AI Act (EU) 2024/1689 (AIA)

AIA bygger på en risikobaseret tilgang. Det betyder, at kravene i lovgivningen afhænger af risikoen ved anvendelsen af et AI-system – jo større risici, desto større krav. Hele den involverede kæde har et ansvar iht. reglerne, og kravene til de respektive aktører varierer afhængig af den rolle man har.  I det følgende er fokus på udvalgte forpligtelser for rollerne som udbyder og idriftsætter.


Risikobaseret tilgang

AI-forordningen definerer følgende fire risikoniveauer for AI-systemer: 
  • Uacceptabel risiko: AI-systemer, der betragtes som en klar trussel mod menneskers sikkerhed, levebrød og rettigheder, fx følelsesgodkendelse og biometrisk fjernidentifikation. 
  • Høj risiko: AI-anvendelse, der kan udgøre alvorlige risici for sundhed, sikkerhed eller grundlæggende rettigheder.
  • Begrænset risiko: Handler primært om oplysning, fx tydeligt at markere, når mennesker interagerer med en chatbot eller AI-genereret indhold fx deepfakes. 
  • Minimal eller ingen risiko: Forordningen indfører ikke regler for kunstig intelligens, der, som størstedelen af de AI-systemer, der i øjeblikket anvendes i EU, anses for at udgøre minimale risici, fx AI-aktiverede videospil eller spamfiltre. 

Hovedparten af forpligtelserne i regelsættet er relateret til højrisiko-AI-systemer, og det er derfor vigtigt, at man indledningsvist får afklaret og fastlagt, hvilken risiko, der er forbundet med anvendelsen af det pågældende AI-system. 


Trinvis ikrafttrædelse 

Ikrafttrædelse af regelsættet sker trinvist og er baseret på ovennævnte risikoniveauer. 

De datoer, det er vigtigt at være opmærksom på er: 
  • Fase 1 - 2. februar 2025: Generelle bestemmelser og forbud mod systemer med uacceptabel risiko trådte i kraft. 
  • Fase 2 - 2. august 2025: Krav til generelle AI-modeller og tilsynsmyndigheder træder i kraft. 
  • Fase 3 - 2. august 2026: Krav til højrisikosystemer træder i kraft. 
  • Fase 4 - 2. august 2027: Krav vedr. højrisiko systemer/harmoniserede produkter i annex II  



Hvad bør man gøre nu? 

Kortlægning af brug af AI og risikokategori

Det er nødvendigt, at organisationen skaber et overblik over brugen af AI for at have viden om, hvilken risikokategori, der er tale om.

Det vil bl.a. være relevant at kortlægge både interne AI-systemer og tredjepart AI-systemer, de typer af data, som AI-systemet bruger (inputdata og outputdata), kvaliteten af de data, der anvendes, kilderne til de data, som anvendes, samt sikkerhedsforanstaltninger. 

Det er vigtigt, at dokumentationen af denne brug er så tilpas grundig, at det er muligt at følge med i, om brugen af AI med tiden ændres i forhold til det forudsatte og eventuelt skifter risikokategori.  

Kortlægningen og risikovurderingen skal dokumenteres.  


Kortlægning af rolle

Man skal vide, hvilken rolle organisationen har i brugen af AI-systemet – om man er udbyder og/eller idriftsætter, da kravene også her varierer.  

Udbyder«: En fysisk eller juridisk person, en offentlig myndighed, et agentur eller et andet organ, der udvikler eller får udviklet et AI-system eller en AI-model til almen brug og bringer dem i omsætning eller ibrugtager AI-systemet under eget navn eller varemærke, enten mod betaling eller gratis.

Idriftsætter«: En fysisk eller juridisk person, en offentlig myndighed, et agentur eller et andet organ, der anvender et AI-system under sin myndighed, medmindre AI-systemet anvendes som led i en personlig ikke-erhvervsmæssig aktivitet. Dette er den typiske erhvervsbruger af et eksisterende AI-system. 


Sikring af AI-færdigheder – 2. februar 2025 

AIA indeholder regler om AI-færdigheder for at sikre den nødvendige viden og forståelse for at interagere med og anvende AI-teknologier på en ansvarlig måde. Disse regler trådte i kraft den 2. februar 2025.  

