AI Act (Artificial Intelligence Act) er vedtaget af EU for at sikre, at kunstig intelligens udvikles og anvendes på en måde, der er sikker, etisk og med respekt for borgernes grundlæggende rettigheder. Forordningen er en del af EU’s digitale strategi og skal skabe tillid til AI-teknologi, samtidig med at innovationen understøttes.
Lovgivningen indfører en risikobaseret tilgang til regulering og stiller særligt skærpede krav til brugen af AI i områder, hvor der er høj risiko for skade på mennesker eller samfund. For organisationer, der anvender eller udvikler AI, betyder det nye pligter og potentielt store konsekvenser ved manglende efterlevelse.
Hvad er formålet med EU’s AI Act?
Formålet med AI Act er dobbelt: For det første skal forordningen beskytte borgere mod uetisk eller skadelig brug af AI – for eksempel i forbindelse med diskrimination, overvågning eller automatiske afgørelser uden menneskelig kontrol. For det andet skal den understøtte en bæredygtig udvikling af AI ved at sikre ens regler i hele EU og fremme innovation blandt virksomheder, der arbejder ansvarligt.
EU's tilgang bygger på en kategorisering af AI-systemer i fire risikoniveauer: minimal, begrænset, høj og uacceptabel risiko. Jo højere risiko et system udgør, desto strengere krav stilles der til dokumentation, kontrol og tilsyn.
Hvornår træder forordningen i kraft?
AI Act blev offentliggjort den 12. juli 2024 og trådte formelt i kraft 20 dage senere. Forordningen implementeres gradvist frem mod 2026, men flere centrale krav gælder allerede.
Fra starten af 2025 blev det forbudt at anvende AI-systemer, der udgør en uacceptabel risiko – fx social scoring, manipulation via adfærdsdata og visse former for biometrisk overvågning. I løbet af 2025 og ind i 2026 følger kravene til gennemsigtighed og ansvarlig brug, særligt for generativ AI og højrisiko-systemer. Hvis din organisation udvikler eller anvender AI i områder som rekruttering, kreditvurdering, sundhed eller kritisk infrastruktur, skal I derfor allerede nu have styr på dokumentationen.
Den fulde implementering af højrisiko-kravene forventes at være gældende fra sommeren 2026.
LÆS OGSÅ: Derfor bør GRC ikke styres i Excel
Hvem omfatter forordningen?
EU’s AI Act gælder for alle, der udvikler, udbyder eller anvender AI-systemer inden for EU, uanset hvor virksomheden er etableret. Det betyder, at også organisationer uden for EU er omfattet, hvis deres AI-løsninger bruges i Europa.
Forordningen omfatter særligt:
- Udviklere og leverandører af AI-systemer, fx softwarevirksomheder eller tech-leverandører.
- Brugere af AI, fx banker, HR-afdelinger, sundhedsinstitutioner eller offentlige myndigheder der anvender AI i beslutningsprocesser.
- Distributører og importører der bringer AI-systemer på markedet i EU.
Mange danske virksomheder vil blive direkte eller indirekte berørt, især hvis de anvender AI i områder som rekruttering, kreditvurdering, sagsbehandling eller overvågning.
Hvad betyder AI-forordningen for din organisation?
Hvis din organisation udvikler eller bruger kunstig intelligens – eller samarbejder med leverandører, der gør – stiller AI Act konkrete krav.
AI-forordningen kræver, at I:
1) Får overblik over jeres AI-systemer: Kortlæg, hvilke systemer I bruger, og vurder, om de falder ind under højrisiko-kategorien.
2) Dokumenterer jeres compliance: Højrisiko-AI skal kunne leve op til krav om datakvalitet, teknisk dokumentation, transparens, robusthed og menneskelig overvågning.
3) Informerer brugerne: Hvis jeres AI bruges i kontakt med borgere eller kunder, fx gennem chatbots eller automatiske afgørelser, skal de informeres tydeligt.
4) Har styr på governance og kontrol: AI Act skal tænkes ind i jeres eksisterende compliancestruktur, og der skal udpeges ansvarlige for tilsyn og opfølgning.
5) Fører tilsyn med leverandører: Hvis jeres AI-løsninger leveres af eksterne parter, skal I kunne dokumentere, at leverandøren lever op til reglerne både ved indkøb, implementering og drift. Samtidig bør AI-forordningen ses i sammenhæng med andre krav, fx GDPR og NIS2, så risikostyring og datasikkerhed hænger sammen på tværs af teknologi og forretning.
