När jag pratar om sanktioner i AI-förordningen med svenska företagsledare märker jag två reaktioner. Antingen fokuserar de helt på siffrorna ("35 miljoner euro, det är ju enormt") och hamnar i en sorts compliance-skräck som inte leder någonstans. Eller så viftar de bort hela ämnet ("det kommer nog inte hända oss") och förbereder sig inte alls.
Båda är fel. Sanktioner är inte huvudpoängen i AI Act. De är strukturen som gör att resten av regelverket faktiskt får genomslag. Men för svenska SaaS-bolag, scaleups och offentlig sektor är det inte böterna som är den största risken. Det är marknadsåterkallelsen, tillsynsprocessen, och kostnaden för att tvingas bygga om en produkt mitt under en avtalsperiod.
Den här artikeln går igenom tre saker. Sanktionsstrukturen i artikel 99 med konkreta exempel på vad varje nivå motsvarar. Hur tillsynsprocessen ser ut i Sverige med IMY som koordinerande myndighet. Och vad som händer i praktiken från första kontakt med tillsynsmyndigheten till eventuella sanktioner.
För övergripande tidslinje och kontext hänvisar jag till vår sammanställning av AI-förordningen. Här fokuserar jag på konsekvenserna av att inte följa regelverket.
Sanktionsstrukturen i artikel 99
Artikel 99 i AI-förordningen lägger upp en trestegsindelad sanktionsmodell. Varje nivå anger ett fast belopp och en procentsats av global årsomsättning, och den högsta av de två gäller.
Nivå 1: Förbjudna AI-praktiker
Upp till 35 miljoner euro eller 7 procent av föregående års globala omsättning. Detta är den högsta nivån och gäller överträdelser av artikel 5: användning av AI för social scoring, känsloigenkänning på arbetsplatsen i strid med undantag, biometrisk realtidsidentifiering i offentliga rum utan tillstånd, manipulation av sårbara grupper, och liknande.
För svenska företag är förbjudna praktiker sällan en aktiv risk. Däremot är det relevant för offentlig sektor som arbetar med övervakning, kriminalvård och migration. Det är också relevant för internationella SaaS-leverantörer vars produkter har funktioner som är tillåtna i hemmarknaden men förbjudna i EU.
Nivå 2: Övriga överträdelser
Upp till 15 miljoner euro eller 3 procent av global omsättning. Detta är den nivå som flest företag riskerar att hamna under. Det täcker:
- Brott mot leverantörsskyldigheter för högrisk-AI (riskhantering, dokumentation, konformitetsbedömning).
- Brott mot deployerskyldigheter (övervakning, loggning, information till berörda personer).
- Brott mot transparenskrav i artikel 50.
- Brott mot GPAI-skyldigheter.
- Brott mot förbudet att marknadsföra ett system utan CE-märkning.
För ett bolag med 500 miljoner kronor i omsättning innebär det maximalt cirka 15 miljoner kronor (med tre procents nivå applicerad på SEK). För en koncern med tio miljarder i global omsättning innebär det 300 miljoner. Asymmetrin är inbyggd i förordningen.
Nivå 3: Felaktig information till tillsynsmyndighet
Upp till 7,5 miljoner euro eller 1 procent. Gäller när ni lämnar felaktig, ofullständig eller missvisande information till tillsynsmyndigheter eller anmälda organ. Det är en sanktion som ofta utlöses sekundärt. Bolaget hade kanske kunnat klara sig med en lägre nivå, men under tillsynsprocessen lämnar man inkonsekvent dokumentation och fastnar där.
Proportionalitet och SME-undantag
För små och medelstora företag samt startups gäller det lägre av de två beloppen. Det är en proportionalitetsregel värd att känna till. En svensk scaleup med 50 miljoner i omsättning som bryter mot deployerskyldigheter kan i värsta fall få 50 miljoner gånger tre procent, alltså 1,5 miljoner kronor i böter, inte 15 miljoner i fast belopp.
Sanktioner ska också vara "proportionella, effektiva och avskräckande", och tillsynsmyndigheten ska väga in överträdelsens karaktär, varaktighet, vinst, om det är första gången, och samarbetsvilja. Få bolag landar i taket. Realistisk förväntning för en första överträdelse hos ett SME som samarbetar ligger på fem till tjugofem procent av maximalt belopp.
Tillsynsprocessen i Sverige
I Sverige är Integritetsskyddsmyndigheten (IMY) utpekad som koordinerande nationell tillsynsmyndighet. Det betyder att IMY är förstainstans för de flesta överträdelser av AI Act. Men sektorsmyndigheter som Finansinspektionen, Läkemedelsverket och Transportstyrelsen behåller ansvaret inom sina respektive områden. Detta gick vi igenom mer i detalj i vår artikel om AI-förordningen i Sverige.
