[{"data":1,"prerenderedAt":632},["ShallowReactive",2],{"news-doc-sv-/nyheter/2026-05-04-leverantor-deployer-roller-ai-forordningen":3},{"id":4,"title":5,"author":6,"body":7,"category":609,"date":610,"datePosted":611,"department":611,"description":612,"employmentType":611,"extension":613,"image":614,"linkedinUrl":611,"location":611,"meta":615,"navigation":616,"path":617,"readTime":618,"seo":619,"stem":620,"tags":621,"translationId":630,"validThrough":611,"__hash__":631},"content/nyheter/2026-05-04-leverantor-deployer-roller-ai-forordningen.md","Leverantör, deployer eller distributör: Vilken roll har ni enligt AI-förordningen?","Gabriel Lagerström de Jong",{"type":8,"value":9,"toc":580},"minimark",[10,14,17,26,31,34,39,42,45,79,82,86,89,92,112,116,119,123,126,130,133,139,147,152,160,165,173,178,186,191,199,202,206,209,230,233,239,242,253,256,260,439,442,445,449,452,456,459,462,466,469,472,476,479,482,486,492,498,512,515,521,525,528,534,538,542,545,549,552,556,559,563,566,570,573,577],[11,12,13],"p",{},"I varje AI Act-projekt jag drivit under det senaste året kommer samma fråga upp under första veckan. Är vi leverantör eller användare här? Det låter som en formalitet. Det är det inte. Rollen ni har enligt AI-förordningen avgör vilka skyldigheter ni faktiskt bär, hur er compliance-stack måste se ut, och vilken tillsynsmyndighet ni hamnar under. Två företag som använder samma AI-modell kan ha helt olika regulatorisk börda beroende på hur de paketerat och släppt den.",[11,15,16],{},"Den vanligaste fellen är att tro att man bara är \"användare\" när man köpt en AI-tjänst från en extern leverantör. Det stämmer ofta. Men inte alltid. Och när det inte stämmer, är konsekvenserna stora. Vi har redan sett svenska scaleups som finetunat en GPAI-modell, byggt en egen produkt ovanpå, och utan att veta om det glidit över i leverantörsrollen med fullt riskhanterings och dokumentationsansvar.",[11,18,19,20,25],{},"Den här artikeln går igenom de fyra rollerna i AI-förordningen, ger ett konkret beslutsträd för att hitta er egen, förklarar artikel 25-fällan som många missar, och presenterar en jämförelsetabell över skyldigheter per roll. För övergripande tidslinje och struktur hänvisar jag till ",[21,22,24],"a",{"href":23},"/nyheter/2026-03-01-eu-ai-act-tidslinje-2026-2027","vår sammanställning av AI-förordningen",".",[27,28,30],"h2",{"id":29},"de-fyra-rollerna-i-ai-förordningen","De fyra rollerna i AI-förordningen",[11,32,33],{},"AI-förordningen definierar fyra centrala roller. Varje aktör i AI-värdekedjan har en eller flera av dessa, och rollen kan ändras över tid.",[35,36,38],"h3",{"id":37},"leverantör-provider","Leverantör (provider)",[11,40,41],{},"En leverantör utvecklar ett AI-system eller en GPAI-modell och släpper det på EU-marknaden under eget namn eller varumärke. Det spelar ingen roll om det säljs, ges bort gratis, eller integreras i en egen tjänst. Det avgörande är att aktören är den första som gör systemet tillgängligt på unionens marknad under sin egen identitet.",[11,43,44],{},"Leverantören bär den största delen av regelverkets skyldigheter:",[46,47,48,52,55,58,61,64,67,70,73,76],"ul",{},[49,50,51],"li",{},"Riskhanteringssystem (artikel 9).",[49,53,54],{},"Datastyrning och datakvalitet (artikel 10).",[49,56,57],{},"Teknisk dokumentation (artikel 11).",[49,59,60],{},"Loggning (artikel 12).",[49,62,63],{},"Transparens till deployer (artikel 13).",[49,65,66],{},"Mänsklig övervakning som kan utövas (artikel 14).",[49,68,69],{},"Robusthet och cybersäkerhet (artikel 15).",[49,71,72],{},"Konformitetsbedömning och CE-märkning.",[49,74,75],{},"Registrering i EU-databasen för högrisk-AI.",[49,77,78],{},"Upprätthållande av kvalitetsledningssystem.",[11,80,81],{},"Det är, kort sagt, en betydande regulatorisk börda. För svenska SaaS-bolag som bygger vertikal AI är leverantörsrollen normalfallet.",[35,83,85],{"id":84},"deployer","Deployer",[11,87,88],{},"Deployer är förordningens term för den som använder ett AI-system i sin yrkesmässiga verksamhet. En deployer kan vara ett företag, en kommun, en myndighet eller en enskild näringsidkare. Privatpersoner som använder AI för icke yrkesmässiga ändamål faller utanför.",[11,90,91],{},"Deployerns skyldigheter är mer begränsade men inte triviala:",[46,93,94,97,100,103,106,109],{},[49,95,96],{},"Använd systemet enligt leverantörens bruksanvisning.",[49,98,99],{},"Säkerställ mänsklig övervakning.",[49,101,102],{},"Övervaka driften och rapportera incidenter.",[49,104,105],{},"Logga viktiga händelser.",[49,107,108],{},"Informera berörda personer när AI används för beslut som påverkar dem.",[49,110,111],{},"För offentlig sektor och vissa privata aktörer: genomför grundläggande rättighetskonsekvensanalys (FRIA) enligt artikel 27.",[35,113,115],{"id":114},"importör","Importör",[11,117,118],{},"En importör är en aktör etablerad i EU som släpper ett AI-system från en utomeuropeisk leverantör på unionsmarknaden. Importören ska säkerställa att leverantören följt sina skyldigheter, att CE-märkning finns, och att korrekt teknisk dokumentation åtföljer systemet.",[35,120,122],{"id":121},"distributör","Distributör",[11,124,125],{},"En distributör är en del av leveranskedjan som tillhandahåller ett AI-system på marknaden, men som varken är leverantör eller importör. Typiskt en återförsäljare, plattform eller integratör. Skyldigheterna är begränsade till att verifiera CE-märkning och dokumentation samt att inte sätta produkten på marknaden om man har anledning att tro att den inte uppfyller kraven.",[27,127,129],{"id":128},"beslutsträd-vilken-roll-har-ni","Beslutsträd: vilken roll har ni?",[11,131,132],{},"Sätt er ner med ett konkret AI-system eller en GPAI-modell ni använder. Svara på frågorna i ordning:",[11,134,135],{},[136,137,138],"strong",{},"Fråga 1. Har ni utvecklat AI-systemet eller modellen själva?",[46,140,141,144],{},[49,142,143],{},"Ja: gå till fråga 2.",[49,145,146],{},"Nej: gå till fråga 4.",[11,148,149],{},[136,150,151],{},"Fråga 2. Släpper ni det på EU-marknaden under eget namn eller varumärke (sälj, gratis tillhandahållande eller egen tjänst)?",[46,153,154,157],{},[49,155,156],{},"Ja: ni är leverantör. Stopp.",[49,158,159],{},"Nej, vi använder det bara internt: gå till fråga 3.",[11,161,162],{},[136,163,164],{},"Fråga 3. Är ni del av en koncern där en annan enhet sätter systemet på marknaden?",[46,166,167,170],{},[49,168,169],{},"Ja: koncernens marknadsenhet är leverantör, ni kan vara deployer av samma system. Stopp.",[49,171,172],{},"Nej, det är rent internt och delas aldrig externt: ni är deployer (med vissa undantag för leverantörsskyldigheter som kan utlösas vid större ändringar). Stopp.",[11,174,175],{},[136,176,177],{},"Fråga 4. Har ni köpt AI-systemet från en aktör utanför EU och släpper det i Sverige eller annat