Tekoälysäädös eli EU:n AI Act -ohjelmisto on työkalu, joka luokittelee organisaation tekoälyjärjestelmät riskitasoihin, ylläpitää korkean riskin järjestelmien vaatimaa teknistä dokumentaatiota ja yhdistää tekoälyn hallinnan tietosuojaan (GDPR). Korkean riskin järjestelmiä koskevat velvoitteet alkavat soveltua 2.8.2026, joten vaatimustenmukaisuustyö on ajankohtaista juuri nyt. Paras ohjelmisto tukee järjestelmien inventointia, riskiluokitusta, vaatimustenmukaisuuden arviointia ja vaikutustenarviointien yhdistämistä. Tässä artikkelissa käydään läpi kriteerit ja markkinan vaihtoehdot.
Mitä tekoälysäädös vaatii?
EU:n tekoälysäädös luokittelee tekoälyjärjestelmät neljään riskiluokkaan: kielletty riski, korkea riski, rajoitettu riski ja minimaalinen riski. Suurin velvoitepaino kohdistuu korkean riskin järjestelmiin, joiden on täytettävä laatu-, dokumentaatio- ja valvontavaatimukset. Riskiluokituksen perusteet: AI Act -riskiluokitus.
Ohjelmiston ensimmäinen tehtävä on inventoida organisaation tekoälyjärjestelmät ja luokitella ne. Tämä on käytännössä sama työ kuin GDPR:n käsittelytoimien selosteen ylläpito – siksi tekoälyn hallinta ja tietosuoja kannattaa yhdistää. Katso myös AI Act vs GDPR -päällekkäisyydet.
Vertailukriteerit AI Act -ohjelmistolle
| Kriteeri | Miksi ratkaisee | Vähimmäisvaatimus |
|---|---|---|
| Järjestelmien inventointi | Kaikki tekoäly on tunnistettava | Keskitetty rekisteri |
| Riskiluokitus | Velvoitteet riippuvat luokasta | Ohjattu luokitteluprosessi |
| Tekninen dokumentaatio | Korkean riskin vaatimus | Mallipohjat ja versiointi |
| Vaikutustenarviointi | Perusoikeusvaikutukset (FRIA) | Yhdistetty DPIA-työnkulkuun |
| GDPR-yhteys | Tekoäly käsittelee usein henkilötietoja | Linkitys ROPA:an ja DPIA:han |
| Valvonta ja lokit | Jatkuva seuranta | Auditointijälki |
Markkinan vaihtoehdot
AI Act -ohjelmistomarkkina on nuori. AI-governance-erikoistyökalut keskittyvät järjestelmien inventointiin, riskiluokitukseen ja malliriskin hallintaan. GRC-suitit lisäävät AI Act -moduulin osaksi laajempaa compliance-kokonaisuutta. Integroidut tietosuoja-alustat yhdistävät tekoälyn hallinnan GDPR-työhön, mikä on luontevaa, koska korkean riskin tekoäly käsittelee lähes aina henkilötietoja ja vaatii vaikutustenarvioinnin.
Tekoälyn perusoikeusvaikutusten arviointi (FRIA) ja GDPR:n vaikutustenarviointi (DPIA) limittyvät vahvasti. Legiscope tuottaa DPIA:n ja käsittelytoimien selosteen EU-isännöinnissä, mikä muodostaa perustan myös tekoälyjärjestelmien dokumentoinnille. Yleiskuva sääntelystä: EU:n tekoälysäädöksen opas.
Tekoälysäädöksen neljä riskiluokkaa selitettynä
Tekoälysäädös on rakennettu riskiperusteisesti: velvoitteiden määrä kasvaa sitä mukaa, mitä suurempi riski järjestelmään liittyy. Ohjelmiston ensimmäinen tehtävä on sijoittaa jokainen tekoälyjärjestelmä oikeaan luokkaan, koska luokka määrää kaiken muun.
| Riskiluokka | Esimerkkejä | Velvoitteet |
|---|---|---|
| Kielletty riski | Sosiaalinen pisteytys, manipulointi, laaja biometrinen valvonta | Käyttö kielletty; on tunnistettava ja poistettava |
| Korkea riski | Rekrytointi, luotonanto, kriittinen infrastruktuuri, terveys | Täysi vaatimuskokonaisuus (ks. alla) |
| Rajoitettu riski | Chatbotit, tekoälyllä tuotettu sisältö | Läpinäkyvyys: käyttäjälle on kerrottava tekoälystä |
| Minimaalinen riski | Roskapostisuodattimet, pelien tekoäly | Ei erityisvelvoitteita |
Kielletyt käytännöt ja tekoälylukutaitovelvoitteet ovat soveltuneet jo aiemmin, kun taas korkean riskin järjestelmiä koskevat keskeiset velvoitteet alkavat soveltua 2.8.2026. Suurin osa käytännön compliance-työstä kohdistuu korkean riskin luokkaan. Luokittelun perusteet: AI Act -riskiluokitus.
