EU’s AI Act forklaret: Hvad din organisation skal vide nu

Skrevet af Anders Schultz-Møller

Konsekvenserne er større, end mange tror 

Lad os tale tal. Organisationer, der ikke overholder EU’s AI-forordning, risikerer bøder på op til 35 mio. euro eller 7 % af den globale årlige omsætning alt efter, hvad der er højest. Det er ikke teoretiske scenarier. Håndhævelsen trådte i kraft den 2. august 2025, og de forbudte AI-praksisser har været underlagt håndhævelse siden 2. februar 2025. 

Andre typer overtrædelser kan udløse bøder på op til 15 mio. euro eller 3 % af den globale omsætning, mens selv det at give urigtige oplysninger til tilsynsmyndighederne kan medføre bøder på op til 7,5 mio. euro eller 1 % af omsætningen. Til sammenligning kan disse bøder overstige niveauet under GDPR for organisationer af tilsvarende størrelse. 

Det, der holder mange compliance- og risikochefer vågne om natten, er dette: Mange organisationer ved stadig ikke, hvilke AI-systemer de faktisk bruger, og slet ikke hvilken risikokategori de systemer hører til. 

Det handler ikke kun om AI-udviklere

En af de største misforståelser om EU’s AI-forordning er, at den kun vedrører virksomheder, der udvikler AI-systemer. Virkeligheden er langt bredere. 

Forordningen skelner mellem: 

• Udbydere (providers), som udvikler eller væsentligt ændrer AI-systemer 

• Anvendere (deployers), som bruger AI-systemer under deres eget ansvar 

Hvis I bruger tredjepartsværktøjer med AI – måske et rekrutteringssystem med CV-screening, en kundeservice-chatbot eller et automatisk kreditvurderingssystem – så er I anvendere med konkrete juridiske forpligtelser. 

Den geografiske rækkevidde er lige så omfattende. Forordningen gælder også for organisationer uden for EU, hvis outputtet fra et AI-system bliver brugt inden for EU. 

Et firma i Singapore, der bruger AI til at screene jobansøgninger til sit kontor i Berlin? Omfattet. Et amerikansk softwarehus, hvis europæiske kunder bruger dets AI-drevne analyser? Også omfattet. 

Det betyder, at HR-chefer, der anvender rekrutterings-AI, kundeserviceledere, der bruger chatbots, og finansafdelinger, der anvender automatiseret kreditvurdering, deler ansvaret for overholdelse. Det er ikke kun et IT-anliggende. 

Forstå det risikobaserede rammeværk 

EU’s AI-forordning arbejder med en lagdelt tilgang, hvor AI-systemer kategoriseres efter deres potentielle skadevirkning. Jeres forpligtelser øges i takt med systemets risikoniveau. 

Forbudt AI (uacceptabel risiko) 

Visse AI-praksisser er direkte forbudt fra 2. februar 2025. Det gælder blandt andet: 

• Sociale scoringssystemer, der vurderer eller klassificerer mennesker baseret på adfærd eller personlige karakteristika 

• Biometriske kategoriseringssystemer, der forsøger at udlede følsomme oplysninger som race, politiske holdninger eller seksuel orientering 

• Følelsesgenkendelse i arbejdsmæssige eller uddannelsesmæssige sammenhænge 

• AI, der udnytter sårbarheder hos specifikke grupper 

Hvis jeres organisation anvender nogen af disse systemer, betyder compliance, at brugen skal ophøre straks. 

Højrisiko-AI 

Det er her, de fleste organisationers compliance-arbejde kommer til at ligge. Højrisiko-AI omfatter systemer, der bruges inden for blandt andet beskæftigelse, uddannelse, kreditvurdering og retshåndhævelse. 

Hvis I bruger AI til at: 

• Screene CV’er eller rangordne kandidater 

• Træffe beslutninger om forfremmelse eller afskedigelse 

• Vurdere kreditansøgninger eller forsikringsrisiko 

• Tildele uddannelsesmuligheder eller evaluere studerendes præstationer 

så arbejder I med højrisiko-AI. Her kræves der kvalitetsstyringssystemer, menneskelig overvågning, omfattende dokumentation og regelmæssige audits. Fuld overholdelse for højrisiko-systemer skal være på plads senest den 2. august 2026. 

Begrænset risiko 

Kundeservice-chatbots, AI-genereret indhold og deepfakes falder typisk i denne kategori. Hovedforpligtelsen her er gennemsigtighed: Brugere skal tydeligt informeres, når de interagerer med et AI-system frem for et menneske, og AI-genereret indhold skal markeres som sådant. 

