hoppar förbi steg två och tre om besluten är tydliga från start.
| Nivå | Kännetecken | Nästa steg |
|---|---|---|
| 1. Skugg-AI | Privata konton används på jobbet, ingen policy, ingen kartläggning | Inventera, skriv en enkel policy, blocka privata konton för känslig data |
| 2. Erkänt | Företagsavtal finns (Copilot, ChatGPT Enterprise), men ingen formell policy eller utbildning | Dokumentera DPA, starta AI-literacy-utbildning, definiera tillåtna användningar |
| 3. Reglerat | AI-policy på plats, AI-literacy-utbildning för berörda, DPA-avtal med leverantörer | Inventera alla AI-system, klassificera mot AI Acts risknivåer |
| 4. Riskklassat | Komplett AI-inventering, klassning mot Annex III, DPIA där det krävs | Etablera löpande governance, logga incidenter, koppla till befintlig riskhantering |
| 5. Styrt | Löpande inventering, dokumentation, AI-governance-forum, incidentprocess | Sikta på högrisk-compliance i god tid före 2 december 2027 |
De flesta svenska företag och myndigheter befinner sig i dag på nivå ett eller två. Att nå nivå tre under 2026 är en realistisk ambition. Nivå fyra och fem blir relevanta för organisationer med AI i högrisk-användning, exempelvis rekrytering, kreditbedömning eller bedömning av offentliga förmåner.
Sju steg för att komma igång
Sju konkreta steg som tar er från osäkerhet till en första riskklassad bas. Stegen är skrivna i ordning, men de tre första är de viktigaste att starta med direkt.
1. Inventera era AI-verktyg. Kartlägg vilka generativa AI-tjänster som faktiskt används i organisationen i dag. Inkludera privata konton, fria versioner och AI-funktioner i befintliga verktyg (Microsoft 365, Google Workspace, Notion, Adobe). Det här är ofta första gången skugg-AI blir synlig.
2. Klassificera mot persondata och Annex III. För varje verktyg: hanteras persondata? Faller användningen inom någon av AI Acts högrisk-områden (rekrytering, kreditbedömning, betygsättning, prioritering av offentliga förmåner)? De flesta organisationer hittar ett fåtal verktyg som kräver djupare bedömning.
3. Säkra DPA för känsliga arbetsflöden. För verktyg som ska användas på persondata, kontrollera att personuppgiftsbiträdesavtal finns. Microsoft 365 Copilot, ChatGPT Enterprise, Claude Enterprise och Google Workspace Enterprise har samtliga färdiga DPA-mallar. Om ni inte hittar det, hör av er till leverantören innan ni driftsätter.
4. Skriv en enkel AI-policy. En sida räcker i första utkast. Inkludera tillåtna verktyg, förbjudna användningar (persondata i konsumentkonton), grundregler för dokumentation av AI-genererat innehåll och kontakt vid frågor. Bättre med en kort policy som faktiskt läses än ett omfattande dokument som ingen öppnar.
5. Starta AI-literacy-utbildning. Kravet i artikel 4 gäller redan. Börja med en kort introduktion för all personal och en fördjupning för de roller som arbetar närmast AI-systemen (HR, ekonomi, juridik, IT, ledning). Dokumentera närvaron, så att ni kan visa att utbildning faktiskt skett.
6. Genomför DPIA där det krävs. Stor-skala behandling, profilering och känslig data utlöser kravet på konsekvensbedömning. IMY har vägledning för generativ AI specifikt. Använd er befintliga GDPR-process som mall.
7. Bevaka utvecklingen. Den 2 augusti 2026 aktiveras sanktionsmekanismerna. Den 2 december 2027 träder högrisk-reglerna i kraft enligt Digital Omnibus, förutsatt att överenskommelsen formellt antas. Tillsynen i Sverige byggs upp under 2026 med Post- och telestyrelsen som föreslagen samordnande myndighet.