EU-land?",[46,179,180,183],{},[49,181,182],{},"Ja: ni är importör. Gå även till fråga 5.",[49,184,185],{},"Nej, vi köpte från en EU-leverantör: gå till fråga 5.",[11,187,188],{},[136,189,190],{},"Fråga 5. Har ni gjort väsentliga modifieringar, släppt under eget varumärke, eller använt det för annat ändamål än avsett?",[46,192,193,196],{},[49,194,195],{},"Ja: ni har glidit över i leverantörsrollen genom artikel 25. Stopp.",[49,197,198],{},"Nej, vi använder det enligt leverantörens specifikation: ni är deployer. Stopp.",[11,200,201],{},"Detta beslutsträd täcker majoriteten av fallen. För komplexa värdekedjor, GPAI-finetuning och produktintegration krävs djupare analys, ofta med juridisk hjälp.",[27,203,205],{"id":204},"artikel-25-när-deployer-blir-leverantör","Artikel 25: När deployer blir leverantör",[11,207,208],{},"Artikel 25 är en av de mest underskattade delarna i AI-förordningen. Den säger att en deployer i tre situationer själv blir leverantör med tillhörande skyldigheter:",[210,211,212,218,224],"ol",{},[49,213,214,217],{},[136,215,216],{},"Väsentlig modifiering."," Om ni gör substantiella ändringar i ett högrisksystem efter att det släppts på marknaden. Vad som är \"väsentligt\" är ännu under praxisutveckling, men ändringar som påverkar systemets avsedda ändamål, riskprofil eller prestanda räknas typiskt.",[49,219,220,223],{},[136,221,222],{},"Eget varumärke."," Om ni släpper systemet under eget namn eller varumärke, oavsett om ni utvecklat det själva.",[49,225,226,229],{},[136,227,228],{},"Annat ändamål än avsett."," Om ni använder ett högrisksystem för ett ändamål utanför vad leverantören specificerat. Att ta ett system designat för rekrytering och använda det för prestationsutvärdering är ett klassiskt exempel.",[11,231,232],{},"Den vanligaste fällan i Sverige just nu rör finetuning av GPAI-modeller. Ett scenario vi ser ofta:",[234,235,236],"blockquote",{},[11,237,238],{},"Ett svenskt scaleup-bolag tar en GPAI-modell, finetunar den på sin egen domändata, paketerar den som en SaaS-produkt för svenska kommuner, och säljer den under eget varumärke.",[11,240,241],{},"I det scenariot:",[46,243,244,247,250],{},[49,245,246],{},"Originalmodellen levereras av exempelvis OpenAI eller Anthropic. De är GPAI-leverantörer.",[49,248,249],{},"Det svenska bolaget blir, genom väsentlig modifiering plus eget varumärke plus eget ändamål, en AI-systemleverantör. Om användningen faller inom Annex III (vilket beslutsstöd för biståndsbeslut typiskt gör) är det ett högrisksystem och scaleupen bär hela leverantörsbördan.",[49,251,252],{},"Kommunen som använder produkten blir deployer.",[11,254,255],{},"Tre roller i ett enda värdeflöde. Den som inte kartlagt detta i förväg riskerar att stå med okvalificerade roller när tillsynen kommer. Vår erfarenhet är att svenska scaleups är de mest exponerade här, eftersom de ofta växer snabbt utan att hinna formalisera sin compliance-stack.",[27,257,259],{"id":258},"skyldigheter-per-roll-en-jämförelsetabell","Skyldigheter per roll: en jämförelsetabell",[261,262,263,282],"table",{},[264,265,266],"thead",{},[267,268,269,273,276,278,280],"tr",{},[270,271,272],"th",{},"Skyldighet",[270,274,275],{},"Leverantör",[270,277,85],{},[270,279,115],{},[270,281,122],{},[283,284,285,301,317,330,344,358,372,387,400,413,426],"tbody",{},[267,286,287,291,294,297,299],{},[288,289,290],"td",{},"Riskhanteringssystem",[288,292,293],{},"Ja",[288,295,296],{},"Nej",[288,298,296],{},[288,300,296],{},[267,302,303,306,309,312,315],{},[288,304,305],{},"Teknisk