Minimal risiko 

Spamfiltre, AI-understøttede computerspil og simple lagerstyringssystemer vil ofte tilhøre kategorien minimal risiko, hvor der ikke er særlige krav under AI-forordningen ud over de generelle regler for produktsikkerhed. 

 

 

Kravet om AI-læsefærdigheder: Jeres første compliance-deadline 

Noget mange organisationer har overset: En af de tidligst håndhævelige bestemmelser i EU’s AI-forordning handler ikke om teknik eller dokumentation. Den handler om mennesker. 

Artikel 4 kræver, at alle udbydere og anvendere af AI-systemer sikrer, at deres personale og andre personer, der arbejder med brugen og driften af AI-systemer, har et “tilstrækkeligt niveau af AI-læsefærdigheder”. Det betyder, at de skal have viden og færdigheder til at træffe informerede beslutninger om brugen af AI, og forstå både muligheder og risici. 

Denne forpligtelse trådte i kraft den 2. februar 2025 og er derfor en af de første bestemmelser, der allerede håndhæves. 

Hvad betyder “tilstrækkelige AI-læsefærdigheder” i praksis? Det er ikke nok at bede medarbejdere om at “læse manualen” eller sende en generel mail om AI-politik. Kravet er både rollebaseret og kontekstafhængigt. 

En HR-chef, der bruger rekrutterings-AI, har brug for noget andet viden end en kundeserviceleder, der arbejder med chatbots, eller en udvikler, der bygger AI-systemer. 

Organisationen skal kunne dokumentere, at: 

• Medarbejdere ved, hvilke AI-systemer organisationen bruger 

• Personalet kan identificere de risici, der er forbundet med de konkrete systemer 

• Medarbejdere kender deres forpligtelser efter AI-forordningen i relation til deres roller 

• Der findes løbende træning, efterhånden som AI-systemer ændres, eller nye systemer tages i brug 

Det her er ikke en engangsøvelse. AI-læsefærdigheder skal vedligeholdes og opdateres i takt med, at jeres AI-landskab udvikler sig. 

 

Sådan bygger I en AI-klar organisation 

Compliance med EU’s AI-forordning er i høj grad en organisatorisk udfordring, ikke kun en juridisk. Sådan griber fremsynede virksomheder det an. 

1. Lav et overblik over jeres AI-systemer 

Man kan ikke styre det, man ikke kender. Start med en systematisk kortlægning af alle AI-systemer, I bruger, herunder: 

• Tredjepartssoftware med AI-komponenter 

• Interne AI-værktøjer eller modeller 

• Shadow AI (uautoriserede AI-værktøjer, som medarbejdere måske allerede bruger) 

• AI, der er indbygget i større platforme (CRM-systemer, HR-systemer osv.) 

For hvert system bør I dokumentere formål, risikokategori, datakilder, rolle i beslutningsprocesser og, hvem i organisationen der har ansvar for anvendelsen. 

2. Kortlæg eksisterende videnshuller om AI 

Før I ruller træning ud, er det vigtigt at kende udgangspunktet. Kortlæg medarbejdernes nuværende niveau på tværs af afdelinger. Forstår de, hvilke AI-systemer de bruger? Kan de identificere potentielle risici? Ved de, hvornår menneskelig overvågning er påkrævet? 

Denne kortlægning hjælper jer med at designe rollebaseret træning, der adresserer faktiske videnshuller i stedet for generelle AI-kurser uden direkte relevans. 

3. Indfør rollebaseret AI-awareness-træning 

Generiske kurser er ikke nok. 

• HR-medarbejdere skal forstå kravene til højrisiko-AI i rekruttering, herunder bias og menneskelig kontrol. 

• Kundeserviceledere skal kende gennemsigtighedskravene for chatbots og vide, hvornår der skal ske eskalation til et menneske. 

• Indkøb skal vide, hvilke spørgsmål der skal stilles til AI-leverandører. 

Overvej at opbygge læringsforløb for forskellige målgrupper: 

• Ledere og bestyrelse: Strategisk AI-styring, ansvar og tilsyn 

• HR og rekruttering: Højrisiko-systemer, biasreduktion, krav om menneskelig overvågning 

• Kundefront og support: Gennemsigtighed, tydelig information til kunder, eskalationsveje 

• IT- og data-teams: Tekniske krav, dokumentationsstandarder, sikkerhedsforpligtelser 

• Alle medarbejdere: Grundlæggende AI-læsefærdigheder, acceptabel brug, hvordan man melder bekymringer 

Organisationer, der ønsker en struktureret tilgang til AI-compliance-træning, kan bruge programmer som AI Awareness Training, der er designet til at adressere AI-forordningens krav til AI-læsefærdigheder på tværs af roller i organisationen. 

