Näin rakennat tekoälyrekisterin 90 minuutissa (EU:n tekoälysäädös)
Viisivaiheinen, 90 minuutin malli tekoälyrekisterille, jota eurooppalaiset pk-yritykset tarvitsevat EU:n tekoälysäädöksen 26 artiklan ja ICO:n ohjeistuksen nojalla. Aloitussarakkeet, sudenkuopat ja vastuusäännöt.

Useimmat eurooppalaiset pk-yritykset pitävät tekoälyrekisteriä raskaana hankkeena, jonka ne tuottavat sitten kun EU:n tekoälysäädöksen valvonta puree. Se on ajatusvirhe. Toimiva ensiversio syntyy yhdeksässäkymmenessä minuutissa, kun rajaat sen käyttöönottajan puoleiseksi luetteloksi etkä vaatimustenmukaisuuden dokumentiksi. Alla on viisivaiheinen malli, jota käymme läpi operatiivisten vastuuhenkilöiden kanssa auditointitoimeksiannoissamme — sama, joka tuo liitteen III mukaisen riskikuvan yhdelle sivulle perjantai-iltapäivään mennessä ja antaa työrauhan tehdä hitaamman työn kunnolla sen jälkeen.
Lyhyt vastaus. Tekoälyrekisteri on käyttöönottajan puoleinen luettelo jokaisesta organisaatiosi tekoälyjärjestelmästä. Sen taustalla ovat EU:n tekoälysäädöksen 26 artiklan käyttöönottajan velvoitteet [1], ja se on linjassa ICO:n UK GDPR -ohjeistuksen kanssa [2]. Toimiva ensiversio syntyy yhdeksässäkymmenessä minuutissa alle 200 hengen pk-yritykselle: 15 minuuttia listaamiseen, 20 riskitason luokitteluun liitettä III vasten, 25 ydinsarakkeiden täyttämiseen ja 30 vastuuhenkilöiden nimeämiseen ja valvonnan pistotarkastukseen.
Mikä tekoälyrekisteri on?
Tekoälyrekisteri on 26 artiklan käyttöönottajan velvoitteille sama kuin seloste käsittelytoimista on UK GDPR:n 30 artiklalle: elävä luettelo, joka nimeää jokaisen järjestelmän, luokittelee sen riskitason ja osoittaa vastuuhenkilön. Se on asiakirja, jota ICO:n tutkija, hankintaosasto tai yritysasiakkaan toimittajaturvallisuustiimi pyytää ensimmäisenä.
EU:n tekoälysäädös ei säädä rekisterin muodosta säädöstekstissä. 26 artiklan 5 kohta edellyttää, että suuririskisten järjestelmien käyttöönottajat varmistavat ihmisen suorittaman valvonnan nimetyn, pätevän henkilön toimesta; 26 artiklan 6 kohta edellyttää suuririskisen käytön lokitusta vähintään kuuden kuukauden ajan [1]. Rekisteri on se toiminnallinen alusta, joka tekee molemmat näkyviksi. ICO on todennut selvästi vuodesta 2023 alkaen, että henkilötietoja UK GDPR:n nojalla käsittelevä tekoäly laukaisee tietosuojaa koskevan vaikutustenarvioinnin ja osoitusvelvollisuuden [2], ja ICO:n tekoälyn auditointityökalu luettelee ne jäsennellyt asiakirjat, joita pk-yritys tarvitsee [3]. Mikään valvoja ei vaadi tiettyä työkalua. Taulukko, joka nimeää oikeat sarakkeet ja osoittaa oikeat vastuuhenkilöt, läpäisee testin.
Miksi yhdeksänkymmentä minuuttia riittää (ja mitä se ei sinulle anna)
Rekisteri ei ole päämäärä. Se on kartta. Yhdeksänkymmentä minuuttia riittää nostamaan esiin, mikä tekoäly on käytössä, luokittelemaan sen riskitason ja osoittamaan vastuun — tämä kolmikko on jokaisen käyttöönottajan osoitettava, ennen kuin valvoja, asiakas tai hallitus kysyy. Mitä yhdeksänkymmentä minuuttia ei sinulle anna: 27 artiklan mukaista perusoikeuksiin kohdistuvien vaikutusten arviointia kullekin liitteen III järjestelmälle, 4 artiklan mukaista rooliin suhteutettua tekoälyosaamisen koulutusta, toimittajien due diligence -pakettia tietojenkäsittelysopimuksineen ja mallikortteineen, eikä valmiiksi kirjoitettua ihmisen suorittaman valvonnan menettelyä [1]. Nämä ovat myöhempiä työvirtoja, jotka rajataan sen mukaan, mitä rekisteri nostaa esiin.