dokumentation",[288,307,308],{},"Skapa",[288,310,311],{},"Tillgång",[288,313,314],{},"Verifiera",[288,316,314],{},[267,318,319,322,324,326,328],{},[288,320,321],{},"Konformitetsbedömning",[288,323,293],{},[288,325,296],{},[288,327,314],{},[288,329,314],{},[267,331,332,335,338,340,342],{},[288,333,334],{},"CE-märkning",[288,336,337],{},"Sätta",[288,339,296],{},[288,341,314],{},[288,343,314],{},[267,345,346,349,351,354,356],{},[288,347,348],{},"Registrering i EU-databasen",[288,350,293],{},[288,352,353],{},"Vissa fall",[288,355,296],{},[288,357,296],{},[267,359,360,363,365,368,370],{},[288,361,362],{},"Loggning",[288,364,293],{},[288,366,367],{},"Ja (drift)",[288,369,296],{},[288,371,296],{},[267,373,374,377,380,383,385],{},[288,375,376],{},"Mänsklig övervakning",[288,378,379],{},"Designa",[288,381,382],{},"Säkerställa",[288,384,296],{},[288,386,296],{},[267,388,389,392,394,396,398],{},[288,390,391],{},"Information till berörda personer",[288,393,296],{},[288,395,293],{},[288,397,296],{},[288,399,296],{},[267,401,402,405,407,409,411],{},[288,403,404],{},"Incidentrapportering",[288,406,293],{},[288,408,293],{},[288,410,296],{},[288,412,296],{},[267,414,415,418,420,422,424],{},[288,416,417],{},"FRIA (rättighetskonsekvensanalys)",[288,419,296],{},[288,421,353],{},[288,423,296],{},[288,425,296],{},[267,427,428,431,433,435,437],{},[288,429,430],{},"Kvalitetsledningssystem",[288,432,293],{},[288,434,296],{},[288,436,296],{},[288,438,296],{},[11,440,441],{},"Tabellen är förenklad och täcker högrisk-AI under Annex III. För GPAI-modeller och förbjudna praktiker gäller andra regler, och för AI-system inbäddade i reglerade produkter (medicinteknik, fordon, maskiner) tillkommer krav från sektorslagstiftning.",[11,443,444],{},"Det är denna asymmetri som gör rollvalet så viktigt. Att glida från deployer till leverantör genom en oavsiktlig förändring kan femdubbla compliance-arbetet på en månad.",[27,446,448],{"id":447},"tre-vanliga-svenska-situationer","Tre vanliga svenska situationer",[11,450,451],{},"För att göra rollerna konkreta, tre realistiska scenarier från det senaste halvåret:",[35,453,455],{"id":454},"situation-1-kommun-som-använder-ett-kommersiellt-rekryteringsverktyg","Situation 1: Kommun som använder ett kommersiellt rekryteringsverktyg",[11,457,458],{},"En storstadskommun använder ett AI-baserat rekryteringsverktyg från en europeisk leverantör. Verktyget används enligt leverantörens specifikation, ingen finetuning, inget eget varumärke.",[11,460,461],{},"Roll: deployer. Skyldigheter: säkerställ mänsklig övervakning, informera kandidater, logga händelser, genomför FRIA (eftersom det är offentlig sektor plus Annex III).",[35,463,465],{"id":464},"situation-2-scaleup-som-bygger-ai-tjänst-på-openai","Situation 2: Scaleup som bygger AI-tjänst på OpenAI",[11,467,468],{},"Ett Stockholmsbaserat scaleup-bolag bygger ett RAG-system ovanpå OpenAI:s API för svensk juridisk research. Egen prompt-arkitektur, egen hämtningslogik, egen domändata, säljs under eget namn.",[11,470,471],{},"Roll: leverantör av AI-system. OpenAI är fortfarande GPAI-leverantör, men scaleupen blir leverantör av det specifika juridiska AI-systemet. Hela leverantörsbördan gäller om systemet faller inom Annex III, vilket professionellt juridiskt