Kravene afhænger bl.a. af, hvordan man bruger AI-systemer og den kontekst, AI-systemet anvendes i.  

Relevante færdigheder afhænger også af den funktion, der er f.eks. tale om følgende:  
  • Brugere af AI-systemer bør fx være klar over, at de interagerer med et AI-system og forstå systemets funktioner, begrænsninger og beslutningsprocesser. 
  • Medarbejdere, der er ansvarlige for at implementere og overvåge AI-systemer bør fx have tilstrækkelig viden om AI-teknologier og de risici, der er forbundet med dem, fx forståelse af risikostyring, datastyring og overholdelse af lovgivningsmæssige krav. 
  • AI-udviklere bør fx have en dybdegående forståelse af de tekniske aspekter af AI, herunder algoritmer, dataanvendelse og etiske overvejelser.  
  • Ledere og beslutningstagere i organisationer, der anvender AI, bør fx have en grundlæggende forståelse af AIA og anden relevant lovgivning og de potentielle risici og fordele ved AI-teknologier. Derved sikres det, at der kan træffes informerede beslutninger om implementering og brug af AI.

Digitaliseringsstyrelsen har udarbejdet en vejledning om AI-færdigheder, som kan tilgås her: Vejledning om AI-færdigheder 


Kortlægning af behandling af personoplysninger og organisationens databeskyttelsesretlige rolle

Databeskyttelsesreglerne gælder parallelt med AIA, og det er således afgørende, at der skabes overblik over anvendelsen af personoplysninger ved udvikling, test og brug af AI-systemet; altså hvilke personoplysninger, som anvendes, om hvem, til hvilke formål, hvor længe etc.

Organisationen skal også være klar over, om behandlingen sker som led i en databehandleraftale, eller om organisationen er dataansvarlig med de forskellige krav der følger heraf.

De grundlæggende principper for behandling af personoplysninger finder anvendelse også her, altså principperne om.
  • lovlighed – hvilket behandlingsgrundlag finder anvendelse?
  • rimelighed og gennemsigtighed 
  • formålsbegrænsning
  • dataminimering
  • datakvalitet 

Oplysningspligten og rettighedskapitlet skal iagttages, ligesom evt. videregivelser og tredjelandsoverførsler skal identificeres og håndteres.  



Generelle AI-modeller - 2. august 2025

Fase 2 i udrulningen vedrører krav til “generelle AI-modeller”. Reglerne omfatter udbydere af sprogmodeller som fx ChatGPT, herunder også de virksomheder, der bruger sprogmodeller til at udvikle egne løsninger.  

Reglerne indeholder dokumentationskrav og krav om udarbejdelse af en AI-politik. 

Hvis en organisation træner en generel AI-model på egne data og stiller den til rådighed for medarbejderne, fx en ”virksomhedsspecifik GPT”, er organisationen både udbyder og idriftsætter: 

1. Udbyder: Fordi organisationen udvikler og tilpasser AI-systemet ved at træne det på egne data. 
2. Idriftsætter: Fordi organisationen implementerer og bruger AI-systemet internt blandt medarbejderne.  


Krav til udbydere af generelle AI-modeller 

Udbydere af AI-modeller til almen brug skal bl.a.: 
  1. udarbejde og løbende ajourføre den tekniske dokumentation til modellen, herunder dens trænings- og afprøvningsproces og resultaterne af evalueringen af den. 
  2. udarbejde og løbende ajourføre oplysninger og dokumentation og stille disse til rådighed for udbydere af AI-systemer, som har til hensigt at integrere AI-modellen til almen brug i deres AI-systemer. Oplysningerne og dokumentationen skal bl.a.: 
  3. give udbydere af AI-systemer mulighed for at få en god forståelse af kapaciteterne og begrænsningerne i AI-modellen til almen brug og overholde deres forpligtelser i henhold til denne forordning,
  4. indføre en politik, der overholder EU-retten om ophavsret og beslægtede rettigheder 
  5. udarbejde og offentliggøre en tilstrækkeligt detaljeret sammenfatning om det indhold, der anvendes til træning af AI-modellen til almen brug.


