Tietosuoja

Tekoälysäädös (AI Act) -ohjelmisto 2026: vaatimustenmukaisuus

Tekoälysäädös (AI Act) -ohjelmisto 2026: riskiluokitus, korkean riskin järjestelmät, dokumentaatio ja GDPR-yhteydet. Työkalujen vertailu ja hinnat suomalaiselle yritykselle.

Also available in:English·et

Tekoälysäädös eli EU:n AI Act -ohjelmisto on työkalu, joka luokittelee organisaation tekoälyjärjestelmät riskitasoihin, ylläpitää korkean riskin järjestelmien vaatimaa teknistä dokumentaatiota ja yhdistää tekoälyn hallinnan tietosuojaan (GDPR). Korkean riskin järjestelmiä koskevat velvoitteet alkavat soveltua 2.8.2026, joten vaatimustenmukaisuustyö on ajankohtaista juuri nyt. Paras ohjelmisto tukee järjestelmien inventointia, riskiluokitusta, vaatimustenmukaisuuden arviointia ja vaikutustenarviointien yhdistämistä. Tässä artikkelissa käydään läpi kriteerit ja markkinan vaihtoehdot.

Mitä tekoälysäädös vaatii?

EU:n tekoälysäädös luokittelee tekoälyjärjestelmät neljään riskiluokkaan: kielletty riski, korkea riski, rajoitettu riski ja minimaalinen riski. Suurin velvoitepaino kohdistuu korkean riskin järjestelmiin, joiden on täytettävä laatu-, dokumentaatio- ja valvontavaatimukset. Riskiluokituksen perusteet: AI Act -riskiluokitus.

Ohjelmiston ensimmäinen tehtävä on inventoida organisaation tekoälyjärjestelmät ja luokitella ne. Tämä on käytännössä sama työ kuin GDPR:n käsittelytoimien selosteen ylläpito – siksi tekoälyn hallinta ja tietosuoja kannattaa yhdistää. Katso myös AI Act vs GDPR -päällekkäisyydet.

Vertailukriteerit AI Act -ohjelmistolle

Kriteeri Miksi ratkaisee Vähimmäisvaatimus
Järjestelmien inventointi Kaikki tekoäly on tunnistettava Keskitetty rekisteri
Riskiluokitus Velvoitteet riippuvat luokasta Ohjattu luokitteluprosessi
Tekninen dokumentaatio Korkean riskin vaatimus Mallipohjat ja versiointi
Vaikutustenarviointi Perusoikeusvaikutukset (FRIA) Yhdistetty DPIA-työnkulkuun
GDPR-yhteys Tekoäly käsittelee usein henkilötietoja Linkitys ROPA:an ja DPIA:han
Valvonta ja lokit Jatkuva seuranta Auditointijälki

Markkinan vaihtoehdot

AI Act -ohjelmistomarkkina on nuori. AI-governance-erikoistyökalut keskittyvät järjestelmien inventointiin, riskiluokitukseen ja malliriskin hallintaan. GRC-suitit lisäävät AI Act -moduulin osaksi laajempaa compliance-kokonaisuutta. Integroidut tietosuoja-alustat yhdistävät tekoälyn hallinnan GDPR-työhön, mikä on luontevaa, koska korkean riskin tekoäly käsittelee lähes aina henkilötietoja ja vaatii vaikutustenarvioinnin.

Tekoälyn perusoikeusvaikutusten arviointi (FRIA) ja GDPR:n vaikutustenarviointi (DPIA) limittyvät vahvasti. Legiscope tuottaa DPIA:n ja käsittelytoimien selosteen EU-isännöinnissä, mikä muodostaa perustan myös tekoälyjärjestelmien dokumentoinnille. Yleiskuva sääntelystä: EU:n tekoälysäädöksen opas.

Tekoälysäädöksen neljä riskiluokkaa selitettynä

Tekoälysäädös on rakennettu riskiperusteisesti: velvoitteiden määrä kasvaa sitä mukaa, mitä suurempi riski järjestelmään liittyy. Ohjelmiston ensimmäinen tehtävä on sijoittaa jokainen tekoälyjärjestelmä oikeaan luokkaan, koska luokka määrää kaiken muun.