beslutsstöd kan göra beroende på tillämpning.",[35,473,475],{"id":474},"situation-3-industribolag-som-integrerar-ai-i-en-ce-märkt-maskin","Situation 3: Industribolag som integrerar AI i en CE-märkt maskin",[11,477,478],{},"Ett svenskt industribolag bygger AI-baserad kvalitetskontroll in i sin maskinprodukt. Maskinen säljs CE-märkt enligt Maskinförordningen, AI är inbäddad och påverkar säkerhetsfunktion.",[11,480,481],{},"Roll: leverantör av högrisk-AI inbäddad i reglerad produkt. Krav från både AI Act och Maskinförordningen gäller parallellt. Detta är området där Digital Omnibus försökt skapa enklare samordning, men trilogen står ännu öppen.",[27,483,485],{"id":484},"tre-rekommendationer-för-svenska-organisationer","Tre rekommendationer för svenska organisationer",[11,487,488,491],{},[136,489,490],{},"1. Gör rollkartläggning för varje AI-system separat."," Ni kan ha olika roller för olika system. En och samma organisation är ofta deployer av Microsoft 365 Copilot, leverantör av en egenbyggd kundsupport-AI, och importör av ett amerikanskt analysverktyg. Varje system kräver sin egen analys.",[11,493,494,497],{},[136,495,496],{},"2. Bevaka glidningen från deployer till leverantör."," Sätt upp en intern process som triggar en rollöversyn varje gång ni:",[46,499,500,503,506,509],{},[49,501,502],{},"Finetunar en GPAI-modell på er egen data.",[49,504,505],{},"Paketerar AI som en del av ert eget varumärke.",[49,507,508],{},"Använder ett system för annat ändamål än leverantören specificerat.",[49,510,511],{},"Gör substantiella tekniska ändringar i ett befintligt system.",[11,513,514],{},"Glidningen sker oftast ofrivilligt och upptäcks först när tillsynen knackar på.",[11,516,517,520],{},[136,518,519],{},"3. Dokumentera roller i en levande inventarielista."," Bygg en intern lista över alla AI-system, vilken roll ni har, vilken artikel som styr, och när rollen senast verifierades. Detta är samma logik som GDPR-registret enligt artikel 30. Den som har en sådan lista är minst sex månader före den som inte har det när tillsynsärende kommer.",[27,522,524],{"id":523},"walmas-perspektiv","Walmas perspektiv",[11,526,527],{},"På Walma har vi byggt vår plattform Noda så att rollfrågan är genomtänkt från första integrationen. Våra kunder är typiskt deployers när de använder Noda som plattform, men kan glida över i leverantörsrollen om de bygger egna agenter ovanpå. Vi gör den distinktionen tydlig i avtal, tekniska gränssnitt och dokumentation. Det är så vi tänker att svensk AI-leverans bör se ut framöver. Rollerna ska vara tydliga från dag ett, inte upptäckas vid första tillsynsbrevet.",[11,529,530,25],{},[21,531,533],{"href":532},"/nyheter/2026-05-01-ai-forordningen-sverige-imy-sandbox","Vi går igenom hur den svenska tillsynsstrukturen påverkar rollerna i en separat artikel",[27,535,537],{"id":536},"faq","FAQ",[35,539,541],{"id":540},"kan-vi-vara-både-leverantör-och-deployer-samtidigt","Kan vi vara både leverantör och deployer samtidigt?",[11,543,544],{},"Ja. Det är vanligt. Ni kan vara leverantör av ett egenutvecklat AI-system till externa kunder, samtidigt som ni är deployer av tredjepartssystem internt. Rollen är systemspecifik, inte organisationsspecifik.",[35,546,548],{"id":547},"räknas-vi-som-leverantör-om-vi-bara-finetunar-en-gpai-modell","Räknas vi som leverantör om vi bara finetunar en GPAI-modell?",[11,550,551],{},"Det beror på omfattningen