Aikaboksauksen kuri merkitsee enemmän kuin viimeistely. Auditointitoimeksiannoissamme ne pk-yritykset, jotka kohtelevat rekisteriä monen viikon projektina, eivät yleensä tuota sitä lainkaan; ne, jotka rajaavat ensiversion yhdeksäänkymmeneen minuuttiin, tuottavat rekisterin ensimmäisenä päivänä ja kehittävät sitä sen jälkeen. 26 artiklan velvoitteet ovat jatkuvia, eivät kertaluonteisia, joten päivitettävissä oleva ensiversio on selvästi arvokkaampi kuin aloittamatta jäänyt kolmas versio.
Miten 90 minuutin tekoälyrekisterin työnkulku etenee?
Vaihe 1 — Listaa jokainen käytössä oleva tekoälyjärjestelmä (15 minuuttia)
Kolme lähdettä kattaa suurimman osan siitä, mitä löydät. Poimi maksulliset SaaS-tilaukset kirjanpidosta tai kululaskuilta — jokainen toimittaja, jonka tuotenimessä on "AI", "ML", "Copilot", "Assistant" tai "Insight", kuuluu listalle. Poimi upotettu tekoäly olemassa olevista alustoistasi — Microsoft 365 Copilot, Google Workspacen Gemini-toiminnot, Salesforce Einstein, HubSpot Breeze, Outlookin automaattivastaukset ja Teamsin kokousyhteenvedot ovat kaikki mukana, maksoivat ne tai eivät. Poimi varjotekoäly yhden kappaleen koko henkilöstölle lähetetyllä viestillä, jossa kysyt mitä tekoälytyökaluja henkilöstö käyttää päivittäin, mukaan lukien maksuttomat kuluttajatilit.
Käsittele varjotekoäly osana kokonaisuutta. Kun työntekijä liittää CV:n ilmaiseen ChatGPT-tiliin, pk-yritys muuttuu liitteen III suuririskisen järjestelmän käyttöönottajaksi EU:n tekoälysäädöksen työllistämissäännösten nojalla [1], ja tieto poistuu ympäristöstäsi UK GDPR:n alaisuudessa [2]. Rekisterin tehtävä on nostaa se esiin, ei valvoa sitä. Valvonta tulee vaiheessa 4, kun tiedät mitä on olemassa.
Vaihe 2 — Luokittele kunkin järjestelmän riskitaso liitettä III vasten (20 minuuttia)
EU:n tekoälysäädöksen liite III luettelee kahdeksan suuririskistä aluetta [1]: biometrinen tunnistus, kriittinen infrastruktuuri, koulutus ja ammatillinen valmennus, työllistäminen ja työvoiman hallinta, pääsy olennaisiin palveluihin, lainvalvonta, muuttoliike ja rajavalvonta sekä oikeudenhoito. Pk-yrityksille käytännön laukaisijat ovat yleensä työllistäminen (CV-seulonta, suoritusten arviointi, automaattinen vuorosuunnittelu), pääsy palveluihin (luottopäätökset, vakuutushinnoittelu) ja koulutus (koulutusarvioinnit, sertifioinnit).
Merkitse jokainen listasi järjestelmä yhdeksi seuraavista: suuririskinen (vastaa liitettä III), rajoitetun riskin järjestelmä (50 artiklan mukaiset avoimuusvelvoitteet), vähäisen riskin järjestelmä (ei erityisiä velvoitteita 4 artiklan osaamisvaatimusta lukuun ottamatta) tai yleiskäyttöisen tekoälyn käyttöönottaja (käytät yleiskäyttöistä tekoälymallia chatbotin tai assistentin selkärankana) [1]. Useimpien pk-yritysten kokonaisuus jakautuu kahteen tai kolmeen tasoon. Luokittelu on käyttöönottajan vastuulla — sitä ei voi delegoida toimittajalle eikä siihen vaikuta yrityksen koko.
Vaihe 3 — Täytä kymmenen ydinsaraketta (25 minuuttia)
Sarakkeet, jotka ansaitsevat paikkansa käyttöönottajan rekisterissä:
- Järjestelmän nimi — mitä henkilöstösi kutsuu sitä päivittäin.
- Toimittaja — tuotteen takana oleva oikeushenkilö.
- Malli tai versio — jos tiedossa (esim. GPT-4o, Claude 3.5, Gemini 1.5, oma).
- Käyttötapaus — yksi lause siitä, mitä järjestelmä päättää tai tuottaa.
- Riskitaso — suuri / rajoitettu / vähäinen / yleiskäyttöisen tekoälyn käyttöönottaja.