Korkean riskin järjestelmän velvoitteet
Korkean riskin tekoälyjärjestelmiin kohdistuu joukko toisiinsa kytkeytyviä velvoitteita, jotka ohjelmiston on autettava dokumentoimaan ja osoittamaan.
| Velvoite | Sisältö |
|---|---|
| Riskienhallintajärjestelmä | Jatkuva riskien tunnistaminen ja lieventäminen koko elinkaaren ajan |
| Datan hallinta | Opetus-, validointi- ja testidatan laatu ja edustavuus |
| Tekninen dokumentaatio | Kattava kuvaus järjestelmästä ja sen vaatimustenmukaisuudesta |
| Tapahtumaloki | Automaattinen lokitus jäljitettävyyttä varten |
| Läpinäkyvyys | Riittävä tieto käyttöönottajalle järjestelmän toiminnasta |
| Ihmisen valvonta | Ihmisen mahdollisuus valvoa ja tarvittaessa keskeyttää |
| Tarkkuus ja kyberturvallisuus | Robustius, tarkkuus ja suojaus koko elinkaaren ajan |
| Vaatimustenmukaisuuden arviointi | Arviointi ennen markkinoille saattamista, CE-merkintä |
Nämä velvoitteet jakautuvat eri tavoin sen mukaan, onko organisaatio järjestelmän tarjoaja (kehittäjä) vai käyttöönottaja. Tarjoajalla on laajin vastuu teknisestä dokumentaatiosta ja vaatimustenmukaisuuden arvioinnista, kun taas käyttöönottajan on huolehdittava ihmisen valvonnasta, käyttötarkoituksen mukaisesta käytöstä ja tietyissä tapauksissa perusoikeusvaikutusten arvioinnista. Syvempi käsittely: korkean riskin tekoälyjärjestelmät.
AI Act ja GDPR – FRIA ja DPIA limittyvät
Korkean riskin tekoäly käsittelee lähes aina henkilötietoja, joten tekoälysäädös ja GDPR kulkevat käsi kädessä. Tietyiltä käyttöönottajilta edellytetään perusoikeusvaikutusten arviointia (FRIA), joka menee osin päällekkäin GDPR:n vaikutustenarvioinnin (DPIA) kanssa: molemmat arvioivat riskejä yksilön oikeuksille ja edellyttävät lieventäviä toimenpiteitä. Kun järjestelmäinventaario, riskiluokitus ja arvioinnit ylläpidetään yhdessä paikassa, sama työ palvelee kumpaakin sääntelyä. Päällekkäisyydet ja erot: AI Act vs GDPR. Tekoälyjärjestelmien käsittelytoimet dokumentoidaan luontevasti käsittelytoimien selosteeseen, joten sama rekisteri toimii molempien pohjana. Henkilötietojen käsittelyn valvonnasta Suomessa vastaa tietosuojavaltuutetun toimisto.
Käyttöönoton vaiheet ja aikataulu
Valmistautuminen 2.8.2026 alkaviin korkean riskin velvoitteisiin etenee tyypillisesti viidessä vaiheessa: (1) kaikkien tekoälyjärjestelmien inventointi, mukaan lukien kolmansien osapuolten työkalut, (2) jokaisen järjestelmän riskiluokitus, (3) korkean riskin järjestelmien puuteanalyysi velvoitteita vasten, (4) teknisen dokumentaation, riskienhallinnan ja ihmisen valvonnan järjestäminen sekä (5) jatkuvan seurannan vakiinnuttaminen, sillä velvoitteet ovat elinkaarenmittaisia. Inventointi on käytännössä sama työ kuin GDPR:n käsittelytoimien selosteen ylläpito, joten se kannattaa yhdistää. Kokonaisaikataulu: AI Act -soveltamisvaiheet 2024–2027.