och paketeringen. Lätt finetuning utan eget varumärke och utan väsentlig prestandaförändring gör er sannolikt inte till leverantör. Substantiell domänanpassning kombinerat med eget varumärke gör det däremot ofta. Gränsen är under praxisutveckling.",[35,553,555],{"id":554},"vad-är-skillnaden-mellan-deployer-och-slutanvändare","Vad är skillnaden mellan deployer och slutanvändare?",[11,557,558],{},"Deployer är den juridiska person som använder systemet i sin yrkesmässiga verksamhet. Slutanvändare är den fysiska personen som faktiskt klickar i gränssnittet. Förordningen reglerar deployern, inte slutanvändaren.",[35,560,562],{"id":561},"behöver-svenska-myndigheter-göra-fria","Behöver svenska myndigheter göra FRIA?",[11,564,565],{},"Ja. Offentlig sektor och vissa privata aktörer som använder högrisk-AI under Annex III ska genomföra grundläggande rättighetskonsekvensanalys enligt artikel 27. För svenska kommuner är detta ett centralt nytt arbetsmoment.",[35,567,569],{"id":568},"vad-händer-om-vi-missar-att-kartlägga-vår-roll","Vad händer om vi missar att kartlägga vår roll?",[11,571,572],{},"Tillsynsmyndigheten utgår från objektiva fakta, inte från hur ni själva benämner er. Att ha kallat sig deployer i avtal hjälper inte om ni objektivt sett uppfyller leverantörskriterierna enligt artikel 25. Resultatet blir då att alla leverantörsskyldigheter gäller retroaktivt, ofta med kort tid att åtgärda.",[35,574,576],{"id":575},"hur-kan-walma-hjälpa-oss-reda-ut-våra-roller","Hur kan Walma hjälpa oss reda ut våra roller?",[11,578,579],{},"Vi gör rollanalys som första steg i alla AI Act-projekt. Genom workshops och dokumentationsgenomgång kartlägger vi vilken roll ni har för varje AI-system, identifierar artikel 25-risker, och bygger en levande inventarielista som hänger ihop med er övriga compliance-stack.",{"title":581,"searchDepth":582,"depth":582,"links":583},"",2,[584,591,592,593,594,599,600,601],{"id":29,"depth":582,"text":30,"children":585},[586,588,589,590],{"id":37,"depth":587,"text":38},3,{"id":84,"depth":587,"text":85},{"id":114,"depth":587,"text":115},{"id":121,"depth":587,"text":122},{"id":128,"depth":582,"text":129},{"id":204,"depth":582,"text":205},{"id":258,"depth":582,"text":259},{"id":447,"depth":582,"text":448,"children":595},[596,597,598],{"id":454,"depth":587,"text":455},{"id":464,"depth":587,"text":465},{"id":474,"depth":587,"text":475},{"id":484,"depth":582,"text":485},{"id":523,"depth":582,"text":524},{"id":536,"depth":582,"text":537,"children":602},[603,604,605,606,607,608],{"id":540,"depth":587,"text":541},{"id":547,"depth":587,"text":548},{"id":554,"depth":587,"text":555},{"id":561,"depth":587,"text":562},{"id":568,"depth":587,"text":569},{"id":575,"depth":587,"text":576},"Insight","2026-05-04",null,"AI-förordningen tilldelar fyra olika roller med olika krav. Här är en praktisk guide som hjälper er identifiera er roll, undvika artikel 25-fällan och kartlägga era skyldigheter.","md","/images/news/ai-act-roller.jpeg",{},true,"/nyheter/2026-05-04-leverantor-deployer-roller-ai-forordningen","12 min läsning",{"title":5,"description":612},"nyheter/2026-05-04-leverantor-deployer-roller-ai-forordningen",[622,623,624,625,626,84,627,628,629],"AI","EU AI Act","AI-förordningen","compliance","leverantör","artikel 25","GPAI","Sverige","ai-act-roles-provider-deployer","7iEWQI7hrPUT2xtz7vfebRPMHwqzH7k2-7DqRQz7hoc",1777879044224]