Så bygger du ett AI-register på 90 minuter (EU:s AI-förordning)
Bygg på 90 minuter och i fem steg det AI-register som europeiska små och medelstora företag behöver enligt artikel 26 i EU:s AI-förordning och ICO:s vägledning. Startkolumner, fallgropar, ägarskap.

De flesta europeiska små och medelstora företag ser AI-registret som en tungrodd leverans de ska ta fram när tillsynen enligt EU:s AI-förordning börjar bita. Det är ett tankefel. En fungerande v1 tar nittio minuter om du avgränsar den till en förteckning på tillhandahållarens sida i stället för en efterlevnadsartefakt. Nedan följer den femstegsbyggnad vi kör med verksamhetsansvariga i våra revisionsuppdrag — samma byggnad som lägger en bild av bilaga III-risken på ett papper redan i fredag eftermiddag och köper utrymmet att göra det långsammare arbetet ordentligt efteråt.
Snabbsvar. Ett AI-register är förteckningen på tillhandahållarens sida över varje AI-system i din organisation, förutsatt av tillhandahållarens skyldigheter enligt artikel 26 i EU:s AI-förordning [1] och i linje med ICO:s vägledning enligt brittiska GDPR [2]. En fungerande v1 tar nittio minuter för företag med upp till 200 anställda: 15 minuter att lista, 20 att riskklassificera mot bilaga III, 25 att fylla i kärnkolumnerna och 30 att utse ägare och stickprovskontrollera tillsynen.
Vad är ett AI-register?
AI-registret är för tillhandahållarens skyldigheter enligt artikel 26 vad registret över behandling är för artikel 30 i brittiska GDPR: en levande förteckning som namnger varje system, klassificerar dess risknivå och utser en ansvarig person. Det är det dokument som en ICO-utredare, en inköpsavdelning eller säkerhetsteamet hos en företagskund frågar efter allra först.
EU:s AI-förordning föreskriver inte registrets format i förordningstexten. Artikel 26.5 kräver att tillhandahållare av högrisksystem säkerställer mänsklig tillsyn genom en utpekad, kompetent person; artikel 26.6 kräver att högriskanvändning loggas i minst sex månader [1]. Registret är det operativa underlag som gör båda synliga. ICO har sedan 2023 varit tydlig med att AI som behandlar personuppgifter enligt brittiska GDPR utlöser disciplin kring konsekvensbedömning avseende dataskydd och skyldigheter kring ansvarsskyldighet [2], och ICO:s verktygslåda för AI-granskning räknar upp de slags strukturerade underlag ett företag kommer att behöva [3]. Ingen tillsynsmyndighet kräver ett särskilt verktyg. Ett kalkylblad som namnger rätt kolumner och utser rätt ägare klarar testet.
Varför nittio minuter fungerar (och vad det inte ger dig)
Registret är inte slutmålet. Det är kartan. Nittio minuter räcker för att synliggöra vilken AI som används, klassificera dess risknivå och fördela ansvaret — den trio av fakta som varje tillhandahållare måste kunna visa innan en tillsynsmyndighet, kund eller styrelse frågar. Vad nittio minuter inte ger dig: en konsekvensbedömning avseende grundläggande rättigheter enligt artikel 27 för varje system i bilaga III, en läroplan för AI-kunnighet enligt artikel 4 i proportion till rollen, ett paket för leverantörsgranskning som täcker personuppgiftsbiträdesavtal och modellkort, eller ett fullständigt nedskrivet protokoll för mänsklig tillsyn [1]. Det är efterföljande arbetsströmmar, avgränsade mot det registret synliggör.
Disciplinen att tidsboxa väger tyngre än finishen. I våra revisionsuppdrag producerar de företag som behandlar registret som ett flerveckorsprojekt sällan något alls; de företag som tidsboxar v1 till nittio minuter får fram ett register redan dag ett och vidareutvecklar det sedan. Skyldigheterna i artikel 26 är löpande, inte en ögonblicksbild, så en v1 du kan uppdatera är värd strikt mer än en v3 du inte har börjat på.
Hur löper arbetsflödet för ett AI-register på 90 minuter?
Steg 1 — Lista alla AI-system som används (15 minuter)
Tre källor täcker det mesta av det du kommer att hitta. Hämta betalda SaaS-prenumerationer från ekonomiboken eller utläggskortet — varje leverantör med "AI", "ML", "Copilot", "Assistant" eller "Insight" i produktnamnet hör hemma på listan. Hämta inbäddad AI från dina befintliga plattformar — Microsoft 365 Copilot, Gemini-funktioner i Google Workspace, Salesforce Einstein, HubSpot Breeze, automatsvar i Outlook och mötessammanfattningar i Teams är alla omfattade, betalda eller inte. Hämta skugg-AI med ett kort meddelande till hela personalen som frågar vilka AI-verktyg de använder i vardagen, inklusive obetalda privatkonton.