Riskiluokka Esimerkkejä Velvoitteet
Kielletty riski Sosiaalinen pisteytys, manipulointi, laaja biometrinen valvonta Käyttö kielletty; on tunnistettava ja poistettava
Korkea riski Rekrytointi, luotonanto, kriittinen infrastruktuuri, terveys Täysi vaatimuskokonaisuus (ks. alla)
Rajoitettu riski Chatbotit, tekoälyllä tuotettu sisältö Läpinäkyvyys: käyttäjälle on kerrottava tekoälystä
Minimaalinen riski Roskapostisuodattimet, pelien tekoäly Ei erityisvelvoitteita

Kielletyt käytännöt ja tekoälylukutaitovelvoitteet ovat soveltuneet jo aiemmin, kun taas korkean riskin järjestelmiä koskevat keskeiset velvoitteet alkavat soveltua 2.8.2026. Suurin osa käytännön compliance-työstä kohdistuu korkean riskin luokkaan. Luokittelun perusteet: AI Act -riskiluokitus.

Korkean riskin järjestelmän velvoitteet

Korkean riskin tekoälyjärjestelmiin kohdistuu joukko toisiinsa kytkeytyviä velvoitteita, jotka ohjelmiston on autettava dokumentoimaan ja osoittamaan.

Velvoite Sisältö
Riskienhallintajärjestelmä Jatkuva riskien tunnistaminen ja lieventäminen koko elinkaaren ajan
Datan hallinta Opetus-, validointi- ja testidatan laatu ja edustavuus
Tekninen dokumentaatio Kattava kuvaus järjestelmästä ja sen vaatimustenmukaisuudesta
Tapahtumaloki Automaattinen lokitus jäljitettävyyttä varten
Läpinäkyvyys Riittävä tieto käyttöönottajalle järjestelmän toiminnasta
Ihmisen valvonta Ihmisen mahdollisuus valvoa ja tarvittaessa keskeyttää
Tarkkuus ja kyberturvallisuus Robustius, tarkkuus ja suojaus koko elinkaaren ajan
Vaatimustenmukaisuuden arviointi Arviointi ennen markkinoille saattamista, CE-merkintä

Nämä velvoitteet jakautuvat eri tavoin sen mukaan, onko organisaatio järjestelmän tarjoaja (kehittäjä) vai käyttöönottaja. Tarjoajalla on laajin vastuu teknisestä dokumentaatiosta ja vaatimustenmukaisuuden arvioinnista, kun taas käyttöönottajan on huolehdittava ihmisen valvonnasta, käyttötarkoituksen mukaisesta käytöstä ja tietyissä tapauksissa perusoikeusvaikutusten arvioinnista. Syvempi käsittely: korkean riskin tekoälyjärjestelmät.

AI Act ja GDPR – FRIA ja DPIA limittyvät

Korkean riskin tekoäly käsittelee lähes aina henkilötietoja, joten tekoälysäädös ja GDPR kulkevat käsi kädessä. Tietyiltä käyttöönottajilta edellytetään perusoikeusvaikutusten arviointia (FRIA), joka menee osin päällekkäin GDPR:n vaikutustenarvioinnin (DPIA) kanssa: molemmat arvioivat riskejä yksilön oikeuksille ja edellyttävät lieventäviä toimenpiteitä. Kun järjestelmäinventaario, riskiluokitus ja arvioinnit ylläpidetään yhdessä paikassa, sama työ palvelee kumpaakin sääntelyä. Päällekkäisyydet ja erot: AI Act vs GDPR. Tekoälyjärjestelmien käsittelytoimet dokumentoidaan luontevasti käsittelytoimien selosteeseen, joten sama rekisteri toimii molempien pohjana. Henkilötietojen käsittelyn valvonnasta Suomessa vastaa tietosuojavaltuutetun toimisto.

Käyttöönoton vaiheet ja aikataulu

Valmistautuminen 2.8.2026 alkaviin korkean riskin velvoitteisiin etenee tyypillisesti viidessä vaiheessa: (1) kaikkien tekoälyjärjestelmien inventointi, mukaan lukien kolmansien osapuolten työkalut, (2) jokaisen järjestelmän riskiluokitus, (3) korkean riskin järjestelmien puuteanalyysi velvoitteita vasten, (4) teknisen dokumentaation, riskienhallinnan ja ihmisen valvonnan järjestäminen sekä (5) jatkuvan seurannan vakiinnuttaminen, sillä velvoitteet ovat elinkaarenmittaisia. Inventointi on käytännössä sama työ kuin GDPR:n käsittelytoimien selosteen ylläpito, joten se kannattaa yhdistää. Kokonaisaikataulu: AI Act -soveltamisvaiheet 2024–2027.