Hinnat 2026
| Segmentti | Vuosibudjetti | Tyypillinen ratkaisu |
|---|---|---|
| Pk-yritys (muutama järjestelmä) | 2 000–10 000 € | Integroitu tietosuoja + AI-hallinta |
| Keskisuuri (korkean riskin järjestelmiä) | 10 000–50 000 € | AI-governance-työkalu + GRC |
| Suuri (kehittäjä/toimittaja) | 50 000–200 000+ € | Täysi AI-governance-alusta |
Hinta riippuu tekoälyjärjestelmien määrästä ja riskiluokista. Korkean riskin järjestelmien kehittäjillä ja käyttöönottajilla on eniten velvoitteita, joten heidän työkalutarpeensa on laajin. Aikataulu: AI Act -soveltamisvaiheet 2024–2027.
Investoinnin tuotto ja kustannukset
Tekoälyn hallinnan suurin kustannus ei ole ohjelmisto vaan hajautettu käsityö: järjestelmien etsiminen eri tiimeistä, dokumentaation kokoaminen ja arviointien ylläpito. Kun tietosuojatyö tehdään jo käsin, se vie keskisuurelta organisaatiolta arviolta 600–1 800 tuntia vuodessa, ja tekoälyjärjestelmien lisääminen samaan hallintaan kasvattaisi työtä entisestään. Integroitu alusta, joka yhdistää järjestelmäinventaarion, riskiluokituksen ja vaikutustenarvioinnit, vähentää toistuvaa työtä tyypillisesti 70–90 %. Pk-yritykselle tekoälyn hallinta maksaa usein vain vähän lisää, kun se rakennetaan olemassa olevan tietosuoja-alustan päälle – vertaa vaihtoehtoja tietosuojaohjelmistojen vertailussa ja katso paras GDPR-ohjelmisto.
Läpinäkyvyysvelvoitteet ja rajoitetun riskin järjestelmät
Kaikki tekoäly ei ole korkean riskin järjestelmää, mutta myös rajoitetun riskin järjestelmiin liittyy velvoitteita. Keskeisin on läpinäkyvyys: käyttäjän on tiedettävä olevansa vuorovaikutuksessa tekoälyn kanssa, ja tekoälyllä tuotettu tai muokattu sisältö (kuten synteettiset kuvat, ääni tai video) on tunnistettavissa. Käytännössä tämä koskee monia yrityksiä, jotka käyttävät chatbotteja asiakaspalvelussa tai tuottavat sisältöä generatiivisilla työkaluilla. Vaikka velvoite on kevyempi kuin korkean riskin luokassa, se on silti dokumentoitava: mitkä järjestelmät ovat vuorovaikutuksessa käyttäjien kanssa, miten läpinäkyvyys toteutetaan ja kuka siitä vastaa. Ohjelmiston näkökulmasta rajoitetun riskin järjestelmät kuuluvat samaan inventaarioon kuin korkean riskin järjestelmät – ne vain kantavat kevyemmät velvoitteet. Sama rekisteri, joka luokittelee järjestelmät, tekee näkyväksi myös läpinäkyvyysvelvoitteiden piiriin kuuluvat käytöt.
Miksi tekoälyn hallinta kannattaa yhdistää tietosuojaan
Tekoälyn hallinnan ja tietosuojan erottaminen kahteen erilliseen järjestelmään johtaa päällekkäiseen työhön. Sama tekoälyjärjestelmä esiintyy sekä tekoälyinventaariossa että käsittelytoimien selosteessa, sen riskit arvioidaan sekä FRIA:ssa että DPIA:ssa, ja henkilötietojen käsittelyn oikeusperuste on määriteltävä kummassakin. Kun nämä ylläpidetään yhdessä alustassa, järjestelmä lisätään kerran ja tiedot palvelevat molempia sääntelyjä. Tämä on erityisen merkityksellistä pk-yritykselle, jolla ei ole erillistä tekoälytiimiä: tekoälyn hallinta rakentuu tällöin luontevasti olemassa olevan tietosuojatyön päälle ilman erillistä projektia. Suuremmalle kehittäjälle tai toimittajalle taas painottuu tekninen mallidokumentaatio ja vaatimustenmukaisuuden arviointi, jolloin erikoistuneen AI-governance-toiminnallisuuden tarve kasvaa.
Yleiskäyttöinen tekoäly ja perustemallit
Riskiluokkien rinnalla tekoälysäädös asettaa erilliset velvoitteet yleiskäyttöisen tekoälyn malleille (esimerkiksi suurille kielimalleille), joita voidaan hyödyntää monissa eri sovelluksissa. Näiltä malleilta edellytetään muun muassa teknistä dokumentaatiota, tietoa koulutusdatasta ja tekijänoikeuksien kunnioittamista, ja järjestelmäriskiä aiheuttaville malleille asetetaan tiukempia vaatimuksia. Useimmat suomalaiset yritykset ovat tällaisten mallien käyttäjiä eivätkä kehittäjiä, jolloin keskeistä on tietää, mitä malleja organisaatiossa käytetään ja mihin tarkoitukseen. Tämä tieto kuuluu samaan tekoälyinventaarioon kuin muutkin järjestelmät: kun käytössä olevat mallit on kirjattu, voidaan arvioida, syntyykö niiden käytöstä korkean riskin sovellus tai läpinäkyvyysvelvoite. Ohjelmiston näkökulmasta yleiskäyttöiset mallit ovat osa samaa hallittavaa kokonaisuutta, ei erillinen saareke.
