You are Here

AI Act forklaret for danske virksomheder

Guides, Overblik & Viden Uncategorized
AI Act forklaret for danske virksomheder

Hvis din virksomhed allerede bruger AI til rekruttering, kundeservice, markedsføring eller produktudvikling, er du tættere på regulering, ansvar og dokumentationskrav, end de fleste tror.

Den nye EU-forordning AI Act ændrer spillereglerne for, hvordan AI må udvikles, købes og bruges i praksis. I denne artikel får du et overblik over, hvad AI Act er, hvorfor den er relevant allerede nu, og hvordan du trin for trin kan etablere AI-governance og compliance uden at kvæle innovationen. Du får også konkrete eksempler, typiske faldgruber og en realistisk tilgang til omkostninger og indsats.

Hvad er AI Act (kort og præcist), og hvorfor betyder den noget?

AI Act er EU’s fælles regelsæt for kunstig intelligens, som indfører krav til sikkerhed, transparens, risikostyring og ansvarlig brug baseret på, hvor risikabelt et AI-system er. Det betyder noget, fordi mange AI-løsninger påvirker mennesker direkte: hvem der får et lån, bliver indkaldt til samtale, får en diagnose, eller hvilke informationer kunder ser og tror på.

Forordningen arbejder med et risikobaseret hierarki: fra forbudte anvendelser, over højrisiko-systemer med omfattende krav, til systemer med mere begrænsede transparenskrav. Kernen er enkel: jo større potentiel skade, desto større krav til dokumentation, kontrol og menneskelig overvågning.

Mini-konklusion: Hvis AI kan påvirke rettigheder, sikkerhed eller væsentlige beslutninger, bør du allerede nu behandle det som et compliance-emne — ikke kun et IT-projekt.

Hvorfor er AI Act relevant allerede nu – også før alt er “fuldt i kraft”?

Jeg ser ofte den samme misforståelse i virksomheder: “Vi venter, til deadline er tættere på.” Problemet er, at AI Act ikke kun handler om at skrive en politik; det handler om at kunne dokumentere praksis på tværs af data, modeller, leverandører og beslutningsprocesser. Det tager tid at få styr på.

Tre konkrete grunde til at starte nu

  • Indkøb og kontrakter låser jer fast: Har I købt AI som SaaS eller integreret en model i et kernesystem, kan det være dyrt at ændre senere. Krav til audit, logning og dokumentation bør ind i kontrakten fra start.
  • Data og procesdisciplin kan ikke hastes: Hvis I først ved implementering opdager manglende datagrundlag, uklare formål eller svag adgangsstyring, bliver compliance et brandslukningsprojekt.
  • Risikoen eksisterer allerede: Diskrimination, fejlbeslutninger, hallucinationer og datalæk sker nu. Regulering følger efter, men skaden rammer med det samme.

AI Act spiller sammen med GDPR og andre krav

AI Act står ikke alene. I praksis vil den typisk krydse med GDPR (persondata og automatiserede beslutninger), NIS2 (cybersikkerhed), MDR (medicinsk udstyr), produktansvar og interne krav fra kunder og koncerner. Mange virksomheder mærker derfor reguleringen indirekte først: en kunde kræver dokumentation, en revisor spørger til kontroller, eller HR får klager over et screeningsværktøj.

Mini-konklusion: Det tidlige arbejde med governance reducerer både juridisk risiko og driftsrisiko — og gør jer bedre til at købe og bruge AI klogt.

Hvilke AI-systemer rammes typisk – og hvad er “højrisiko” i praksis?

AI Act skelner mellem flere kategorier, men i hverdagen er det vigtigste at kunne afgøre: “Er dette højrisiko?” Mange bliver overraskede over, hvor ofte svaret kan være ja.

Eksempler på situationer, der ofte kan være højrisiko

  • Rekruttering: screening af CV’er, rangering af kandidater eller videointerviews med analyse.
  • Kredit og forsikring: scoring, prisfastsættelse eller afvisning.
  • Uddannelse: vurdering, optag eller overvågning ved eksamen.
  • Kritisk infrastruktur og sikkerhed: driftsovervågning, adgangskontrol, alarmsystemer.
  • Sundhed: klinisk beslutningsstøtte eller triage-løsninger.

Generative AI og transparenskrav

Chatbots og generative modeller er ikke automatisk højrisiko, men de kan udløse specifikke krav til transparens og risikostyring — især hvis de bruges i processer, hvor output kan påvirke mennesker væsentligt. Et klassisk eksempel: kundeservice-bot, der giver rådgivning om opsigelser, refusioner eller klageadgang. Fejl kan skabe både økonomisk tab og juridiske konflikter.