Hinnat 2026

Segmentti Vuosibudjetti Tyypillinen ratkaisu
Pk-yritys (muutama järjestelmä) 2 000–10 000 € Integroitu tietosuoja + AI-hallinta
Keskisuuri (korkean riskin järjestelmiä) 10 000–50 000 € AI-governance-työkalu + GRC
Suuri (kehittäjä/toimittaja) 50 000–200 000+ € Täysi AI-governance-alusta

Hinta riippuu tekoälyjärjestelmien määrästä ja riskiluokista. Korkean riskin järjestelmien kehittäjillä ja käyttöönottajilla on eniten velvoitteita, joten heidän työkalutarpeensa on laajin. Aikataulu: AI Act -soveltamisvaiheet 2024–2027.

Investoinnin tuotto ja kustannukset

Tekoälyn hallinnan suurin kustannus ei ole ohjelmisto vaan hajautettu käsityö: järjestelmien etsiminen eri tiimeistä, dokumentaation kokoaminen ja arviointien ylläpito. Kun tietosuojatyö tehdään jo käsin, se vie keskisuurelta organisaatiolta arviolta 600–1 800 tuntia vuodessa, ja tekoälyjärjestelmien lisääminen samaan hallintaan kasvattaisi työtä entisestään. Integroitu alusta, joka yhdistää järjestelmäinventaarion, riskiluokituksen ja vaikutustenarvioinnit, vähentää toistuvaa työtä tyypillisesti 70–90 %. Pk-yritykselle tekoälyn hallinta maksaa usein vain vähän lisää, kun se rakennetaan olemassa olevan tietosuoja-alustan päälle – vertaa vaihtoehtoja tietosuojaohjelmistojen vertailussa ja katso paras GDPR-ohjelmisto.

Läpinäkyvyysvelvoitteet ja rajoitetun riskin järjestelmät

Kaikki tekoäly ei ole korkean riskin järjestelmää, mutta myös rajoitetun riskin järjestelmiin liittyy velvoitteita. Keskeisin on läpinäkyvyys: käyttäjän on tiedettävä olevansa vuorovaikutuksessa tekoälyn kanssa, ja tekoälyllä tuotettu tai muokattu sisältö (kuten synteettiset kuvat, ääni tai video) on tunnistettavissa. Käytännössä tämä koskee monia yrityksiä, jotka käyttävät chatbotteja asiakaspalvelussa tai tuottavat sisältöä generatiivisilla työkaluilla. Vaikka velvoite on kevyempi kuin korkean riskin luokassa, se on silti dokumentoitava: mitkä järjestelmät ovat vuorovaikutuksessa käyttäjien kanssa, miten läpinäkyvyys toteutetaan ja kuka siitä vastaa. Ohjelmiston näkökulmasta rajoitetun riskin järjestelmät kuuluvat samaan inventaarioon kuin korkean riskin järjestelmät – ne vain kantavat kevyemmät velvoitteet. Sama rekisteri, joka luokittelee järjestelmät, tekee näkyväksi myös läpinäkyvyysvelvoitteiden piiriin kuuluvat käytöt.

Miksi tekoälyn hallinta kannattaa yhdistää tietosuojaan

Tekoälyn hallinnan ja tietosuojan erottaminen kahteen erilliseen järjestelmään johtaa päällekkäiseen työhön. Sama tekoälyjärjestelmä esiintyy sekä tekoälyinventaariossa että käsittelytoimien selosteessa, sen riskit arvioidaan sekä FRIA:ssa että DPIA:ssa, ja henkilötietojen käsittelyn oikeusperuste on määriteltävä kummassakin. Kun nämä ylläpidetään yhdessä alustassa, järjestelmä lisätään kerran ja tiedot palvelevat molempia sääntelyjä. Tämä on erityisen merkityksellistä pk-yritykselle, jolla ei ole erillistä tekoälytiimiä: tekoälyn hallinta rakentuu tällöin luontevasti olemassa olevan tietosuojatyön päälle ilman erillistä projektia. Suuremmalle kehittäjälle tai toimittajalle taas painottuu tekninen mallidokumentaatio ja vaatimustenmukaisuuden arviointi, jolloin erikoistuneen AI-governance-toiminnallisuuden tarve kasvaa.

Yleiskäyttöinen tekoäly ja perustemallit

Riskiluokkien rinnalla tekoälysäädös asettaa erilliset velvoitteet yleiskäyttöisen tekoälyn malleille (esimerkiksi suurille kielimalleille), joita voidaan hyödyntää monissa eri sovelluksissa. Näiltä malleilta edellytetään muun muassa teknistä dokumentaatiota, tietoa koulutusdatasta ja tekijänoikeuksien kunnioittamista, ja järjestelmäriskiä aiheuttaville malleille asetetaan tiukempia vaatimuksia. Useimmat suomalaiset yritykset ovat tällaisten mallien käyttäjiä eivätkä kehittäjiä, jolloin keskeistä on tietää, mitä malleja organisaatiossa käytetään ja mihin tarkoitukseen. Tämä tieto kuuluu samaan tekoälyinventaarioon kuin muutkin järjestelmät: kun käytössä olevat mallit on kirjattu, voidaan arvioida, syntyykö niiden käytöstä korkean riskin sovellus tai läpinäkyvyysvelvoite. Ohjelmiston näkökulmasta yleiskäyttöiset mallit ovat osa samaa hallittavaa kokonaisuutta, ei erillinen saareke.