Ordlista
Begrepp som återkommer i diskussionen om AI och regelverk, samlade på ett ställe.
| Begrepp | Förklaring |
|---|---|
| AI Act | EU:s AI-förordning (Regulation 2024/1689). Reglerar AI-system efter risknivå. |
| Annex III | Bilaga till AI Act som listar högrisk-områden, exempelvis rekrytering, kreditbedömning och bedömning i utbildning. |
| Data residency | Var data lagras geografiskt. EU-residency innebär att data lagras inom EU/EES. |
| Användare (deployer) | Den organisation som tar i bruk ett AI-system under eget ansvar. AI Act skiljer mellan leverantör (provider) och användare (deployer). Engelska termen "deployer" är vanlig i juridiska texter. |
| DPA | Data Processing Addendum, personuppgiftsbiträdesavtal enligt GDPR artikel 28. Reglerar leverantörens hantering av kunddata. |
| DPIA | Data Protection Impact Assessment, konsekvensbedömning enligt GDPR artikel 35. Krävs vid känslig eller storskalig persondatabehandling. |
| EDPB | European Data Protection Board. EU-organ som samordnar dataskyddstillsyn och publicerar vägledning, exempelvis opinion 28/2024 om AI och persondata. |
| EES | Europeiska ekonomiska samarbetsområdet. EU plus Norge, Island och Liechtenstein. |
| EFTA | European Free Trade Association. Norge, Island, Liechtenstein och Schweiz. Microsofts EU Data Boundary inkluderar EFTA-länderna. |
| EU Data Boundary | Microsofts geografiskt definierade gräns inom vilken kunddata lagras och processas för Azure, M365, Dynamics och Power Platform. |
| GDPR | General Data Protection Regulation. EU:s dataskyddsförordning, gäller sedan 25 maj 2018. |
| GPAI | General-Purpose AI. AI-modeller som kan användas brett, exempelvis GPT, Claude och Gemini. AI Act har specifika krav på GPAI-leverantörer. |
| Inference | Själva körningen av en AI-modell på en prompt, alltså svaret som modellen producerar. "In-region inference" innebär att processningen sker i en viss geografisk region. |
| OSL | Offentlighets- och sekretesslagen. Reglerar sekretess för svenska myndigheter och påverkar vad som får hanteras i AI-tjänster. |
| Subprocessor | Underbiträde, det vill säga en tredjepart som huvudleverantören anlitar för att behandla kunddata. Måste anges i DPA. |
| Tenant | Det egna kontot eller utrymmet i en molntjänst, exempelvis en Microsoft 365-tenant för ett företag eller en myndighet. |
Källor
Det är en levande artikel som uppdateras löpande när regelverk eller leverantörsvillkor förändras. Uppdaterad-datumet i artikelns början visar senaste verifieringen.
- EU AI Act, Regulation (EU) 2024/1689 (EUR-Lex)
- Digital Omnibus, politisk överenskommelse 7 maj 2026 (EU-rådet)
- EDPB Opinion 28/2024 om AI-modeller och persondata
- GPAI Code of Practice (10 juli 2025)
- Digg riktlinjer för generativ AI (21 januari 2025)
- IMY vägledning om GDPR och AI
- IMY:s prioriteringar 2026
- SOU 2025:101 Anpassningar till AI-förordningen
- Skolverkets råd om AI-chatbotar
- Socialstyrelsen, personuppgiftsbehandling inom hälso- och sjukvården och socialtjänsten (i kraft 1 februari 2026 för hälso- och sjukvård)
- AI-verkstaden, regeringsuppdrag januari 2026
- Microsoft EU Data Boundary
- Microsoft 365 Copilot Privacy och Anthropic-subprocessor
- OpenAI Data Residency in Europe
- OpenAI inference residency (januari 2026)
- Google Cloud Sverige-region (6 mars 2025)
- Anthropic Claude in Europe
Vi följer utvecklingen åt er
Regelverket förändras snabbt. Vårt nyhetsbrev sammanfattar varje vecka det viktigaste inom AI, regelverk och praktisk tillämpning, kuraterat för svenska företag och organisationer. Prenumerera kostnadsfritt.
Den 2 augusti 2026 är inte ett datum då allt händer. Det är datumet då EU:s tillsynsmyndigheter får verktygen att börja se efter att det som redan gäller faktiskt följs. Den organisation som i dag har en inventering, en policy och en grundläggande utbildning på plats har inte gjort allt, men den har gjort det viktigaste: tagit sig från osäkerhet till en plan.