Source: OJ L, 2024/1689, 12.7.2024Current language: SV
- Artificial intelligence act
Basic legislative acts
- AI act regulation
Artikel 17 Kvalitetsstyrningssystem
Summary What does Article 17 of the AI Act say?
Article 17 is a detailed, operationally focused article that requires providers of high-risk AI systems to establish and maintain a formal quality management system.
The article functions as a companion to Article 16, which lists the general obligations of providers, by spelling out in concrete terms what that quality management obligation actually looks like in practice.
The system must be documented through written policies, procedures and instructions, and must cover a comprehensive range of areas spanning the entire lifecycle of the AI system, from design and development through to post-market monitoring, incident reporting, data management, risk management, and internal accountability frameworks.
The article also acknowledges organisational reality: implementation must be scaled to the size of the provider's organisation, and providers already subject to sectoral Union law quality management obligations, or financial institutions subject to Union financial services internal governance rules, can integrate or satisfy these requirements through their existing frameworks, with the exception of the risk management, post-market monitoring, and serious incident reporting elements, which remain mandatory regardless.
Important points:
- Establish a documented quality management system covering the full AI system lifecycle, including design, data management, risk management, post-market monitoring, incident reporting, and internal accountability.
- The scope of implementation is proportionate to the size of your organisation, but the required level of rigour and protection for compliance must be maintained regardless.
- Financial institutions subject to Union financial services internal governance rules can satisfy most of this obligation through those existing frameworks, but must still separately comply with the risk management, post-market monitoring, and serious incident reporting requirements.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Leverantörer av AI-system med hög risk ska inrätta ett kvalitetsstyrningssystem som säkerställer efterlevnad av denna förordning. Systemet ska dokumenteras på ett systematiskt och ordnat sätt i form av skriftliga riktlinjer, förfaranden och instruktioner och ska omfatta åtminstone följande aspekter:
En strategi för efterlevnad av regelverket, inklusive efterlevnad av förfaranden för bedömning av överensstämmelse och för hantering av ändringar av AI-systemet med hög risk.
Tekniker, förfaranden och systematiska åtgärder som ska användas för utformning av AI-systemet med hög risk samt för kontroll och verifikation av utformningen.
Tekniker, förfaranden och systematiska åtgärder som ska användas för utveckling, kvalitetskontroll och kvalitetssäkring av AI-systemet med hög risk.
Undersöknings-, test- och valideringsförfaranden som ska utföras före, under och efter utvecklingen av AI-systemet med hög risk och hur ofta de ska utföras.
Tekniska specifikationer, inbegripet standarder, som ska tillämpas och, om de relevanta harmoniserade standarderna inte tillämpas fullt ut, eller inte omfattar alla relevanta krav i avsnitt 2, de medel som ska användas för att säkerställa att AI-systemet med hög risk uppfyller dessa krav.
System och förfaranden för datahantering, inbegripet datafångst, datainsamling, dataanalys, datamärkning, datalagring, datafiltrering, datautvinning, dataaggregering, lagring av uppgifter och varje annan åtgärd som avser data och som utförs före och med avseende på utsläppandet på marknaden eller ibruktagandet av AI-system med hög risk.
Det riskhanteringssystem som avses i artikel 9.
Upprättande, genomförande och underhåll av ett system för övervakning efter utsläppande på marknaden i enlighet med artikel 72.
Förfaranden som berör rapportering av en allvarlig incident i enlighet med artikel 73.
Hantering av kommunikation med nationella behöriga myndigheter, andra relevanta myndigheter, inbegripet de som tillhandahåller eller stöder tillgången till uppgifter, anmälda organ, andra operatörer, kunder eller andra berörda parter.
System och förfaranden för arkivering av all relevant dokumentation och information.
Resurshantering, inbegripet åtgärder som berör försörjningstrygghet.
En ram för ansvarsutkrävande som fastställer ledningens och övrig personals ansvar vad gäller samtliga aspekter som anges i denna punkt.
Genomförandet av de aspekter som avses i punkt 1 ska stå i proportion till storleken på leverantörens organisation. Leverantörer ska i alla händelser iaktta den grad av noggrannhet och den skyddsnivå som krävs för att säkerställa att deras AI-system med hög risk står i överensstämmelse med denna förordning.
Leverantörer av AI-system med hög risk som omfattas av skyldigheter avseende kvalitetsstyrningssystem eller en likvärdig funktion enligt relevant sektorsspecifik unionsrätt får inkludera de aspekter som anges i punkt 1 i de kvalitetsstyrningssystem som fastställs enligt den unionsrätten.
För leverantörer som är finansinstitut som omfattas av krav avseende interna styrelseformer, arrangemang eller processer enligt unionsrätten om finansiella tjänster ska skyldigheten att införa ett kvalitetsstyrningssystem, med undantag för punkt 1 g, h och i) i denna artikel, anses vara uppfylld genom att reglerna om interna styrelseformer, arrangemang eller processer efterlevs enligt relevant unionsrätt om finansiella tjänster. I detta syfte ska alla harmoniserade standarder som avses i artikel 40 beaktas.
Relevant recitals
Skäl 81 Sound quality management system
Leverantören bör inrätta ett sunt kvalitetsstyrningssystem, säkerställa att det föreskrivna förfarandet för bedömning av överensstämmelse genomförs, utarbeta den relevanta dokumentationen och inrätta ett robust system för övervakning efter utsläppande på marknaden. Leverantörer av AI-system med hög risk som omfattas av skyldigheter avseende kvalitetsstyrningssystem enligt relevant sektorsspecifik unionsrätt bör ha möjlighet att inkludera delarna av det kvalitetsstyrningssystem som föreskrivs i denna förordning som en del av befintliga kvalitetsstyrningssystem som föreskrivs i denna andra sektorsspecifika unionsrätt. Komplementariteten mellan denna förordning och befintlig sektorsspecifik unionsrätt bör också beaktas i framtida standardiseringsverksamhet eller vägledning som antas av kommissionen. Offentliga myndigheter som för egen användning tar i bruk AI-system med hög risk kan anta och genomföra reglerna för kvalitetsstyrningssystem som en del av det kvalitetsstyrningssystem som införs på nationell eller regional nivå, beroende på vad som är lämpligt, med beaktande av sektorns särdrag och den berörda offentliga myndighetens kompetensområde och organisation.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
allvarlig incident
(En. serious incident)
- Dödsfall eller allvarlig skada på en persons hälsa.
- En allvarlig och oåterkallelig störning av förvaltningen eller driften av kritisk infrastruktur.
- Åsidosättande av skyldigheter enligt unionsrätten avsedda att skydda grundläggande rättigheter.
- Allvarlig skada på egendom eller på miljön.
Definition
bedömning av överensstämmelse
(En. conformity assessment)
Definition
importör
(En. importer)
Definition
kritisk infrastruktur
(En. critical infrastructure)
Definition
indata
(En. input data)
Definition
AI-modell för allmänna ändamål
(En. general-purpose AI model)
Definition
tillhandahållare
(En. deployer)
Definition
risk
Definition
AI-system
(En. AI system)
Definition
distributör
(En. distributor)
Definition
ombud
(En. authorised representative)
Definition
operatör
(En. operator)
Definition
leverantör
(En. provider)
Definition
system för övervakning efter utsläppande på marknaden
(En. post-market monitoring system)