Ett tillsynsärende kan initieras på fyra sätt:
- Egeninitierat av tillsynsmyndighet efter omvärldsbevakning, sektorsstudier eller riktade granskningar.
- Klagomål från enskild som upplever sig påverkad av ett AI-system (exempelvis en arbetssökande som anser sig orättvist sorterad).
- Klagomål från konkurrent eller branschorganisation som misstänker olaglig fördel.
- Egenanmälan av allvarlig incident som leverantör eller deployer själv är skyldig att rapportera enligt artikel 73.
Det sista är intressant. AI-förordningen kräver att vissa incidenter rapporteras inom 15 dagar (allvarliga incidenter) eller 72 timmar (incidenter där grundläggande rättigheter kränks). Att försumma rapportering är i sig en överträdelse, och tillsyn initierad genom egen anmälan brukar leda till mildare bedömning än tillsyn initierad utifrån.
Den svenska tillsynsmodellen är historiskt mer dialogbaserad än den kontinentala. IMY har under GDPR-tiden visat att de hellre använder förelägganden om åtgärder än omedelbara böter. Det är troligt att samma kultur följer med till AI Act, åtminstone under de första två åren av tillämpning.
Från första kontakt till sanktion: en praktisk tidslinje
Vad händer egentligen om IMY ringer? Här är den realistiska processen baserat på vad vi sett under GDPR-tiden och vad som signalerats kring AI Act:
Steg 1: Skrivelse om utredning (vecka 1)
IMY skickar en skrivelse med information om att tillsyn inletts, vilka frågor som granskas, och vilka handlingar ni ska lämna in. Tidsfrist är typiskt två till fyra veckor. Det är inte ett föreläggande, det är en utredning.
Steg 2: Inlämning och kommunikation (vecka två till sex)
Ni lämnar in begärda handlingar. IMY ställer följdfrågor, ofta i flera omgångar. Här avgörs mycket. Den som har en levande inventarielista över sina AI-system, dokumenterad riskbedömning, och tydliga rollanalyser kommer leverera snabbt och konsekvent. Den som inte har det visar dyrt synliga luckor.
Steg 3: Preliminär bedömning (månad tre till sex)
IMY skickar en preliminär bedömning där överträdelser, om sådana finns, identifieras. Bolaget får möjlighet att yttra sig och presentera kompletterande information. Detta är "yttranderätten" enligt förvaltningslagen och är den sista riktiga chansen att påverka utfallet.
Steg 4: Beslut (månad sex till tolv)
IMY beslutar antingen om föreläggande (åtgärder ni måste vidta), sanktionsavgift, eller båda. Beslut kan överklagas till förvaltningsrätten, sedan vidare till kammarrätten och i sista hand Högsta förvaltningsdomstolen. I praktiken stannar de flesta ärenden vid förvaltningsrätten.
Steg 5: Verkställighet (månad tolv och framåt)
Sanktionsavgift betalas inom 30 dagar efter att beslutet vunnit laga kraft. Föreläggande verkställs enligt tidsplan i beslutet. Vid uteblivet verkställande kan tillsynsmyndigheten besluta om vite, vilket är en löpande viteskostnad tills åtgärd vidtas.
Hela cykeln från första skrivelse till slutgiltig sanktion ligger typiskt på tolv till tjugofyra månader. Det är lång tid, vilket både är en fördel (tid att bygga upp dokumentation) och en nackdel (osäkerhet under hela perioden påverkar finansiering, kundförhandling och rekrytering).
Marknadsåterkallelse: ofta värre än böter
För SaaS-leverantörer är det inte de 15 miljoner euro som är hotbilden. Det är att tvingas ta bort sin produkt från marknaden tills överensstämmelse uppnåtts.
Marknadsåterkallelse enligt artikel 79 är tillsynsmyndighetens mest kraftfulla verktyg. Den används vid:
- AI-system som utgör risk för hälsa, säkerhet eller grundläggande rättigheter.
- Systematisk underlåtenhet att uppfylla väsentliga krav.
- Allvarliga incidenter som inte åtgärdats inom rimlig tid.
Konsekvensen är att systemet inte får marknadsföras, säljas eller användas i Sverige (och vid samordnad EU-åtgärd även i andra medlemsstater). För en SaaS-leverantör som har sjuttio procent av sin omsättning från ett enskilt högrisksystem är detta existentiellt. För en deployer som har integrerat systemet i affärskritiska processer är det också allvarligt, eftersom återkallelsen påverkar både leverantören och alla nedströms kunder.