Mini-konklusion: Begynd med en simpel klassificering af jeres use cases, ikke jeres teknologi. Det er anvendelsen og konsekvensen, der driver kravene.

AI-governance: sådan ser et “minimum viable” setup ud

AI-governance lyder tungt, men det kan bygges pragmatisk. Målet er at skabe en gentagelig måde at beslutte, dokumentere og kontrollere AI på, så I kan skalere brugen sikkert. Jeg anbefaler at starte med et minimum viable governance-setup, der kan udvides, når porteføljen vokser.

Roller og ansvar, der typisk skal på plads

  • Systemejer: forretningsansvar for formål, effekt og risici.
  • Model-/AI-ansvarlig: teknisk drift, performance, ændringer og monitorering.
  • Dataansvarlig: datakilder, kvalitet, rettigheder, retention.
  • Compliance/jura: kravfortolkning, DPIA/risikovurderinger, kontrakter.
  • Security: adgangsstyring, logging, incident response.

De vigtigste governance-artefakter (dokumenter) i praksis

  1. AI-registrering: en central liste over alle AI-use cases, leverandører, data og formål.
  2. Risikoklassificering: lav/medium/høj + begrundelse og beslutningsdato.
  3. Kontrolplan: test, godkendelse, monitorering, fallback og “human-in-the-loop”.
  4. Change management: hvad kræver re-godkendelse (nye data, ny model, nyt formål)?
  5. Hændelsesproces: hvordan håndterer I fejloutput, bias-sager, datalæk og klager?

Mini-konklusion: Governance handler mindre om papir og mere om at kunne svare klart på: Hvem ejer det, hvordan er det testet, og hvad gør vi, når det fejler?

Compliance i hverdagen: fra risikovurdering til løbende kontrol

De virksomheder, der lykkes, behandler AI som et produkt med livscyklus, ikke som en engangs-implementering. Det gælder både internt byggede modeller og indkøbte løsninger.

Et godt sted at samle forståelse og krav er at læse en samlet introduktion til AI Act og derefter oversætte kravene til jeres konkrete use cases og leverandørsetup.

Sådan griber du risikovurdering an (praktisk metode)

En brugbar risikovurdering kan ofte laves på 2–4 workshops med de rigtige mennesker. Brug en matrix med “konsekvens” og “sandsynlighed”, og vær konkret. Eksempler på spørgsmål, der skaber klarhed:

  • Hvilken beslutning påvirker AI, og hvem rammer den?
  • Kan et fejloutput føre til afslag, udelukkelse eller økonomisk tab?
  • Hvilke datatyper indgår (persondata, følsomme data, børns data)?
  • Hvordan opdager vi fejl, og hvor hurtigt kan vi stoppe systemet?
  • Hvordan forklarer vi output til en kunde eller kandidat på 2 minutter?

Kontroller, der typisk giver mest værdi pr. investeret time

Hvis du skal prioritere, så start her:

  • Input- og output-logging (med passende dataminimering): så I kan undersøge hændelser.
  • Baseline-tests: kvalitet, robusthed og “edge cases” før go-live.
  • Bias-checks på relevante grupper, især ved HR og kredit.
  • Human review ved grænsetilfælde og ved høj konsekvens.
  • Monitorering for drift: performance over tid, data drift, prompt-misbrug.

Mini-konklusion: Compliance bliver håndterbar, når I standardiserer vurdering og kontrol, så hvert nyt AI-tiltag ikke starter fra nul.

Hvad koster AI Act-arbejdet, og hvordan budgetterer man realistisk?

“Hvad koster det?” er et legitimt spørgsmål. Svaret afhænger primært af porteføljens størrelse, risikoniveau og hvor moden jeres data- og sikkerhedspraksis er. Mange undervurderer især tiden til at få styr på leverandører og dokumentation.

Som tommelfingerregel ser jeg ofte tre omkostningsdrivere:

  • Proces og mennesker: workshops, governance, træning og løbende review.
  • Teknik: logging, adgangsstyring, monitorering, testmiljøer.
  • Leverandør- og kontraktarbejde: due diligence, audit-rettigheder, databehandleraftaler og SLA’er.

Et konkret sammenligningspunkt: Hvis I allerede er stærke på GDPR, informationssikkerhed og change management, kan I ofte bygge AI-governance ovenpå eksisterende processer og skære væsentligt ned på “nyt” arbejde. Hvis I derimod har mange uformelle AI-eksperimenter i afdelingerne, vil oprydningen typisk koste mest.

Mini-konklusion: Budgettér ikke kun til implementering; budgettér til drift. AI-compliance er en løbende disciplin, ligesom sikkerhed og privatliv.

Typiske faldgruber (og hvordan du undgår dem)

De samme fejl går igen på tværs af brancher. De er sjældent tekniske i første omgang — de er organisatoriske.

Faldgrube 1: “Vi bruger kun AI til inspiration”

Mange teams siger, at output kun er vejledende, men i praksis bliver det brugt som beslutningsgrundlag. Det gælder især i pressede funktioner som kundeservice og HR. Modtræk: dokumentér tydeligt, hvor AI må bruges, og hvor menneskelig beslutning er påkrævet. Indfør stikprøvekontrol af faktisk brug.

Faldgrube 2: Uklare datarettigheder og “skygge-IT”

Hvis medarbejdere kopierer kundedata ind i et generativt værktøj uden aftale, kan du have både GDPR- og kontraktbrud. Modtræk: godkendte værktøjer, klare retningslinjer, tekniske spærrer hvor nødvendigt, og træning med realistiske eksempler (ikke kun policy-PDF’er).

Faldgrube 3: Manglende leverandørkontrol

Indkøbt AI bliver ofte behandlet som en sort boks. Men AI Act og god praksis kræver, at du kan forstå begrænsninger, testgrundlag og drift. Modtræk: kræv dokumentation, testmuligheder, change logs og klare ansvarsplaceringer i kontrakten. Hvis leverandøren ikke kan levere dette, er det et rødt flag.

Mini-konklusion: De største risici kommer sjældent af “ond” AI, men af uklar brug, manglende dokumentation og svag kontrol med leverandører.

Bedste praksis: en 30-60-90 dages plan til at komme i gang

Hvis du vil fra intention til handling, så brug en plan med korte iterationer. Her er en pragmatisk 30-60-90 dages tilgang, der fungerer i både SMB og større organisationer.

0–30 dage: Få overblik og stop de værste huller

  • Lav en AI-registrering: hvilke værktøjer, hvilke teams, hvilke data, hvilket formål.
  • Definér en midlertidig godkendelsesproces for nye AI-use cases.
  • Udpeg systemejere og et lille AI-governance-forum (kan være virtuelt).
  • Indfør minimumsregler for generativ AI (hvad må ikke deles, og hvad skal logges).

31–60 dage: Klassificér og etabler kontroller

  • Risikoklassificér top 10 use cases efter konsekvens og rækkevidde.
  • Lav standard-skabeloner til risikovurdering, test og go-live-accept.
  • Aftal krav til leverandører: dokumentation, sikkerhed, support og ændringsstyring.
  • Planlæg monitorering: hvem ser alarmer, og hvad er “stop-knappen”?

61–90 dage: Operationalisér og træn organisationen

  • Kør 1–2 pilotforløb med fuld governance (fra idé til drift) og justér skabelonerne.
  • Træn nøglefunktioner: HR, kundeservice, marketing, produkt og IT.
  • Definér KPI’er: fejlrate, eskalationer, klager, modeldrift, compliance-afvigelser.
  • Forankr en fast cadence: månedligt review af AI-porteføljen og hændelser.

Mini-konklusion: Den hurtigste vej til compliance er ikke at skrive lange politikker, men at indføre små, faste rutiner, der gør ansvar og kvalitet målbar.

Sådan gør du AI til en konkurrencefordel uden at løbe unødige risici

Når AI Act rammer markedet, vil mange gøre det til et afkrydsningsprojekt. De virksomheder, der får mest ud af indsatsen, bruger den i stedet til at professionalisere, hvordan AI skaber værdi: bedre beslutninger, mere stabile processer og færre overraskelser.

Praktisk erfaring viser, at troværdighed og dokumentation ofte accelererer AI-implementering, fordi forretningen tør bruge løsningerne bredere, når rammerne er klare. Det er samme mekanik, vi har set med modenhed inden for GDPR og informationssikkerhed: de teams, der kan dokumentere, kan også skalere.

Mini-konklusion: Start nu med et realistisk governance-setup, prioritér højrisiko-use cases først, og byg compliance ind i drift — så bliver AI Act ikke en bremse, men en struktur, der gør jeres AI mere robust og værdiskabende.

Share
Facebook Twitter Pinterest Linkedin

Related Posts