Näin valitset AI Act -ohjelmiston – tarkistuslista

Vaihtoehtoja kannattaa arvioida seuraavia kysymyksiä vasten: (1) Kokoaako työkalu kaikki tekoälyjärjestelmät yhteen inventaarioon, myös kolmansien osapuolten työkalut? (2) Ohjaako se riskiluokitusta neljään luokkaan? (3) Tukeeko se korkean riskin teknistä dokumentaatiota mallipohjineen ja versiointeineen? (4) Yhdistyykö FRIA GDPR:n DPIA-työnkulkuun? (5) Onko linkitys käsittelytoimien selosteeseen ja oikeusperusteisiin valmiina? (6) Tuottaako se auditointijäljen jatkuvaa valvontaa varten ja sijaitseeko data EU:ssa? Koska korkean riskin velvoitteet alkavat soveltua 2.8.2026, inventointi ja riskiluokitus kannattaa tehdä ensin – ne paljastavat, kuinka laaja työ on todella edessä.

Usein kysytyt kysymykset

Paljonko AI Act -ohjelmisto maksaa?

Pk-yritykselle, jolla on muutama tekoälyjärjestelmä, 2 000–10 000 €/vuosi (usein osana tietosuoja-alustaa). Keskisuurelle organisaatiolle 10 000–50 000 €/vuosi ja korkean riskin järjestelmien kehittäjille 50 000–200 000+ €/vuosi.

Milloin tekoälysäädöstä on noudatettava?

Kielletyt käytännöt ja tekoälylukutaitovelvoitteet ovat soveltuneet jo aiemmin, ja korkean riskin järjestelmiä koskevat keskeiset velvoitteet alkavat soveltua 2.8.2026. Vaatimustenmukaisuustyö kannattaa aloittaa hyvissä ajoin.

Voiko GDPR-työkalu kattaa tekoälysäädöksen?

Osittain. Koska korkean riskin tekoäly käsittelee lähes aina henkilötietoja, järjestelmien inventointi, DPIA ja käsittelytoimien seloste muodostavat yhteisen perustan. Varsinaiseen mallidokumentaatioon ja riskiluokitukseen tarvitaan usein erillinen AI-governance-toiminnallisuus.

Mitkä ovat tekoälysäädöksen neljä riskiluokkaa?

Kielletty riski (käyttö kielletty), korkea riski (täysi vaatimuskokonaisuus), rajoitettu riski (läpinäkyvyysvelvoitteet) ja minimaalinen riski (ei erityisvelvoitteita). Ohjelmiston ensimmäinen tehtävä on luokitella jokainen järjestelmä oikeaan luokkaan, koska luokka määrää velvoitteet.

Mitä eroa on tekoälyn tarjoajalla ja käyttöönottajalla?

Tarjoaja (kehittäjä) vastaa laajimmin teknisestä dokumentaatiosta ja vaatimustenmukaisuuden arvioinnista ennen markkinoille saattamista. Käyttöönottaja vastaa ihmisen valvonnasta, käyttötarkoituksen mukaisesta käytöstä ja tietyissä tapauksissa perusoikeusvaikutusten arvioinnista (FRIA). Velvoitteet ovat siis erilaiset roolin mukaan.

Yhteenveto

Tekoälysäädös-ohjelmisto luokittelee tekoälyjärjestelmät, ylläpitää korkean riskin dokumentaatiota ja yhdistää tekoälyn hallinnan GDPR:ään. Korkean riskin velvoitteet alkavat soveltua 2.8.2026, joten työ on ajankohtaista. Koska tekoäly ja henkilötiedot kulkevat käsi kädessä, integroitu lähestymistapa säästää työtä: Legiscope tuottaa DPIA:n ja käsittelytoimien selosteen EU-isännöinnissä, mikä on perusta myös tekoälyjärjestelmien dokumentoinnille. Katso myös AI Act vs GDPR.

Katso Legiscope käytännössä – varaa 15 minuutin demo

Viimeksi tarkistettu: heinäkuu 2026.

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →