Där det spelar roll
Ett år senare är EU AI Act mindre en ”ny regel för brittiska skolor” och mer ett nytt gravitationsfält kring edtech-marknaden. Brittiska skolor regleras inte automatiskt av EU-lag bara för att de använder AI. Däremot säljer många leverantörer som betjänar brittiska skolor också i EU, bygger produkter i EU eller förlitar sig på underbiträden baserade i EU. Det innebär att deras produktdesign, dokumentation och incidenthantering i allt högre grad speglar EU-krav. För skolor är den praktiska nyttan enkel: ni kan ställa skarpare frågor och förvänta er bättre underlag.
Lika viktigt är var det inte spelar roll. Låtsas inte att din skola är en EU-”deployer” med EU-juridiska skyldigheter om ni inte är det. Undvik att kopiera efterlevnadsspråk in i policys som om det vore bindande. Se i stället AI Act som ett ramverk av hög kvalitet för inköp och styrning. Om ni redan gör årliga kontroller av acceptabel användning och dataskydd kan ni väva in AI Act-liknande tänkande i de cyklerna; se checklistan för årlig uppdatering av policy för acceptabel AI-användning för en praktisk rytm som inte överväldigar personalen.
En karta på enkel svenska
De mest återanvändbara AI Act-idéerna för skolor handlar om risk, roll och avsett syfte. Du kan tillämpa dem utan juridisk jargong.
Risk handlar om konsekvensen om systemet har fel, är partiskt, är otillgängligt eller missbrukas. I skolkontext betyder ”höga insatser” ofta beslut om en elevs möjligheter, säkerhet eller tillgång till stöd. Tänk på ett AI-verktyg som flaggar safeguarding-oro utifrån skriftliga arbeten, eller ett som rekommenderar nivåindelade insatser. Även om verktyget bara ”föreslår” kan påverkan vara verklig.
Roll tydliggör vem som gör vad. Leverantörer är typiskt ”provider” av AI-systemet. Skolor är oftast ”kunden” och den operativa användaren. Poängen är inte etiketter; det är ansvar. Vem övervakar prestanda? Vem kan ändra inställningar? Vem utreder incidenter? Vem informerar vårdnadshavare om något går fel? Att reda ut detta tidigt förebygger det vanliga misslyckandet där alla antar att någon annan ansvarar.
Avsett syfte är den enskilt mest användbara frasen du kan låna. Fråga: vad påstår leverantören att systemet är till för, och vad använder ni det faktiskt till? Ett verktyg som marknadsförs för ”stöd vid lektionsplanering” kan vara ofarligt tills det görs om till en generator för bedömningsfeedback som används i stor skala. Inköp bör låsa avsett syfte i ert avtal och i er interna vägledning, så att personalen inte glider in i mer riskfyllda användningar av misstag. Om du vill ha ett snabbt sätt att utvärdera nya modeller och funktioner när de kommer, anpassa ett snabbprotokoll som skolbriefingen för GPT-5 på releasedagen och tillämpa det på varje större leverantörsuppdatering.
Frågor vid inköp
Se inköp som er första säkerhetskontroll. Målet är inte att ”sätta dit” leverantörer, utan att samla underlag som ni kan arkivera, återkomma till och visa för styrelse/guvernörer eller revisorer.
Här är 12 frågor att ställa till leverantörer, med en känsla för hur bra underlag ser ut:
Vad är systemets avsedda syfte i utbildning, och vilka användningar ligger uttryckligen utanför? Bra underlag inkluderar en tydlig produktbeskrivning och exempel på tillåten och otillåten användning.
Vilka data går in, vad kommer ut och vad lagras? Leta efter ett dataflödesdiagram, en gallrings-/lagringsplan och en lista över underbiträden.
Används någon elevs personuppgifter för att träna modeller? Ett starkt svar är ”nej” som standard, med ett avtalsåtagande och tekniska kontroller.
Vilka skydd finns mot bias och för tillgänglighet? Förvänta dig sammanfattningar av utvärderingar, kända begränsningar och vägledning för inkluderande användning.
Hur testar ni prestanda och tillförlitlighet i skol-liknande förhållanden? Bra underlag inkluderar testmetodik, inte bara marknadsföringspåståenden.
Vilken mänsklig tillsyn förutsätts, och vad händer om personal ignorerar den? Leta efter arbetsflödesvägledning, prompts och UI-friktion som förhindrar överberoende.
Vilken loggning är tillgänglig för skolan, och hur länge? Starkt underlag inkluderar admin-auditloggar, exportmöjligheter och rollbaserad åtkomst.
Hur hanterar ni incidenter, inklusive skadliga utdata eller dataexponering? Förvänta dig en incidenthanteringsplan, tidslinjer för notifiering och en namngiven kontaktväg.
Vilka ändringar kan ni göra utan att berätta för oss (modeller, funktioner, standardinställningar)? Bra underlag inkluderar release notes, change control och möjligheter att välja bort.
Vilka säkerhetskontroller finns på plats (kryptering, åtkomstkontroller, pen testing)? Be om en aktuell säkerhetsöversikt och oberoende assurance där det finns.
Vilken dokumentation kan ni ge för våra arkiv? Leta efter ett paket ni kan spara: stöd för DPIA, policys och tekniska anteckningar.
Kan ni stödja en exit plan? Starka svar täcker dataexport, bekräftelse på radering och tidslinjer.
Om du vill ha ett strukturerat sätt att testa leverantörspåståenden i er egen miljö, låna andan i ett klassrumsutvärderingsprotokoll som Claude-utvärderingsprotokollet, men kör det som en inköpspilot med kontrollerade data och tydliga framgångskriterier.
Riskregister i praktiken
Ett lättviktigt AI-riskregister är en levande lista över ”vad som kan gå fel, hur vi minskar det och hur vi kommer att veta”. Håll det tillräckligt kort för att det faktiskt används.
Mallfält som fungerar bra i skolor inkluderar: systemnamn och version; ägare (namngiven roll); avsett syfte; användargrupper (personal/elever); datakategorier; nivå på besluts-/påverkansgrad (låg/medel/hög); nyckelrisker (integritet, safeguarding, bias, noggrannhet, överberoende, säkerhet, bedömningsintegritet); befintliga kontroller; nödvändiga kontroller; bevis/underlag som finns (länkar till filer); kvarstående risknivå; granskningsdatum; länk till incidentlogg; och ”ändringstriggers” (till exempel modelluppdatering, ny funktion, utökad utrullning).
I praktiken kan detta se ut som en enda rad för er AI-assistent för rättning, med notering om att den inte får användas för slutbetyg, att personal måste granska utdata och att prompts måste undvika identifierbara elevuppgifter om inte en DPIA stödjer det. En annan rad kan gälla en AI-chattbot för läxhjälp, med fokus på åldersanpassning, innehållsfiltrering och hur elever rapporterar problematiska svar. Om ni redan gör terminsvisa granskningar av verktyg kan ni koppla detta till en underlagscykel som underlagspaketet för AI-revision vid läsårets slut, så att registret blir en sammanfattning snarare än ett arkivskåp.
Upptäck kraften i Automatiserad Utbildning genom att gå med i vårt community av lärare som tar tillbaka sin tid samtidigt som de berikar sina klassrum. Med vår intuitiva plattform kan du automatisera administrativa uppgifter, personifiera elevinlärning, och engagera dig med din klass som aldrig förr.
Låt inte administrativa uppgifter överskugga din passion för att undervisa. Registrera dig idag och förvandla din utbildningsmiljö med Automatiserad Utbildning.
🎓 Registrera dig GRATIS!
Dokumentation du kan hålla uppdaterad
Revisionsredo dokumentation handlar inte om volym; det handlar om konsekvens. Sikta på en liten uppsättning filer som ni faktiskt kan hålla aktuella.
Arkivera en ensidig ”AI system record” per verktyg (avsett syfte, användare, data, inställningar, tillsyn och förbjudna användningar). Lägg till leverantörens underlagspaket (avtal, säkerhetsanteckningar, lista över underbiträden, ändringsloggar). Spara er DPIA eller integritetskonsekvensanteckning där det är relevant, samt ett kort personalblad som matchar hur verktyget används på er skola. Slutligen: håll en incident- och ändringslogg: vad som ändrades, vem som godkände det och vad som kommunicerades.
Ägarskap spelar roll. En fungerande modell är: IT äger teknisk konfiguration och åtkomst; DPO (eller dataskyddsansvarig) äger DPIA och personuppgiftsbiträdesvillkor; safeguarding-ansvariga äger risker för barns säkerhet och rapporteringsvägar; ämnes-/bedömningsansvariga äger acceptabel pedagogisk användning; guvernörer eller en delegerad kommitté äger tillsyn och ifrågasättande. Granskningscykler kan vara terminsvisa för verktyg med hög påverkan och årliga för verktyg med låg påverkan, med omedelbar granskning utlöst av större produktförändringar. Om du behöver ett praktiskt utrullningsmönster för ”privacy-by-default”, är minimum viable back-to-school AI toolkit en användbar mall att anpassa.