- Käsitelläänkö henkilötietoja — K/E, sekä tietoryhmät UK GDPR:n mukaan.
- Oikeusperuste — UK GDPR:n 6 artiklan mukainen peruste (oikeutettu etu, sopimus, suostumus jne.).
- Vastuuhenkilö — nimetty yksilö, ei tiimi tai rooli.
- 26 artiklan 6 kohdan lokitus — K/E/Ei sovellu suuririskisille käyttöönotoille.
- Käyttöönottopäivä — vähintään kuukausi ja vuosi.
Taulukko, jossa on nämä kymmenen saraketta, vastaa ensimmäiseen kysymykseen, jonka jokainen valvoja, asiakas tai hallituksen jäsen esittää. Kaikki tämän ylittävä on toistuvaa työtä, ei ensiversion työtä. Vastusta halua lisätä sarakkeita ennen kuin olet täyttänyt kaikki kymmenen jokaiselle riville.
Vaihe 4 — Nimeä jokaiselle järjestelmälle vastuuhenkilö (15 minuuttia)
26 artiklan 5 kohta edellyttää, että suuririskisten järjestelmien käyttöönottajat varmistavat ihmisen suorittaman valvonnan pätevän, vastuullisen henkilön toimesta, jolla on valtuudet keskeyttää järjestelmä tai ohittaa se [1]. Käännä tämä rekisteriisi nimeämällä todellinen yksilö jokaiselle liitteen III riville — ei roolia kuten "IT-vastaava" tai "operatiivinen johtaja". Vastuuhenkilöllä on oltava kolme ominaisuutta: hän osaa lukea järjestelmän tuotokset, hänellä on valtuudet sammuttaa se, ja hänet tavoittaa rekisteristäsi nimellä.
Nimeä omistaja myös järjestelmille, jotka eivät kuulu liitteeseen III. Muodollinen velvoite on kevyempi, mutta kuri on sama. Operatiiviset vastuuhenkilöt ja ylemmät esihenkilöt ovat luontevia omistajia useimmissa pk-yrityksissä — teknologia- tai datajohtajaa ei tarvita.
Vaihe 5 — Tarkista ihmisen suorittama valvonta yhdessä suuririskisessä järjestelmässä (15 minuuttia)
Käy korkeimman riskin liitteen III rivisi läpi kolmella kysymyksellä: tarkistaako ihminen tekoälyn tuotoksen ennen kuin se vaikuttaa ihmiseen (ihminen päätöksenteossa -testi); voiko tuo ihminen käytännössä ohittaa tekoälyn päätöksen (valtuustesti); onko ihminen saanut rooliinsa sopivan koulutuksen 4 artiklan nojalla (osaamistesti) [1]? Vastaukset menevät vapaatekstiseen "ihmisen suorittaman valvonnan huomiot" -sarakkeeseen kymmenen ydinsarakkeen viereen.
Et saa ihmisen suorittaman valvonnan menettelyä valmiiksi viidessätoista minuutissa. Tavoite on nostaa esiin, missä puute on, ei korjata sitä. Rivi, jossa lukee "ei ihmistarkistusta CV-seulonnalle; puute korjattava 30 päivän kuluessa", on juuri oikea tuotos. Rekisterin tehtävä on tehdä puute näkyväksi; sen korjaaminen on erillinen työvirta ja erillinen budjetti.

Mitkä viisi sudenkuoppaa kaatavat tekoälyrekisterin ensiversion?
- Rekisterin kohtelu kertaluonteisena asiakirjana. 26 artiklan velvoitteet ovat jatkuvia; rekisteri on elävä asiakirja, joka käydään läpi vähintään neljännesvuosittain ja päivitetään aina kun uusi tekoälyjärjestelmä otetaan käyttöön tai toimittaja julkaisee merkittävän mallimuutoksen.
- Varjotekoälyn ohittaminen. Maksuttomat kuluttajatilit ja henkilökohtaiset Copilot-istunnot ovat altein ja vähiten näkyvä luokka. Jos rekisteri ei nosta niitä esiin, se valehtelee.
- "Vaatimustenmukaisuustyökalun" ostaminen ennen listaamista. Toimittajan vaatimustenmukaisuus-SaaS ei luokittele käyttötapauksiasi — sen osaa vain oma tiimisi. Taulukko ensin, työkalu myöhemmin (tai ei koskaan; alle 200 hengen pk-yritykselle ylläpidetty taulukko riittää).
- Roolin nimeäminen henkilön sijaan. "IT-tiimiä" ei voi hälyttää. Nimetyn henkilön, jolla on puhelinnumero, voi. 26 artiklan 5 kohta edellyttää jälkimmäistä [1].