Det är därför vi som rådgivare ofta säger till våra kunder: räkna inte med böterna, räkna med produktstoppet. Det är där den verkliga affärsrisken ligger. En sanktionsavgift på fem miljoner är en händelse. Ett produktstopp på sex månader kan vara företagets undergång.
Tre råd för att minimera sanktionsrisken
1. Rapportera incidenter proaktivt. Det 15 dagar långa rapporteringskravet i artikel 73 är inte bara en formalitet. Att rapportera i tid är den enskilt viktigaste faktorn för mildare bedömning. Bolag som rapporterar och samarbetar landar typiskt på fem till femton procent av maximalt belopp. Bolag som upptäcks utifrån utan tidigare rapportering landar på trettio till femtio procent.
2. Bygg dokumentation som klarar femton minuters granskning. Om IMY ringer på en torsdagsmorgon ska era nyckeldokument (inventarielista, riskbedömning, rollanalys, loggningspolicy) kunna delas inom femton minuter, inte tre veckor. Den som har detta i ordning signalerar moget compliance-arbete, vilket påverkar tillsynsbedömningen i grunden. För att förstå vilka roller som bär vilka dokumentationskrav är vår genomgång av leverantör, deployer och distributör en bra utgångspunkt.
3. Träna er ledningsgrupp i tillsynsrespons. När skrivelsen kommer är det stor risk att första instinkten är defensiv. Det är fel reaktion. Tillsynsmyndigheten har redan bestämt sig för att utreda, och defensivitet förvärrar utfallet. Den som kan ta emot frågorna lugnt, lämna in handlingar konsekvent, och föra dialog professionellt kommer ut bättre. Det här är värt att öva på, gärna med extern legal rådgivning.
Walmas perspektiv
På Walma jobbar vi med våra kunder med utgångspunkten att tillsyn kommer att hända någon gång under de närmaste fem åren. Inte för att vi är pessimister, utan för att statistiken visar det. Vår plattform Noda är byggd för att vid femton minuters varsel kunna producera den dokumentation tillsynsmyndigheten kommer fråga efter. Full spårbarhet, loggning av AI-beslut, källhänvisning av outputs, och en levande riskbedömning som följer varje agent. Det är inte en compliance-modul vi har lagt till. Det är hur plattformen är designad från första raden kod.
FAQ
Vilket sanktionsbelopp är realistiskt för en första överträdelse?
För ett samarbetsvilligt SME med tydlig dokumentation och proaktiv rapportering ligger ett realistiskt utfall vid en första överträdelse på fem till femton procent av maximalt belopp. För systematiska, upprepade eller dåligt hanterade fall stiger andelen.
Kan en deployer drabbas av samma sanktioner som en leverantör?
Ja, men typiskt på lägre belopp. Deployerskyldigheterna är färre och mindre tekniskt tunga, men brott mot dem (saknad mänsklig övervakning, utebliven information till berörda personer, ofullständig loggning) kan ändå leda till sanktionsavgift enligt artikel 99.
Vad är skillnaden mellan föreläggande och sanktionsavgift?
Föreläggande är ett beslut om vilka åtgärder bolaget måste vidta för att uppnå överensstämmelse. Sanktionsavgift är en böter. De är fristående och kan utfärdas tillsammans eller var för sig. Föreläggande utan avgift är vanligast vid mindre överträdelser och första gången.
Vad händer om vi inte rapporterar en allvarlig incident i tid?
Underlåten incidentrapportering är en självständig överträdelse enligt artikel 73 och kan ge sanktionsavgift på nivå 2 (upp till 15 miljoner euro eller tre procent). Dessutom påverkar det bedömningen vid framtida tillsyn negativt eftersom det signalerar bristande styrning.
Kan en kommun få sanktioner enligt AI-förordningen?
Ja. Offentlig sektor omfattas av AI-förordningen och kan få både förelägganden och sanktionsavgifter. För kommuner och statliga myndigheter finns dock en proportionalitetsbedömning där tillsynsmyndigheten typiskt prioriterar förelägganden om åtgärder framför ekonomiska sanktioner.
Hur kan Walma hjälpa oss om vi blir föremål för tillsyn?
Vi har erfarenhet av att stötta bolag genom tillsynsprocesser från GDPR-tiden och hjälper med dokumentationsproduktion, formuleringar i yttranden, och dialog med IMY och sektorsmyndigheter. Tidigare kontakt är bättre, men även akut hjälp efter inkommen skrivelse är fullt möjlig.
