Conformy

Annex IV — Teknisk dokumentation

En detaljerad guide till de dokumentationskrav som AI-förordningen ställer på leverantörer av högrisk-AI-system. Vad varje sektion innebär och hur du skapar dokumentationen.

Senast uppdaterad: mars 2026

Vad är Annex IV?

Annex IV till EU AI Act (EU 2024/1689) specificerar den tekniska dokumentation som leverantörer av högrisk-AI-system ska upprätta enligt Artikel 11. Det är en av de mest konkreta och omfattande skyldigheterna i hela förordningen.

Syftet med dokumentationen är att visa att AI-systemet uppfyller kraven i Kapitel III, Avsnitt 2 — bland annat riskhantering, datagovernance, transparens, mänsklig tillsyn och cybersäkerhet. Dokumentationen ska vara tillräckligt detaljerad för att en nationell tillsynsmyndighet ska kunna bedöma systemets överenstämmelse.

Dokumentationen ska upprättas innan systemet släpps på marknaden eller tas i bruk, och ska hållas uppdaterad under hela systemets livscykel.

Vem behöver upprätta Annex IV-dokumentation?

Kravet gäller leverantörer (providers) av högrisk-AI-system. Det inkluderar:

  • Företag som utvecklar egna AI-system och släpper dem på EU-marknaden
  • Organisationer som anpassar eller finjusterar befintliga AI-modeller till högrisk-tillämpningar
  • Tredjelandsleverantörer vars AI-system används inom EU
  • Importörer eller distributörer som gör väsentliga ändringar i ett AI-system (de blir då leverantörer)

Deployers (användare) behöver inte upprätta Annex IV-dokumentation, men har andra skyldigheter — bland annat FRIA enligt Artikel 27.

Undantag: Leverantörer som omfattas av sektorsspecifik EU-lagstiftning (Annex I, t.ex. medicintekniska produkter) kan behöva anpassa dokumentationen till de krav som redan finns i den sektorslagstiftningen. Men Annex IV gäller som bas.

De 9 sektionerna i Annex IV

Annex IV specificerar nio huvudområden som den tekniska dokumentationen ska täcka. Här förklarar vi vad varje sektion innebär.

1. Allmän beskrivning av AI-systemet

En övergripande beskrivning av systemets avsedda ändamål, utvecklare, version och hur systemet interagerar med hårdvara och mjukvara. Inkluderar systemets namn, dess funktion i klarspråk och en beskrivning av vem det är avsett för.

2. Detaljerad beskrivning av systemets komponenter och utvecklingsprocess

Metodik, designval och arkitekturbeslut. Beskrivning av beräkningsresurser, modellval (inklusive varför en viss modelltyp valts), träningsmetodik, valideringstekniker och testresultat. Även tekniska specifikationer som indata, utdata och gränssnitt.

3. Information om övervakning, funktion och kontroll

Beskrivning av hur systemet övervakas under drift, dess kapaciteter och begränsningar, förväntade prestanda under olika förhållanden och graden av mänsklig tillsyn. Inkluderar information om systemets förutsägbarhet och tolkningsbarhet.

4. Beskrivning av riskhanteringssystemet

Dokumentation av det riskhanteringssystem som upprättats enligt Artikel 9: identifierade risker, bedömning av sannolikhet och allvarlighet, vidtagna åtgärder och kvarstående risker. Ska visa att risker har hanterats systematiskt och iterativt.

5. Användning av data — datagovernance och datakvalitet

Detaljerad beskrivning av tränings-, validerings- och testdata: datakällor, datainsamlingsmetoder, förbearbetning, märkning, datavolym och datakvalitetsåtgärder. Ska visa att data uppfyller kraven i Artikel 10, inklusive relevans, representativitet och felhantering.

6. Information om loggning (registrering av aktiviteter)

Beskrivning av de automatiska loggningsfunktioner som krävs enligt Artikel 12: vilken data som loggas, lagringsperiod, format och hur loggarna kan användas för efterkontroll och incidentutredning.

7. Beskrivning av ändringar under systemets livscykel

Plan för hur systemet ska underhållas, uppdateras och övervakas efter driftsättning. Inkluderar versionshantering, processer för ändringshantering och rutiner för omkonformitetsbedömning vid väsentliga ändringar.

8. Förteckning över tillämpade standarder

Lista över harmoniserade standarder, gemensamma specifikationer eller andra tekniska specifikationer som har tillämpats — helt eller delvis. Om harmoniserade standarder saknas, beskriv vilka andra referenspunkter som använts.

9. Beskrivning av konformitetsbedömningsförfarandet

Beskrivning av den konformitetsbedömning som genomförts, inklusive resultat och eventuella beslut från anmälda organ. En kopia av EU-försäkran om överenstämmelse.

Steg-för-steg: Hur du skapar dokumentationen

Att skapa Annex IV-dokumentation kan verka överväldigande, men med rätt struktur och verktyg behöver det inte vara det. Här är ett rekommenderat tillvägagångssätt:

  1. Klassificera ditt system — Bekräfta att ditt AI-system är högrisk genom att gå igenom kriterierna i Annex III. Använd vår kostnadsfria klassificering.
  2. Inventera befintlig dokumentation — De flesta organisationer har redan delar av den information som behövs: arkitekturdokument, dataflödesbeskrivningar, testrapporter och riskanalyser. Samla ihop det som finns.
  3. Skapa ett strukturerat utkast — Använd Annex IV:s niodelad struktur som mall. Vårt dokumentationsverktyg genererar ett komplett utkast baserat på dina svar.
  4. Fyll i tekniska detaljer — Komplettera utkastet med specifik information om modell, data, prestanda, risker och testresultat.
  5. Juridisk granskning — Låt en jurist eller compliance-specialist granska dokumentationen. Verifiera att alla krav i Artikel 11 är uppfyllda.
  6. Inrätta underhållsprocesser — Annex IV är inte ett engångsdokument. Planera för löpande uppdateringar vid varje väsentlig ändring av systemet.

Vanliga misstag att undvika

  • Vänta för länge — Dokumentationen ska finnas innan systemet släpps. Att börja efteråt innebär risk för luckor och förseningar.
  • För vag riskbedömning — Beskriv konkreta risker, inte bara generella. "Risken för bias" är inte tillräckligt — specificera vilka grupper som kan påverkas och vilka åtgärder som vidtagits.
  • Bristande datadokumentation — Sektion 5 (data) är ofta den mest bristfälliga. Spåra datakällor, förbearbetning och kvalitetskontroller från start.
  • Ingen plan för uppdatering — Dokumentation utan livscykelplan uppfyller inte kraven. Definiera när och hur dokumentationen uppdateras.
  • Blanda ihop provider och deployer — Annex IV gäller leverantörer. Deployers har andra skyldigheter. Se till att rätt person i er organisation äger rätt dokumentation.

Börja skapa din dokumentation

Istället för att börja med ett tomt dokument kan du använda vårt verktyg för att generera ett strukturerat Annex IV-utkast på svenska. Du besvarar frågor om ditt AI-system, och vi skapar ett komplett utkast som täcker alla nio sektioner.

Utkastet är redo att granskas av din jurist eller compliance-specialist. Du kan exportera det som PDF.

Generera ditt Annex IV-utkast

Besvara frågor om ditt AI-system och få ett strukturerat dokumentationsutkast på svenska — redo för granskning. Från 499 kr.

Skapa dokumentation