- 4 artiklan osaamisvaatimuksen sivuuttaminen kokonaan. 4 artiklaa on sovellettu 2. helmikuuta 2025 alkaen jokaiseen tekoälyä käyttävään työntekijään, suhteutettuna hänen rooliinsa [1]. Se ei ole riskitaso — jokainen järjestelmä synnyttää 4 artiklan velvoitteen. Merkitse se rekisteriin, vaikka itse koulutus olisikin myöhempää työtä.
Mitä tehdä yhdeksänkymmenen minuutin jälkeen
Rekisteri on kartoituskerros. Siitä lähtee tyypillisesti kolme jatkotyövirtaa:
- Perusoikeuksiin kohdistuvien vaikutusten arvioinnin rajaaminen kullekin liitteen III riville EU:n tekoälysäädöksen 27 artiklan nojalla [1] — erillinen, syvempi asiakirja, jonka rekisterin riskitasosarake käynnistää, ei korvaa.
- 4 artiklan tekoälyosaamisen koulutus — rooliin suhteutettuna, rajattuna rekisterin vastuuhenkilösarakkeen mukaan eikä henkilömäärän mukaan.
- Toimittajien due diligence -paketti — tietojenkäsittelysopimukset, mallikortit, yleiskäyttöisen tekoälyn alkuperä, rajattuna rekisterin toimittajasarakkeen mukaan ja päivitettynä hankinnan uusinnan yhteydessä.
Nämä ovat työvirtoja, jotka sisäänrakennettu lähestymistapa kattaa toimeksiantokokemuksessamme noin kahdessatoista viikossa hintaan 18 000–32 000 puntaa, ja samat työvirrat jälkiasennuksena hoitava lähestymistapa kuudessa puristetussa viikossa hintaan 85 000–145 000 puntaa — kerroin, joka on linjassa MIT Sloanin GDPR:n jälkeisten lukujen kanssa: EU:n yritykset karsivat tallennettua dataa 26 % ja laskentaa 15 % valvontapaineen alla [4]. Rekisteri on halvin mahdollinen ensiliike tätä laskutoimitusta vastaan.
Yhteenveto
AI Register in 90 Minutes — a deployer-side inventory │ ├─ The five-step build │ ├─ List (15m) — paid, embedded, and shadow AI in scope │ ├─ Risk-tier (20m) — match each system to Annex III │ ├─ Ten columns (25m) — the audit-ready floor, no more │ ├─ Name owners (15m) — a person per system, not a team │ └─ Spot-check (15m) — surface the oversight gap, don't close it │ ├─ Why timebox v1 │ ├─ A living map — Article 26 duties are continuous │ └─ v1 you update beats v3 you never start │ └─ What it doesn't buy └─ Downstream — FRIA, Article 4 literacy, vendor due diligence
Aiheeseen liittyvät artikkelit
- Tekoälyhallinta ensimmäisestä päivästä: pk-yrityksen vaatimustenmukaisuuden jälkiasennuksen hinta — kulmakiviartikkeli, jota tämä opas tukee. Lue siitä kustannuslaskelma, Northbridge-tapaus ja ensimmäisen päivän hallinnan seitsemän asiakirjaa.
- Pk-yrityksesi ei tarvitse lisää tekoälytyökaluja. Se tarvitsee tekoälystrategian.EN — taustoittava artikkeli siitä, miksi hyväksytty tekoälylista merkitsee enemmän kuin yksittäinen tilaus, ja audit-and-consolidate-prosessi, joka tuottaa sellaisen.
Päivitetty viimeksi: toukokuu 2026. Versio 1.0.
Frequently Asked Questions
Korvaako tekoälyrekisteri GDPR:n selosteen käsittelytoimista?
Henkilöstömme käyttää ilmaista ChatGPT:tä ja kuluttaja-Copilotia. Kuuluvatko ne rekisteriin?
Pk-yrityksemme sijaitsee EU:n ulkopuolella. Koskeeko EU:n tekoälysäädös rekisteriämme?
Kenen pitäisi vastata tekoälyrekisteristä pk-yrityksessä, jolla ei ole teknologiajohtajaa?
Kuinka usein rekisteri pitäisi päivittää?
Riittääkö taulukko, vai tarvitaanko erillinen GRC-työkalu?
Sources
- 1.Regulation (EU) 2024/1689 — Artificial Intelligence Act — European Parliament and of the Council · 2024
- 2.Guidance on AI and Data Protection — Information Commissioner's Office (ICO) · 2023
- 3.AI and Data Protection Risk Toolkit / AI Auditing Framework — Information Commissioner's Office (ICO) · 2023
- 4.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans) — MIT Sloan · 2022
Want this run on your business?
AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.
You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.