Højrisikosystemer - 2. august 2026 

En stor del af virksomheder i Danmark vil være omfattet af regelsættet, når tredje fase i udrulningen om højrisikosystemer og AI systemer med begrænset risiko, træder i kraft d. 2. august 2026 med krav til såvel udbydere som idriftsættere. 

Højrisikosystemer omfatter i hovedtræk følgende typer AI-systemer: 
  • Biometri og følelsesgenkendelse
  • Sikkerhedskomponenter i kritisk infrastruktur
  • Uddannelse og erhvervsuddannelse
  • Beskæftigelse, forvaltning af arbejdstagere og adgang til selvstændig virksomhed
  • Væsentlige private tjenester og væsentlige offentlige tjenester og ydelser (fx sundhed, kredit, forsikring, nødopkald)
  • Retshåndhævelse
  • Migrationsstyring, asylforvaltning og grænsekontrol
  • Retspleje og demokratiske processer 

Eksempler på højrisiko AI-systemer under AIA inkluderer: 
  • Kritisk Infrastruktur: AI-systemer, der anvendes til at styre og overvåge kritisk infrastruktur som elnet, vandforsyning og transportnetværk. Disse systemer skal sikre høj pålidelighed og sikkerhed for at undgå katastrofale fejl.
  • Uddannelse og Erhverv: AI-systemer, der bruges til at evaluere studerendes præstationer eller til at træffe beslutninger om ansættelse, forfremmelse eller afskedigelse af medarbejdere. Disse systemer skal være fri for bias og sikre retfærdige og gennemsigtige beslutningsprocesser. 
  • Retshåndhævelse og Retsvæsen: AI-systemer, der anvendes af politiet til overvågning, ansigtsgenkendelse eller risikovurdering af mistænkte. Disse systemer skal overholde strenge krav til privatliv og menneskerettigheder.
  • Sundhed og Medicin: AI-systemer, der bruges til diagnosticering, behandling eller overvågning af patienter. Disse systemer skal sikre høj nøjagtighed og pålidelighed for at undgå fejldiagnoser og skader på patienter.
  • Finansielle Tjenester: AI-systemer, der anvendes til kreditvurdering, risikostyring eller bekæmpelse af hvidvaskning af penge. Disse systemer skal være gennemsigtige og sikre, at de ikke diskriminerer visse grupper af mennesker. 


Krav til idriftsættere af højrisikosystemer 

Kravene til idriftsættere af højrisiko-AI-systemer er i hovedtræk at: 
  • Følge brugsanvisningen
  • Overdrage menneskeligt tilsyn til personer med nødvendige kompetencer
  • Hvis der er kontrol med inputdata; sikre relevans ift. formål
  • Overvåge driften af systemet og underrette udbyderen/distributøren ved risiko og hændelser
  • Opbevare logfiler, hvis disse er under idriftsætterens kontrol
  • Informere medarbejdere, hvis systemet anvendes på arbejdspladsen
  • Underrette fysiske personer, hvis AI-systemet bruges til beslutninger
  • Som offentlig myndighed: Ikke at anvende AI-systemer, som ikke er registreret i EU-database 
  • Foretage en konsekvensanalyse vedr. databeskyttelse (DPIA), hvis det er relevant 
  • Foretage en fundamental rights impact assessment (FRIA) hvis det er relevant.  


Krav til udbydere af højrisikosystemer 

Kravene til udbydere af højrisiko-AI-systemer er i hovedtræk at: 
  • Sørge for, at AI-assistenten overholder de krav, der er fastsat i afdeling 2 i AIA – risikostyring, data og datastyring, teknisk dokumentation, gennemsigtighed, logning og formidling af oplysninger, menneskeligt tilsyn og nøjagtighed, robusthed og cybersikkerhed. 
  • angive organisationens navn, registrerede firmanavn eller registrerede varemærke og kontaktadresse på AI-assistenten, eller, hvis dette ikke er muligt, på dets emballage eller i den medfølgende dokumentation, alt efter hvad der er relevant
  • have indført et kvalitetsstyringssystem 
  • opbevare dokumentation
  • opbevare de logfiler, der automatisk genereres af AI-assistenten, når logfilerne er under deres kontrol
  • sørge for, at AI-assistenten underkastes den relevante overensstemmelsesvurderingsprocedure, inden AI-assistenten bringes i omsætning eller ibrugtages
  • udarbejde en EU-overensstemmelseserklæring
  • anbringe CE-mærkningen på AI-assistenten 
  • overholde registreringsforpligtelser
  • foretage de nødvendige korrigerende tiltag og fremlægge oplysningerne 
  • efter begrundet anmodning fra en national kompetent myndighed påvise, at AI-assistenten er i overensstemmelse med kravene
  • sikre, at AI-assistenten overholder tilgængelighedskravene. 


