EU AI Act · Art. 17

Laadunhallintajärjestelmä

Korkean riskin tekoälyn tarjoajalla on oltava kirjallinen laadunhallintajärjestelmä. Dokumentoidut menettelyt, joilla varmistat vaatimustenmukaisuuden järjestelmällisesti.

Lähdetarkistettu2 min lukuaikaVoimaan 2.12.2027 (Digital Omnibus; 2.8.2026 voimassa kunnes julkaistu EU:n virallisessa lehdessä)Asetus (EU) 2024/1689Tarkistettu 30.5.2026

Mistä tässä on kyse

Laadunhallintajärjestelmä kuulostaa suuryrityksen sanalta, mutta tarkoittaa yhtä asiaa: miten teillä tehdään, kirjattuna. Miten malli testataan ennen julkaisua, kuka vastaa mistäkin, miten asiakaspalaute ja virhetilanteet käsitellään, miten muutokset hyväksytään. Kymmenen hengen yrityksessä tämä voi olla yksi huolellinen dokumentti; ratkaisevaa on, että käytännöt on kirjoitettu auki, koska kirjaamattomia käytäntöjä ei valvonnassa ole olemassa.

Laadunhallintajärjestelmä (QMS) on tarjoajan sisäinen 'käyttöjärjestelmä' vaatimustenmukaisuudelle: dokumentoitu kokonaisuus menettelyjä, joilla varmistetaan, että jokainen järjestelmä syntyy ja pysyy lain vaatimusten mukaisena. Se ei ole yksittäinen paperi vaan tapa, jolla organisaatio toimii.

Järjestelmän on katettava muun muassa vaatimustenmukaisuusstrategia, suunnittelun ja testauksen menettelyt, datanhallinta, riskienhallinta, markkinoille saattamisen jälkeinen seuranta, vaaratilanteiden raportointi sekä vastuunjako ja resurssit. PK-yrityksille mittakaava saa olla kevyempi, mutta menettelyt on silti kuvattava kirjallisesti: 'meillä on hyvät käytännöt' ei riitä, jos niitä ei ole kirjattu.

Laadunhallintajärjestelmän osat
Vaatimustenmukaisuus­strategiaMiten lakia noudatetaan
Suunnittelu & testausMenettelyt ennen julkaisua
DatanhallintaDatan laatu ja vinoumat
RiskienhallintaTunnistus ja lievennys
JälkiseurantaSeuranta ja vaaratilanteet
Vastuut & resurssitKuka tekee ja millä

Mitä laki vaatii, kohta kohdalta

Laadi kirjallinen laadunhallintajärjestelmä, joka kuvaa miten suunnittelet, testaat, dokumentoit ja valvot järjestelmääsi sekä hallitset riskit ja muutokset.

  1. §2Toteutus suhteutetaan tarjoajan organisaation kokoon, säilyttäen vaadittu tarkkuus ja suojan taso
  2. §1.aSääntelyn noudattamista koskeva strategia, ml. vaatimustenmukaisuuden arviointimenettelyt ja olennaisten muutosten hallintamenettelyt
  3. §1.bSuunnittelun valvonnan ja suunnittelun varmentamisen tekniikat, menettelyt ja järjestelmälliset toimet
  4. §1.cKehittämisen, laadunvalvonnan ja laadunvarmistuksen tekniikat, menettelyt ja järjestelmälliset toimet
  5. §1.dTarkastus-, testaus- ja validointimenettelyt ennen kehittämistä, sen aikana ja sen jälkeen sekä niiden suoritustiheys
  6. §1.eSovellettavat tekniset eritelmät ja standardit sekä, jos yhdenmukaistettuja standardeja ei sovelleta täysimääräisesti, keinot vaatimusten täyttämiseksi
  7. §1.fDatanhallinnan järjestelmät ja menettelyt, ml. datan hankinta, kerääminen, analysointi, merkitseminen, säilytys, suodatus, louhinta, koostaminen ja säilyttäminen
  8. §1.gArt. 9:n mukainen riskienhallintajärjestelmä
  9. §1.hMarkkinoille saattamisen jälkeisen seurantajärjestelmän laatiminen, toteuttaminen ja ylläpito (Art. 72)
  10. §1.iVakavien vaaratilanteiden raportointia koskevat menettelyt (Art. 73)
  11. §1.jViestinnän hoitaminen toimivaltaisten viranomaisten, ilmoitettujen laitosten, muiden toimijoiden, asiakkaiden tai muiden sidosryhmien kanssa
  12. §1.kKaiken asiaankuuluvan dokumentaation ja tiedon kirjaamisjärjestelmät ja -menettelyt
  13. §1.lResurssienhallinta, ml. toimitusvarmuuteen liittyvät toimenpiteet
  14. §1.mVastuuvelvollisuuskehys, jossa määritellään johdon ja muun henkilöstön vastuut kaikkien tämän kohdan osa-alueiden osalta
Velvoitteita sovelletaan 2.12.2027 (Digital Omnibus; 2.8.2026 voimassa kunnes julkaistu EU:n virallisessa lehdessä).