Behandla skugg-AI som omfattad. När en medarbetare klistrar in ett CV i ett gratiskonto hos ChatGPT blir företaget en tillhandahållare av ett AI-system med hög risk enligt EU:s AI-förordnings bestämmelser om anställning [1], och uppgifterna lämnar din miljö enligt brittiska GDPR [2]. Registrets uppgift är att synliggöra detta, inte att kontrollera det. Kontrollen kommer i steg 4, när du väl vet vad som finns.
Steg 2 — Riskklassificera varje system mot bilaga III (20 minuter)
Bilaga III till EU:s AI-förordning räknar upp åtta högriskområden [1]: biometrisk identifiering, kritisk infrastruktur, utbildning och yrkesutbildning, anställning och arbetstagarförvaltning, tillgång till samhällsviktiga tjänster, brottsbekämpning, migration och gränskontroll samt rättskipning. För små och medelstora företag är de levande triggrarna oftast anställning (CV-gallring, prestationsrankning, automatiserad schemaläggning), tillgång till tjänster (kreditbeslut, försäkringsprissättning) och utbildning (utbildningsbedömningar, certifieringar).
Märk varje system på din lista som ett av följande: AI-system med hög risk (matchning i bilaga III), system med begränsad risk (krav på transparens enligt artikel 50), system med minimal risk (inga särskilda skyldigheter utöver kunnighet enligt artikel 4) eller tillhandahållare av AI för allmänna ändamål (du använder en AI-modell för allmänna ändamål som ryggrad för en chatbot eller assistent) [1]. De flesta tekniklandskap hos små och medelstora företag hamnar i två eller tre nivåer. Klassificeringen är tillhandahållarens avgörande; den kan inte delegeras till leverantören och den påverkas inte av företagets storlek.
Steg 3 — Fyll i de tio kärnkolumnerna (25 minuter)
Kolumnerna som förtjänar sin plats i ett tillhandahållarregister:
- Systemnamn — vad din personal kallar det i vardagen.
- Leverantör — den juridiska person som står bakom produkten.
- Modell eller version — där den är känd (t.ex. GPT-4o, Claude 3.5, Gemini 1.5, intern).
- Användningsfall — en mening som beskriver vad systemet beslutar eller genererar.
- Risknivå — hög / begränsad / minimal / tillhandahållare av AI för allmänna ändamål.
- Personuppgifter förekommer — ja/nej, plus kategorier enligt brittiska GDPR.
- Rättslig grund — grunden enligt artikel 6 i brittiska GDPR (berättigat intresse, avtal, samtycke osv.).
- Ansvarig person — en utpekad individ, inte ett team eller en roll.
- Loggning enligt artikel 26.6 — ja/nej/ej tillämpligt för högriskdriftsättningar.
- Datum för driftsättning — minst månad och år.
Ett kalkylblad med dessa tio kolumner besvarar den första fråga varje tillsynsmyndighet, kund eller styrelseledamot kommer att ställa. Allt därutöver är vidareutvecklingsarbete, inte v1-arbete. Motstå impulsen att lägga till kolumner innan du har fyllt i alla tio på varje rad.
Steg 4 — Utse en ansvarig person per system (15 minuter)
Artikel 26.5 kräver att tillhandahållare av högrisksystem säkerställer mänsklig tillsyn genom en kompetent, ansvarig person med befogenhet att pausa eller åsidosätta systemet [1]. Översätt det till ditt register genom att namnge en faktisk individ för varje rad i bilaga III — inte en roll som "IT-ansvarig" eller "verksamhetschef". Den ansvariga personen behöver tre egenskaper: hen kan läsa systemets utdata, hen har befogenheten att stänga av det och hen går att nå vid namn i ditt register.
För system utanför bilaga III, utse en ägare ändå. Den formella skyldigheten är lättare; disciplinen är densamma. Verksamhetsansvariga och seniora chefer är de naturliga ägarna i de flesta små och medelstora företag; en teknik- eller datachef krävs inte.
Steg 5 — Stickprovskontrollera mänsklig tillsyn på ett högrisksystem (15 minuter)
För din rad med högst risk i bilaga III, gå igenom tre frågor: granskar en människa AI-utdata innan de påverkar en individ (testet människan i loopen); kan den människan i praktiken åsidosätta AI-beslutet (befogenhetstestet); har människan fått rollanpassad utbildning enligt artikel 4 (kompetenstestet) [1]? Svaren går in i en fritextkolumn för "anteckningar om mänsklig tillsyn" bredvid de tio kärnkolumnerna.
Du blir inte klar med protokollet för mänsklig tillsyn på femton minuter. Målet är att synliggöra var gapet finns, inte att stänga det. En rad som lyder "ingen mänsklig granskning av CV-gallring; gap att stänga inom 30 dagar" är precis rätt utdata. Registrets uppgift är att göra gapet synligt; att stänga det är en separat arbetsström och en separat budget.