Näin valitset AI Act -ohjelmiston – tarkistuslista
Vaihtoehtoja kannattaa arvioida seuraavia kysymyksiä vasten: (1) Kokoaako työkalu kaikki tekoälyjärjestelmät yhteen inventaarioon, myös kolmansien osapuolten työkalut? (2) Ohjaako se riskiluokitusta neljään luokkaan? (3) Tukeeko se korkean riskin teknistä dokumentaatiota mallipohjineen ja versiointeineen? (4) Yhdistyykö FRIA GDPR:n DPIA-työnkulkuun? (5) Onko linkitys käsittelytoimien selosteeseen ja oikeusperusteisiin valmiina? (6) Tuottaako se auditointijäljen jatkuvaa valvontaa varten ja sijaitseeko data EU:ssa? Koska korkean riskin velvoitteet alkavat soveltua 2.8.2026, inventointi ja riskiluokitus kannattaa tehdä ensin – ne paljastavat, kuinka laaja työ on todella edessä.
Usein kysytyt kysymykset
Paljonko AI Act -ohjelmisto maksaa?
Pk-yritykselle, jolla on muutama tekoälyjärjestelmä, 2 000–10 000 €/vuosi (usein osana tietosuoja-alustaa). Keskisuurelle organisaatiolle 10 000–50 000 €/vuosi ja korkean riskin järjestelmien kehittäjille 50 000–200 000+ €/vuosi.
Milloin tekoälysäädöstä on noudatettava?
Kielletyt käytännöt ja tekoälylukutaitovelvoitteet ovat soveltuneet jo aiemmin, ja korkean riskin järjestelmiä koskevat keskeiset velvoitteet alkavat soveltua 2.8.2026. Vaatimustenmukaisuustyö kannattaa aloittaa hyvissä ajoin.
Voiko GDPR-työkalu kattaa tekoälysäädöksen?
Osittain. Koska korkean riskin tekoäly käsittelee lähes aina henkilötietoja, järjestelmien inventointi, DPIA ja käsittelytoimien seloste muodostavat yhteisen perustan. Varsinaiseen mallidokumentaatioon ja riskiluokitukseen tarvitaan usein erillinen AI-governance-toiminnallisuus.
Mitkä ovat tekoälysäädöksen neljä riskiluokkaa?
Kielletty riski (käyttö kielletty), korkea riski (täysi vaatimuskokonaisuus), rajoitettu riski (läpinäkyvyysvelvoitteet) ja minimaalinen riski (ei erityisvelvoitteita). Ohjelmiston ensimmäinen tehtävä on luokitella jokainen järjestelmä oikeaan luokkaan, koska luokka määrää velvoitteet.
Mitä eroa on tekoälyn tarjoajalla ja käyttöönottajalla?
Tarjoaja (kehittäjä) vastaa laajimmin teknisestä dokumentaatiosta ja vaatimustenmukaisuuden arvioinnista ennen markkinoille saattamista. Käyttöönottaja vastaa ihmisen valvonnasta, käyttötarkoituksen mukaisesta käytöstä ja tietyissä tapauksissa perusoikeusvaikutusten arvioinnista (FRIA). Velvoitteet ovat siis erilaiset roolin mukaan.
Yhteenveto
Tekoälysäädös-ohjelmisto luokittelee tekoälyjärjestelmät, ylläpitää korkean riskin dokumentaatiota ja yhdistää tekoälyn hallinnan GDPR:ään. Korkean riskin velvoitteet alkavat soveltua 2.8.2026, joten työ on ajankohtaista. Koska tekoäly ja henkilötiedot kulkevat käsi kädessä, integroitu lähestymistapa säästää työtä: Legiscope tuottaa DPIA:n ja käsittelytoimien selosteen EU-isännöinnissä, mikä on perusta myös tekoälyjärjestelmien dokumentoinnille. Katso myös AI Act vs GDPR.
Katso Legiscope käytännössä – varaa 15 minuutin demo
Viimeksi tarkistettu: heinäkuu 2026.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo