Skip to content

Näin rakennat tekoälyrekisterin 90 minuutissa (EU:n tekoälysäädös)

Viisivaiheinen, 90 minuutin malli tekoälyrekisterille, jota eurooppalaiset pk-yritykset tarvitsevat EU:n tekoälysäädöksen 26 artiklan ja ICO:n ohjeistuksen nojalla. Aloitussarakkeet, sudenkuopat ja vastuusäännöt.

Näin rakennat tekoälyrekisterin 90 minuutissa (EU:n tekoälysäädös)
Methodology by Daniela PiskackovaCo-founder & AI Audit Lead

Useimmat eurooppalaiset pk-yritykset pitävät tekoälyrekisteriä raskaana hankkeena, jonka ne tuottavat sitten kun EU:n tekoälysäädöksen valvonta puree. Se on ajatusvirhe. Toimiva ensiversio syntyy yhdeksässäkymmenessä minuutissa, kun rajaat sen käyttöönottajan puoleiseksi luetteloksi etkä vaatimustenmukaisuuden dokumentiksi. Alla on viisivaiheinen malli, jota käymme läpi operatiivisten vastuuhenkilöiden kanssa auditointitoimeksiannoissamme — sama, joka tuo liitteen III mukaisen riskikuvan yhdelle sivulle perjantai-iltapäivään mennessä ja antaa työrauhan tehdä hitaamman työn kunnolla sen jälkeen.

Lyhyt vastaus. Tekoälyrekisteri on käyttöönottajan puoleinen luettelo jokaisesta organisaatiosi tekoälyjärjestelmästä. Sen taustalla ovat EU:n tekoälysäädöksen 26 artiklan käyttöönottajan velvoitteet [1], ja se on linjassa ICO:n UK GDPR -ohjeistuksen kanssa [2]. Toimiva ensiversio syntyy yhdeksässäkymmenessä minuutissa alle 200 hengen pk-yritykselle: 15 minuuttia listaamiseen, 20 riskitason luokitteluun liitettä III vasten, 25 ydinsarakkeiden täyttämiseen ja 30 vastuuhenkilöiden nimeämiseen ja valvonnan pistotarkastukseen.

Mikä tekoälyrekisteri on?

Tekoälyrekisteri on 26 artiklan käyttöönottajan velvoitteille sama kuin seloste käsittelytoimista on UK GDPR:n 30 artiklalle: elävä luettelo, joka nimeää jokaisen järjestelmän, luokittelee sen riskitason ja osoittaa vastuuhenkilön. Se on asiakirja, jota ICO:n tutkija, hankintaosasto tai yritysasiakkaan toimittajaturvallisuustiimi pyytää ensimmäisenä.

EU:n tekoälysäädös ei säädä rekisterin muodosta säädöstekstissä. 26 artiklan 5 kohta edellyttää, että suuririskisten järjestelmien käyttöönottajat varmistavat ihmisen suorittaman valvonnan nimetyn, pätevän henkilön toimesta; 26 artiklan 6 kohta edellyttää suuririskisen käytön lokitusta vähintään kuuden kuukauden ajan [1]. Rekisteri on se toiminnallinen alusta, joka tekee molemmat näkyviksi. ICO on todennut selvästi vuodesta 2023 alkaen, että henkilötietoja UK GDPR:n nojalla käsittelevä tekoäly laukaisee tietosuojaa koskevan vaikutustenarvioinnin ja osoitusvelvollisuuden [2], ja ICO:n tekoälyn auditointityökalu luettelee ne jäsennellyt asiakirjat, joita pk-yritys tarvitsee [3]. Mikään valvoja ei vaadi tiettyä työkalua. Taulukko, joka nimeää oikeat sarakkeet ja osoittaa oikeat vastuuhenkilöt, läpäisee testin.

Miksi yhdeksänkymmentä minuuttia riittää (ja mitä se ei sinulle anna)

Rekisteri ei ole päämäärä. Se on kartta. Yhdeksänkymmentä minuuttia riittää nostamaan esiin, mikä tekoäly on käytössä, luokittelemaan sen riskitason ja osoittamaan vastuun — tämä kolmikko on jokaisen käyttöönottajan osoitettava, ennen kuin valvoja, asiakas tai hallitus kysyy. Mitä yhdeksänkymmentä minuuttia ei sinulle anna: 27 artiklan mukaista perusoikeuksiin kohdistuvien vaikutusten arviointia kullekin liitteen III järjestelmälle, 4 artiklan mukaista rooliin suhteutettua tekoälyosaamisen koulutusta, toimittajien due diligence -pakettia tietojenkäsittelysopimuksineen ja mallikortteineen, eikä valmiiksi kirjoitettua ihmisen suorittaman valvonnan menettelyä [1]. Nämä ovat myöhempiä työvirtoja, jotka rajataan sen mukaan, mitä rekisteri nostaa esiin.