Operativa kontroller
Kontroller bör passa skolans verklighet: upptagen personal, blandad trygghet och snabba verktygsuppdateringar. Mänsklig tillsyn är ert ankare. Gör det tydligt när AI får utforma utkast men inte fatta beslut, och när en ”second-adult check” krävs. Till exempel: om AI föreslår safeguarding-nyckelord utifrån elevtexter bör personal se det som en signal att granska sammanhang, inte som en dom.
Loggning förbises ofta tills något går fel. Säkerställ att adminloggar visar vem som använde verktyget, vilka inställningar som ändrades och när. För verktyg som används i klassrummet: överväg om ni behöver aktivitetsloggar för safeguarding och uppföljning av beteende, och hur länge ni ska behålla dem.
Incidentrapportering behöver en enkel väg. Personal ska veta vad de ska göra om ett AI-verktyg producerar sexuellt innehåll, hatfullt språk eller lämnar ut personuppgifter. Ett kort formulär länkat från ert safeguarding- eller IT-helpdesk-system räcker oftast, förutsatt att någon triagerar det snabbt och dokumenterar utfall.
Change management är den dolda risken. Många AI-system ändrar beteende när den underliggande modellen uppdateras. Kräv att leverantörer meddelar er om väsentliga ändringar, och sätt en intern regel: inga nya funktioner slås på utan en namngiven godkännare och en uppdaterad ”AI system record”. Till och med en kort, terminsvis INSET-mikrorutin kan hålla praktiken i linje; INSET day AI workshop micro-routines är ett praktiskt sätt att få in detta utan att göra det till en efterlevnadsövning.
Linjering med brittisk vägledning
Även om EU AI Act inte är er direkta regelbok bör er styrning ändå linjera med brittiska förväntningar. Bedömningsintegritet är ett tydligt exempel. Där kvalifikationer eller formella bedömningar ingår bör era kontroller stödja autenticitet, transparens och lämplig användning av AI-stöd. I praktiken betyder det tydlig personalvägledning om gränser för feedback, elevdeklarationer där det krävs och konsekvent hantering av misstänkt fusk.
Linjering med dataskydd är lika central. Ett ICO-liknande angreppssätt förväntar tydlighet kring laglig grund, minimering, transparens, säkerhet, lagringstider och hantering av personuppgiftsbiträden. Era leverantörsfrågor och er dokumentationsuppsättning bör göra dessa punkter lätta att styrka. Linjering med safeguarding betyder åldersanpassad åtkomst, innehållskontroller, rapporteringsvägar och personalutbildning som behandlar AI-utdata som opålitliga tills de kontrollerats.
Om ni också mappar AI-verktyg mot läroplan och undervisningsförväntningar, håll styrningen kopplad till implementeringsplanering snarare än separerad från den. National Curriculum AI implementation pack kan hjälpa er att hålla pedagogik, compliance och inköp i takt.
En 30-dagarsplan
På 30 dagar kan ni gå från ”vi har AI-verktyg” till ”vi kan styrka säker användning”. Under vecka ett bör SLT enas om en kort lista med godkända AI-användningsfall och utse ägare för inköp, dataskydd, safeguarding och bedömningsintegritet. IT kan inventera nuvarande verktyg och stänga av ohanterade tillägg där det är möjligt. Under vecka två: genomför leverantörsfrågor för era tre främsta verktyg utifrån användning eller risk, och skriv ensidiga AI system records för varje. Under vecka tre: skapa det lättviktiga riskregistret och kom överens om incidentrapporteringsvägar, inklusive vad som räknas som en internt anmälningspliktig fråga. Under vecka fyra: håll en kort personalbriefing om avsett syfte, förbjudna användningar och hur man rapporterar oro, och schemalägg sedan första granskningsdatumet och uppdateringen till guvernörer.
Gör man detta väl handlar det inte om att jaga en EU-etikett. Det handlar om att bygga vanan att ställa bättre frågor, behålla underlag ni kan hitta och göra det enklare för personal att använda AI tryggt inom tydliga ramar.
Mot lugnare inköpsmöten och tydligare revisionsspår framöver,
The Automated Education Team