Usein kysytyt kysymykset

Tarvitseeko PK-yritys ISO-sertifioinnin?
Ei, laki ei vaadi sertifiointia, ja toteutus saa olla suhteutettu organisaation kokoon (Art. 17(2)). Vaatimus on kirjallisuus ja kattavuus, ei sertifikaatti. ISO/IEC 42001:n periaatteet ovat hyvä runko, jos haluat valmiin rakenteen.
Kuinka laaja QMS:n pitää olla?
Niin laaja, että se kattaa lain listaamat alueet (strategia, suunnittelu ja testaus, datanhallinta, riskienhallinta, jälkiseuranta, vaaratilanteet, vastuut), pienessä organisaatiossa tämä mahtuu yhteen jäsenneltyyn dokumenttiin.
Mitä eroa on QMS:llä ja riskienhallintasuunnitelmalla?
Riskienhallinta (Art. 9) on yksi QMS:n osa-alue: QMS kuvaa koko toimintatavan, riskienhallintasuunnitelma yhden prosessin sen sisällä. Käytännössä ne viittaavat toisiinsa.
Älä kirjoita näitä papereita käsin viikkokausia.

pkai tuottaa tämän artiklan vaatimat asiakirjat (Riskienhallintasuunnitelma, Vaatimustenmukaisuuden tarkistuslista) yrityksesi tiedoilla, noin 20 minuutissa.

Aloita 590 € →
Eemil Vanhanenpkai:n perustaja. Kirjoittaa nämä oppaat ja päivittää ne lain muuttuessa, tarkistussykli 3 kuukautta.
Lähde & tarkistus. Artiklan rakenne ja sanamuoto on tarkistettu EU:n virallista lehteä (OJ L, 12.7.2024, 2024/1689) vasten. Selkokielinen selitys on pkai:n laatima eikä korvaa lakimiehen oikeudellista arviota. Lue virallinen teksti EUR-Lexissä →
Näytä artiklan tarkka rakenneteksti

Tarjoajien on otettava käyttöön laadunhallintajärjestelmä, joka varmistaa asetuksen noudattamisen ja joka dokumentoidaan järjestelmällisesti kirjallisina toimintaperiaatteina, menettelyinä ja ohjeina, ja joka kattaa vähintään (1 kohta): (a) sääntelyn noudattamista koskevan strategian (ml. vaatimustenmukaisuuden arviointimenettelyt ja muutosten hallinta); (b) suunnittelun valvonnan ja varmentamisen tekniikat ja menettelyt; (c) kehittämisen, laadunvalvonnan ja laadunvarmistuksen tekniikat ja menettelyt; (d) tarkastus-, testaus- ja validointimenettelyt (ennen kehittämistä, sen aikana ja sen jälkeen) sekä niiden tiheys; (e) sovellettavat tekniset eritelmät ja standardit sekä keinot vaatimusten täyttämiseksi, jos standardeja ei sovelleta täysimääräisesti; (f) datanhallinnan järjestelmät ja menettelyt; (g) Art. 9:n mukainen riskienhallintajärjestelmä; (h) markkinoille saattamisen jälkeinen seuranta (Art. 72); (i) vakavien vaaratilanteiden raportointimenettelyt (Art. 73); (j) viestintä viranomaisten, ilmoitettujen laitosten ja muiden toimijoiden kanssa; (k) asiakirjojen ja tietojen kirjaamisjärjestelmät; (l) resurssienhallinta (ml. toimitusvarmuus); (m) vastuuvelvollisuuskehys (johdon ja henkilöstön vastuut). Toteutuksen on oltava oikeasuhteinen tarjoajan organisaation kokoon nähden, kuitenkin suojan tasoa heikentämättä (2 kohta). Sektorikohtaisen unionin oikeuden mukaisen laadunhallintajärjestelmän piirissä olevat tarjoajat voivat sisällyttää 1 kohdan osa-alueet kyseisen lainsäädännön mukaiseen järjestelmäänsä (3 kohta). Rahoituslaitokset voivat täyttää velvoitteen rahoituspalvelulainsäädännön sisäisen hallinnoinnin sääntöjen kautta, lukuun ottamatta 1 kohdan g, h ja i alakohtia (riskienhallinta, jälkiseuranta, vaaratilanneraportointi), jotka on täytettävä erikseen (4 kohta).

Lue myös

Art. 9
Riskienhallintajärjestelmä

Korkean riskin tekoälylle on oltava jatkuva, dokumentoitu prosessi, jolla tunnistat ja pie…

Art. 16
Tarjoajien velvoitteet

Tämä on tiivistelmä kaikesta, mitä korkean riskin tekoälyn tarjoajan on tehtävä. Yksi paik…

Art. 43
Vaatimustenmukaisuuden arviointi

Ennen kuin korkean riskin tekoäly pääsee markkinoille, sen vaatimustenmukaisuus on arvioit…

Art. 72
Markkinoille saattamisen jälkeinen seuranta

Työ ei lopu käyttöönottoon: korkean riskin tekoälyn toimintaa on seurattava järjestelmälli…

← Kaikki oppaat