AI systemer med begrænset risiko - 2. august 2026 


Der stilles særlige krav til gennemsigtighed for idriftsættere og udbydere af visse AI-systemer for at sikre, at brugeren ved, hvornår man interagerer med et AI-system eller ser indhold, der er skabt af AI. 


Krav til idriftsættere af AI systemer med begrænset risiko 

Idriftsættere af AI-systemer, der er beregnet til interaktion med mennesker, har f.eks. pligt til at sikre: 
  • At det oplyses at indhold fra et AI-system, der genererer eller manipulerer billed-, lyd- eller videoindhold, der udgør en deepfake, er blevet genereret kunstigt eller manipuleret.
  • At det oplyses at tekst fra et AI-system, der genererer eller manipulerer tekst, der offentliggøres med det formål at informere offentligheden om spørgsmål af offentlig interesse, er blevet kunstigt genereret eller manipuleret.  

Oplysning skal gives til de pågældende fysiske personer på en klar og synlig måde senest på tidspunktet for den første interaktion eller eksponering. 


Krav til udbydere af AI systemer med begrænset risiko 

Udbydere af AI-systemer, der er beregnet til interaktion med mennesker, har fx pligt til at sikre:  
  • At AI-systemer, der er tilsigtet at interagere direkte med fysiske personer, udformes og udvikles på en sådan måde, at de pågældende fysiske personer oplyses om, at de interagerer med et AI-system, medmindre dette er indlysende ud fra en rimeligt velinformeret, opmærksom og forsigtig fysisk persons synspunkt ud fra omstændighederne og anvendelsessammenhængen.
  • At output fra AI-systemer til almen brug, der genererer syntetisk lyd-, billed-, video- eller tekstindhold er mærket i et maskinlæsbart format og kan spores som kunstigt genereret eller manipuleret.

Brugerne skal altså oplyses om, at de skriver eller taler med et AI-system (ofte en chatbot), medmindre det er indlysende.  

Oplysning/mærkning skal gives til de pågældende fysiske personer på en klar og synlig måde senest på tidspunktet for den første interaktion eller eksponering.  


Sanktioner 

Manglende overholdelse af reglerne om forbudte AI-systemer straffes med administrative bøder på op til 35 000 000 EUR eller, hvis lovovertræderen er en virksomhed, op til 7 % af dens samlede globale årlige omsætning i det foregående regnskabsår, alt efter hvilket beløb der er størst. 

Manglende overholdelse af en af følgende forhold straffes med administrative bøder på op til 15 000 000 EUR eller, hvis lovovertræderen er en virksomhed, op til 3 % af dens samlede globale årlige omsætning i det foregående regnskabsår, alt efter hvilket beløb der er størst: 

a) forpligtelser for udbydere af højrisiko AI-systemer (artikel 16)

 [udeladt] 

e) forpligtelser for idriftsættere af højrisiko AI-systemer (artikel 26) 

 [udeladt] 

g) gennemsigtighedsforpligtelser for udbydere og idriftsættere (artikel 50). 

Afgivelse af ukorrekte, ufuldstændige eller vildledende oplysninger til bemyndigede organer eller nationale kompetente myndigheder som svar på en anmodning straffes med administrative bøder på op til 7 500 000 EUR eller, hvis lovovertræderen er en virksomhed, op til 1 % af dens samlede globale årlige omsætning i det foregående regnskabsår, alt efter hvilket beløb der er størst. 

For SMV'er, herunder iværksættervirksomheder, skal hver bøde, der er omhandlet i denne artikel, være op til den procentsats eller det beløb, der er omhandlet ovenfor alt efter hvilken af dem der er lavest.