Vilka fem fallgropar dödar en AI-register-v1?
- Att behandla registret som ett engångsdokument. Skyldigheterna i artikel 26 är löpande; registret är en levande artefakt som granskas minst varje kvartal och uppdateras närhelst ett nytt AI-system driftsätts eller en leverantör skjuter ut ett större modellbyte.
- Att missa skugg-AI. Obetalda privatkonton och personliga Copilot-sessioner är kategorin med flest incidenter och lägst synlighet. Om registret inte synliggör dem ljuger det.
- Att köpa ett "efterlevnadsverktyg" före listningen. En leverantörs efterlevnads-SaaS klassificerar inte dina användningsfall — bara ditt team kan det. Kalkylblad först, verktyg sedan (eller aldrig; för företag med upp till 200 anställda räcker ett underhållet kalkylblad).
- Att utse en roll i stället för en person. Ett "IT-team" går inte att larma. En utpekad individ med ett telefonnummer går att larma. Artikel 26.5 förutsätter det senare [1].
- Att helt hoppa över kunnighet enligt artikel 4. Artikel 4 har gällt sedan den 2 februari 2025 för varje medarbetare som använder AI, i proportion till rollen [1]. Det är inte en nivå — varje system synliggör en skyldighet enligt artikel 4. Notera det i registret även när själva läroplanen är efterföljande arbete.
Vad du gör efter de nittio minuterna
Registret är upptäcktslagret. Tre uppföljande arbetsströmmar lyfter typiskt från det:
- Att avgränsa en FRIA för varje rad i bilaga III, enligt artikel 27 i EU:s AI-förordning [1] — ett separat, djupare dokument som registrets risknivåkolumn initierar snarare än ersätter.
- Läroplan för kunnighet enligt artikel 4 — i proportion till rollen, avgränsad mot registrets kolumn för ansvarig person snarare än mot antalet anställda.
- Paket för leverantörsgranskning — personuppgiftsbiträdesavtal, modellkort, härkomst för AI för allmänna ändamål, avgränsat mot registrets leverantörskolumn och uppdaterat vid förnyad upphandling.
Det är de arbetsströmmar som en inbyggd ansats täcker på ungefär tolv veckor för 18 000–32 000 pund enligt vår uppdragserfarenhet, och samma arbetsströmmar som en eftermonterad ansats täcker på sex ihoppressade veckor för 85 000–145 000 pund — en multiplikator i linje med MIT Sloans data efter GDPR om EU-företag som skar ner lagrad data med 26 % och beräkning med 15 % under trycket från tillsynen [4]. Registret är det billigast möjliga första draget mot den aritmetiken.
Sammanfattning
AI Register in 90 Minutes — a deployer-side inventory │ ├─ The five-step build │ ├─ List (15m) — paid, embedded, and shadow AI in scope │ ├─ Risk-tier (20m) — match each system to Annex III │ ├─ Ten columns (25m) — the audit-ready floor, no more │ ├─ Name owners (15m) — a person per system, not a team │ └─ Spot-check (15m) — surface the oversight gap, don't close it │ ├─ Why timebox v1 │ ├─ A living map — Article 26 duties are continuous │ └─ v1 you update beats v3 you never start │ └─ What it doesn't buy └─ Downstream — FRIA, Article 4 literacy, vendor due diligence
Relaterade insikter
- AI Governance From Day One: SMB Cost of Retrofitting Compliance — hörnstenen som den här guiden stödjer. Läs den för kostnadsaritmetiken, Northbridge-fallet och de sju artefakterna i styrning från dag ett.
- Your SMB Doesn't Need More AI Tools. It Needs an AI Strategy.EN — det uppströms liggande stycket om varför en sanktionerad AI-lista betyder mer än någon enskild prenumeration, och sekvensen att granska och konsolidera som tar fram en sådan.
Senast uppdaterad: maj 2026. Version 1.0.
Frequently Asked Questions
Ersätter ett AI-register registret över behandling enligt GDPR?
Vår personal använder gratis ChatGPT och Copilot för privatbruk. Räknas de in i registret?
Vårt företag har sitt säte utanför EU. Gäller EU:s AI-förordning vårt register?
Vem bör äga AI-registret i ett företag utan teknikchef?
Hur ofta bör vi uppdatera registret?
Räcker ett kalkylblad, eller behöver vi ett särskilt GRC-verktyg?
Sources
- 1.Regulation (EU) 2024/1689 — Artificial Intelligence Act — European Parliament and of the Council · 2024
- 2.Guidance on AI and Data Protection — Information Commissioner's Office (ICO) · 2023
- 3.AI and Data Protection Risk Toolkit / AI Auditing Framework — Information Commissioner's Office (ICO) · 2023
- 4.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans) — MIT Sloan · 2022
Want this run on your business?
AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.
You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.