Aikaboksauksen kuri merkitsee enemmän kuin viimeistely. Auditointitoimeksiannoissamme ne pk-yritykset, jotka kohtelevat rekisteriä monen viikon projektina, eivät yleensä tuota sitä lainkaan; ne, jotka rajaavat ensiversion yhdeksäänkymmeneen minuuttiin, tuottavat rekisterin ensimmäisenä päivänä ja kehittävät sitä sen jälkeen. 26 artiklan velvoitteet ovat jatkuvia, eivät kertaluonteisia, joten päivitettävissä oleva ensiversio on selvästi arvokkaampi kuin aloittamatta jäänyt kolmas versio.

Miten 90 minuutin tekoälyrekisterin työnkulku etenee?

Vaihe 1 — Listaa jokainen käytössä oleva tekoälyjärjestelmä (15 minuuttia)

Kolme lähdettä kattaa suurimman osan siitä, mitä löydät. Poimi maksulliset SaaS-tilaukset kirjanpidosta tai kululaskuilta — jokainen toimittaja, jonka tuotenimessä on "AI", "ML", "Copilot", "Assistant" tai "Insight", kuuluu listalle. Poimi upotettu tekoäly olemassa olevista alustoistasi — Microsoft 365 Copilot, Google Workspacen Gemini-toiminnot, Salesforce Einstein, HubSpot Breeze, Outlookin automaattivastaukset ja Teamsin kokousyhteenvedot ovat kaikki mukana, maksoivat ne tai eivät. Poimi varjotekoäly yhden kappaleen koko henkilöstölle lähetetyllä viestillä, jossa kysyt mitä tekoälytyökaluja henkilöstö käyttää päivittäin, mukaan lukien maksuttomat kuluttajatilit.

Käsittele varjotekoäly osana kokonaisuutta. Kun työntekijä liittää CV:n ilmaiseen ChatGPT-tiliin, pk-yritys muuttuu liitteen III suuririskisen järjestelmän käyttöönottajaksi EU:n tekoälysäädöksen työllistämissäännösten nojalla [1], ja tieto poistuu ympäristöstäsi UK GDPR:n alaisuudessa [2]. Rekisterin tehtävä on nostaa se esiin, ei valvoa sitä. Valvonta tulee vaiheessa 4, kun tiedät mitä on olemassa.

Vaihe 2 — Luokittele kunkin järjestelmän riskitaso liitettä III vasten (20 minuuttia)

EU:n tekoälysäädöksen liite III luettelee kahdeksan suuririskistä aluetta [1]: biometrinen tunnistus, kriittinen infrastruktuuri, koulutus ja ammatillinen valmennus, työllistäminen ja työvoiman hallinta, pääsy olennaisiin palveluihin, lainvalvonta, muuttoliike ja rajavalvonta sekä oikeudenhoito. Pk-yrityksille käytännön laukaisijat ovat yleensä työllistäminen (CV-seulonta, suoritusten arviointi, automaattinen vuorosuunnittelu), pääsy palveluihin (luottopäätökset, vakuutushinnoittelu) ja koulutus (koulutusarvioinnit, sertifioinnit).

Merkitse jokainen listasi järjestelmä yhdeksi seuraavista: suuririskinen (vastaa liitettä III), rajoitetun riskin järjestelmä (50 artiklan mukaiset avoimuusvelvoitteet), vähäisen riskin järjestelmä (ei erityisiä velvoitteita 4 artiklan osaamisvaatimusta lukuun ottamatta) tai yleiskäyttöisen tekoälyn käyttöönottaja (käytät yleiskäyttöistä tekoälymallia chatbotin tai assistentin selkärankana) [1]. Useimpien pk-yritysten kokonaisuus jakautuu kahteen tai kolmeen tasoon. Luokittelu on käyttöönottajan vastuulla — sitä ei voi delegoida toimittajalle eikä siihen vaikuta yrityksen koko.