4. Udarbejd klare AI-politikker 

Lav skriftlige politikker, der beskriver: 

• Hvad der anses for acceptabel AI-brug 

• Godkendelsesprocesser for nye AI-systemer 

• Risikovurderinger af AI 

• Eskalations- og rapporteringsprocedurer 

Politikkerne skal være levende dokumenter, der opdateres, når jeres brug af AI eller reguleringen ændrer sig. 

5. Etabler tværgående AI-governance 

AI-governance kan ikke leve isoleret i enten jura eller IT. Nedsæt en tværfaglig arbejdsgruppe med repræsentanter fra jura, compliance, IT, HR, drift og relevante forretningsområder. Gruppen bør løbende: 

• Vurdere nye AI-implementeringer 

• Kontrollere overholdelse af AI-forordningen 

• Identificere og lukke videnshuller om AI 

• Reagere på regulatoriske opdateringer 

6. Overvej at udpege en AI-ansvarlig 

Mange organisationer opretter nu en dedikeret rolle som AI-ansvarlig eller AI Officer, der koordinerer AI-projekter, sikrer compliance og driver initiativer omkring AI-læsefærdigheder. Personen fungerer som bindeled mellem tekniske teams, ledelse og compliance, så organisationens tilgang til AI hænger sammen. 

7. Dokumentér alt 

Når tilsynsmyndighederne banker på, er dokumentation jeres stærkeste forsvar. Sørg for at gemme detaljerede registreringer af: 

• Træningsaktiviteter 

• Vurderinger af AI-systemer 

• Politikker og beslutninger omkring AI 

• Gennemførte compliance-tiltag 

For højrisiko-systemer er dokumentation direkte påkrævet. For alle systemer viser solid dokumentation, at organisationen handler i god tro og arbejder seriøst med compliance. 

 

Fra byrde til konkurrencefordel

Her ligger den oversete mulighed: AI-compliance handler ikke kun om at undgå bøder. Virksomheder, der aktivt opbygger AI-kompetencer og governance, positionerer sig til bæredygtig, ansvarlig AI-anvendelse. 

• Når hele organisationen forstår både muligheder og begrænsninger ved AI, træffer I bedre beslutninger om, hvilke systemer der skal implementeres. 

• Når medarbejderne kan identificere AI-relaterede risici, fanger I problemerne, før de bliver til kriser. 

• Når governance og beslutningsveje er klare, kan I rykke hurtigere på nye AI-muligheder, fordi godkendelses- og vurderingsprocesser allerede er på plads. 

Organisationer, der venter til august 2026 med at tage højrisiko-AI alvorligt, vil komme på bagkant. Dem, der investerer i AI-literacy og governance nu, vil opleve, at compliance bliver lettere – og at de får langt mere ud af deres AI-investeringer. 

Sådan kommer I i gang: en simpel handleplan 

Hvis det hele føles overvældende, så start småt – men start nu: 

Denne måned: 

• Lav en første inventarliste over AI-systemer 

• Vurder, hvilke systemer der kan være højrisiko under AI-act 

• Undersøg et udsnit af medarbejdere for at afdække deres nuværende AI-viden 

Næste måned: 

• Sæt AI-awareness-træning i gang for relevante teams 

EU’s AI-forordning er et grundlæggende skifte i måden, organisationer skal arbejde med kunstig intelligens på. Men i modsætning til mange andre reguleringer er hovedkravet – at opbygge AI-kompetencer på tværs af organisationen – noget, der skaber reel værdi. 

Medarbejdere, der forstår AI, træffer bedre beslutninger, spotter risici hurtigere og bruger værktøjerne mere effektivt. 

De organisationer, der kommer til at trives under AI-forordningen, er ikke dem, der ser reglerne som et nødvendigt onde, men dem, der betragter AI-literacy som en strategisk kapabilitet – og bruger kravene som fundament for ansvarlig og effektiv AI-anvendelse. 

Er I klar til at opbygge AI-kompetencer på tværs af organisationen? I kan fx udforske, hvordan AI Awareness Træning kan hjælpe jeres teams med at forstå de AI-compliance-krav, der gælder for netop deres roller – fra HR-chefer, der bruger rekrutterings-AI, til topledere med ansvar for AI-governance. 

EU’s AI-forordning er her. Spørgsmålet er: Er jeres organisation klar?