Vaihe 3 — Täytä kymmenen ydinsaraketta (25 minuuttia)

Sarakkeet, jotka ansaitsevat paikkansa käyttöönottajan rekisterissä:

  1. Järjestelmän nimi — mitä henkilöstösi kutsuu sitä päivittäin.
  2. Toimittaja — tuotteen takana oleva oikeushenkilö.
  3. Malli tai versio — jos tiedossa (esim. GPT-4o, Claude 3.5, Gemini 1.5, oma).
  4. Käyttötapaus — yksi lause siitä, mitä järjestelmä päättää tai tuottaa.
  5. Riskitaso — suuri / rajoitettu / vähäinen / yleiskäyttöisen tekoälyn käyttöönottaja.
  6. Käsitelläänkö henkilötietoja — K/E, sekä tietoryhmät UK GDPR:n mukaan.
  7. Oikeusperuste — UK GDPR:n 6 artiklan mukainen peruste (oikeutettu etu, sopimus, suostumus jne.).
  8. Vastuuhenkilö — nimetty yksilö, ei tiimi tai rooli.
  9. 26 artiklan 6 kohdan lokitus — K/E/Ei sovellu suuririskisille käyttöönotoille.
  10. Käyttöönottopäivä — vähintään kuukausi ja vuosi.

Taulukko, jossa on nämä kymmenen saraketta, vastaa ensimmäiseen kysymykseen, jonka jokainen valvoja, asiakas tai hallituksen jäsen esittää. Kaikki tämän ylittävä on toistuvaa työtä, ei ensiversion työtä. Vastusta halua lisätä sarakkeita ennen kuin olet täyttänyt kaikki kymmenen jokaiselle riville.

Vaihe 4 — Nimeä jokaiselle järjestelmälle vastuuhenkilö (15 minuuttia)

26 artiklan 5 kohta edellyttää, että suuririskisten järjestelmien käyttöönottajat varmistavat ihmisen suorittaman valvonnan pätevän, vastuullisen henkilön toimesta, jolla on valtuudet keskeyttää järjestelmä tai ohittaa se [1]. Käännä tämä rekisteriisi nimeämällä todellinen yksilö jokaiselle liitteen III riville — ei roolia kuten "IT-vastaava" tai "operatiivinen johtaja". Vastuuhenkilöllä on oltava kolme ominaisuutta: hän osaa lukea järjestelmän tuotokset, hänellä on valtuudet sammuttaa se, ja hänet tavoittaa rekisteristäsi nimellä.

Nimeä omistaja myös järjestelmille, jotka eivät kuulu liitteeseen III. Muodollinen velvoite on kevyempi, mutta kuri on sama. Operatiiviset vastuuhenkilöt ja ylemmät esihenkilöt ovat luontevia omistajia useimmissa pk-yrityksissä — teknologia- tai datajohtajaa ei tarvita.

Vaihe 5 — Tarkista ihmisen suorittama valvonta yhdessä suuririskisessä järjestelmässä (15 minuuttia)

Käy korkeimman riskin liitteen III rivisi läpi kolmella kysymyksellä: tarkistaako ihminen tekoälyn tuotoksen ennen kuin se vaikuttaa ihmiseen (ihminen päätöksenteossa -testi); voiko tuo ihminen käytännössä ohittaa tekoälyn päätöksen (valtuustesti); onko ihminen saanut rooliinsa sopivan koulutuksen 4 artiklan nojalla (osaamistesti) [1]? Vastaukset menevät vapaatekstiseen "ihmisen suorittaman valvonnan huomiot" -sarakkeeseen kymmenen ydinsarakkeen viereen.

Et saa ihmisen suorittaman valvonnan menettelyä valmiiksi viidessätoista minuutissa. Tavoite on nostaa esiin, missä puute on, ei korjata sitä. Rivi, jossa lukee "ei ihmistarkistusta CV-seulonnalle; puute korjattava 30 päivän kuluessa", on juuri oikea tuotos. Rekisterin tehtävä on tehdä puute näkyväksi; sen korjaaminen on erillinen työvirta ja erillinen budjetti.

90 minuutin tekoälyrekisterin rakentaminen aikaboksattuna kulkuna: järjestelmien listaus 15 minuutissa, riskitason luokittelu liitettä III vasten 20 minuutissa, kymmenen ydinsarakkeen täyttö 25 minuutissa, vastuuhenkilön nimeäminen 15 minuutissa ja valvonnan pistotarkastus 15 minuutissa.
90 minuutin tekoälyrekisterin rakentaminen aikaboksattuna työnkulkuna.

Mitkä viisi sudenkuoppaa kaatavat tekoälyrekisterin ensiversion?

  • Rekisterin kohtelu kertaluonteisena asiakirjana. 26 artiklan velvoitteet ovat jatkuvia; rekisteri on elävä asiakirja, joka käydään läpi vähintään neljännesvuosittain ja päivitetään aina kun uusi tekoälyjärjestelmä otetaan käyttöön tai toimittaja julkaisee merkittävän mallimuutoksen.
  • Varjotekoälyn ohittaminen. Maksuttomat kuluttajatilit ja henkilökohtaiset Copilot-istunnot ovat altein ja vähiten näkyvä luokka. Jos rekisteri ei nosta niitä esiin, se valehtelee.
  • "Vaatimustenmukaisuustyökalun" ostaminen ennen listaamista. Toimittajan vaatimustenmukaisuus-SaaS ei luokittele käyttötapauksiasi — sen osaa vain oma tiimisi. Taulukko ensin, työkalu myöhemmin (tai ei koskaan; alle 200 hengen pk-yritykselle ylläpidetty taulukko riittää).
  • Roolin nimeäminen henkilön sijaan. "IT-tiimiä" ei voi hälyttää. Nimetyn henkilön, jolla on puhelinnumero, voi. 26 artiklan 5 kohta edellyttää jälkimmäistä [1].
  • 4 artiklan osaamisvaatimuksen sivuuttaminen kokonaan. 4 artiklaa on sovellettu 2. helmikuuta 2025 alkaen jokaiseen tekoälyä käyttävään työntekijään, suhteutettuna hänen rooliinsa [1]. Se ei ole riskitaso — jokainen järjestelmä synnyttää 4 artiklan velvoitteen. Merkitse se rekisteriin, vaikka itse koulutus olisikin myöhempää työtä.

Mitä tehdä yhdeksänkymmenen minuutin jälkeen

Rekisteri on kartoituskerros. Siitä lähtee tyypillisesti kolme jatkotyövirtaa:

  1. Perusoikeuksiin kohdistuvien vaikutusten arvioinnin rajaaminen kullekin liitteen III riville EU:n tekoälysäädöksen 27 artiklan nojalla [1] — erillinen, syvempi asiakirja, jonka rekisterin riskitasosarake käynnistää, ei korvaa.
  2. 4 artiklan tekoälyosaamisen koulutus — rooliin suhteutettuna, rajattuna rekisterin vastuuhenkilösarakkeen mukaan eikä henkilömäärän mukaan.
  3. Toimittajien due diligence -paketti — tietojenkäsittelysopimukset, mallikortit, yleiskäyttöisen tekoälyn alkuperä, rajattuna rekisterin toimittajasarakkeen mukaan ja päivitettynä hankinnan uusinnan yhteydessä.

Nämä ovat työvirtoja, jotka sisäänrakennettu lähestymistapa kattaa toimeksiantokokemuksessamme noin kahdessatoista viikossa hintaan 18 000–32 000 puntaa, ja samat työvirrat jälkiasennuksena hoitava lähestymistapa kuudessa puristetussa viikossa hintaan 85 000–145 000 puntaa — kerroin, joka on linjassa MIT Sloanin GDPR:n jälkeisten lukujen kanssa: EU:n yritykset karsivat tallennettua dataa 26 % ja laskentaa 15 % valvontapaineen alla [4]. Rekisteri on halvin mahdollinen ensiliike tätä laskutoimitusta vastaan.

Yhteenveto

AI Register in 90 Minutes — a deployer-side inventory
│
├─ The five-step build
│   ├─ List (15m) — paid, embedded, and shadow AI in scope
│   ├─ Risk-tier (20m) — match each system to Annex III
│   ├─ Ten columns (25m) — the audit-ready floor, no more
│   ├─ Name owners (15m) — a person per system, not a team
│   └─ Spot-check (15m) — surface the oversight gap, don't close it
│
├─ Why timebox v1
│   ├─ A living map — Article 26 duties are continuous
│   └─ v1 you update beats v3 you never start
│
└─ What it doesn't buy
    └─ Downstream — FRIA, Article 4 literacy, vendor due diligence

Aiheeseen liittyvät artikkelit


Päivitetty viimeksi: toukokuu 2026. Versio 1.0.

Frequently Asked Questions

Korvaako tekoälyrekisteri GDPR:n selosteen käsittelytoimista?
Ei, ne ovat toisiaan täydentäviä luetteloita eri oikeusperustoilla. Seloste käsittelytoimista vaaditaan UK GDPR:n 30 artiklan nojalla ja se luetteloi henkilötietojen käsittelyn. Tekoälyrekisteri on sen käyttöönottajan puoleinen vastine EU:n tekoälysäädöksen 26 artiklan ja ICO:n ohjeistuksen nojalla, ja se luetteloi jokaisen tekoälyjärjestelmän riippumatta siitä käsitteleekö se henkilötietoja. Moni järjestelmä on molemmissa, mutta ristiviittaus on molempiin suuntiin yhdestä moneen.
Henkilöstömme käyttää ilmaista ChatGPT:tä ja kuluttaja-Copilotia. Kuuluvatko ne rekisteriin?
Kyllä. 26 artiklan käyttöönottajan velvoitteet koskevat pk-yritystä riippumatta siitä, onko tekoälytilaus yrityksen vai kuluttajan, maksullinen vai ilmainen. Sillä hetkellä kun työntekijä käyttää tekoälytyökalua työssään, pk-yritys on käyttöönottaja ja järjestelmä kuuluu rekisteriin. Ilmaisista kuluttajatileistä puuttuu yleensä myös se tietojenkäsittelysopimus, jonka yritystaso tarjoaa — se lisää UK GDPR -riskiä, ei vähennä sitä.
Pk-yrityksemme sijaitsee EU:n ulkopuolella. Koskeeko EU:n tekoälysäädös rekisteriämme?
EU:n ulkopuolella sijaitseville pk-yrityksille tekoälysäädöksen suora soveltaminen on kapeampaa, mutta harvoin nollaa. Säädös ulottuu rajojen yli, kun järjestelmän tuotosta käytetään EU:ssa — mikä on SaaS-tuotteissa ja B2B-palveluissa arkipäivää. Vaikka EU-kytköstä ei olisi, kansalliset valvojat seuraavat säädöksen käyttöönottajalogiikkaa: ICO on linjannut Britannian tekoälyohjeistuksensa sen mukaiseksi vuodesta 2023, ja vastaavat EU:n ulkopuoliset Euroopan maat seuraavat perässä. 26 artiklaa vasten rakennettu rekisteri täyttää myös nämä kansalliset suuntaviivat.
Kenen pitäisi vastata tekoälyrekisteristä pk-yrityksessä, jolla ei ole teknologiajohtajaa?
Operatiivisen johtajan, vaatimustenmukaisuudesta vastaavan tai toimitusjohtajalle raportoivan senioritason henkilön. Rekisteri on toimituksellista työtä, ei teknistä: rivien ylläpitoa, riskitasojen päivittämistä järjestelmien muuttuessa ja vastuuhenkilöiden muistuttamista joka neljännes. Tyypillinen pk-yrityksen malli on yksi nimetty omistaja, joka ylläpitää rekisteriä noin kolme tuntia neljännesvuodessa, sekä kunkin rivin nimetty vastuuhenkilö omine järjestelmäkohtaisine velvoitteineen.
Kuinka usein rekisteri pitäisi päivittää?
Neljännesvuosittain on pk-yritykselle realistinen minimi, ja sen lisäksi tapahtumalähtöinen päivitys aina kun hankitaan uusi tekoälyjärjestelmä tai julkaistaan merkittävä mallimuutos (esimerkiksi toimittajan siirtyessä mallisukupolvesta seuraavaan). Liitteen III suuririskisillä riveillä lokimerkinnät päivittyvät jatkuvasti 26 artiklan 6 kohdan nojalla. Vuoden vanha staattinen rekisteri ei läpäise osoitettavuustestiä valvojan tai yritysasiakkaan hankintatiimin edessä.
Riittääkö taulukko, vai tarvitaanko erillinen GRC-työkalu?
Alle noin 200 hengen pk-yritykselle taulukko riittää. Auditoinnin painon kantavat sarakkeet, nimetyt omistajat ja neljännesvuosittainen päivityskuri — ei alusta. Excel tai Google Sheets rajatuilla käyttöoikeuksilla ja versiohistorialla täyttää osoitettavuusvaatimuksen. Erilliset GRC-työkalut alkavat olla hyödyllisiä noin 500 hengen tai viidentoista tekoälyjärjestelmän jälkeen — sen alle työkalun ylläpito vie enemmän aikaa kuin säästää.

Sources

  1. 1.Regulation (EU) 2024/1689 — Artificial Intelligence ActEuropean Parliament and of the Council · 2024
  2. 2.Guidance on AI and Data ProtectionInformation Commissioner's Office (ICO) · 2023
  3. 3.AI and Data Protection Risk Toolkit / AI Auditing FrameworkInformation Commissioner's Office (ICO) · 2023
  4. 4.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans)MIT Sloan · 2022

Want this run on your business?

AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.

Start your audit

You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.