EU AI Act — Guide for Danske Virksomheder
Alt du behøver at vide om EU's AI Act og de nye krav til kunstig intelligens for danske virksomheder inden august 2026
EU AI Act — Guide for Danske Virksomheder
Hvad er EU AI Act?
EU AI Act er verdens første omfattende lovgivning om kunstig intelligens[1]. Forordningen blev vedtaget i juni 2024 og regulerer udvikling, udbud og brug af AI-systemer i hele EU. Målet er at sikre, at AI bruges ansvarligt, etisk og med respekt for grundlæggende rettigheder — uden at kvæle innovation.
For danske virksomheder er dette særligt relevant, fordi næsten alle nu bruger AI-værktøjer i en eller anden form: fra ChatGPT og GitHub Copilot til automatiserede beslutningssystemer og AI-drevet kundeservice. Med hovedhåndhævelsesfristen den 2. august 2026 er der kun få måneder til at forberede sig.
Vigtige tal:
- Bøder op til €35 millioner eller 7% af global årsomsætning[1]
- 4 risikoniveauer for AI-systemer[2]
- Omfatter alle virksomheder der bruger eller udvikler AI i EU
- Fuld håndhævelse fra 2. august 2026[1]
Tidslinje for AI Act implementering
AI Act implementeringsfaser (2024–2027)
AI Act følger en trinvis implementering[1]:
- August 2024: Forordningen træder i kraft
- Februar 2025: Forbudte AI-praksisser bliver ulovlige (social scoring, manipulativ AI, m.v.)
- August 2025: Regler for general-purpose AI-modeller (GPAI) som GPT-4, Claude og Gemini gælder
- August 2026: Fuld håndhævelse af alle krav, herunder højrisiko-AI-systemer
- August 2027: Udvidede krav til højrisiko-AI i allerede regulerede produkter (medicinsk udstyr, maskiner, m.v.)
Risikoklassificering
AI Act anvender en risikobaseret tilgang, hvor kravene til AI-systemer stiger med risikoniveauet[2]. Dette er den mest centrale del af forordningen at forstå.
De 4 risikoniveauer
Estimeret fordeling af AI-systemer efter risikoklasse
Uacceptabel risiko (forbudt): Disse AI-systemer er helt forbudt i EU[1]:
- Social scoring af borgere (som i Kina)
- Manipulativ AI der udnytter sårbare grupper
- Biometrisk masseovervågning i realtid i offentlige rum
- Scraping af ansigtsbilleder fra internettet til ansigtsgenkendelses-databaser
Høj risiko: Underlagt strenge krav til dokumentation, test og overvågning:
- AI i rekruttering og HR-beslutninger
- AI i kreditvurdering og forsikring
- AI i sundhedssektoren og medicinsk udstyr
- AI i uddannelsessystemer (eksamensvurdering, optag)
- AI i kritisk infrastruktur (energi, transport, vand)
- AI i retshåndhævelse og migration
Begrænset risiko: Primært gennemsigtighedskrav:
- Chatbots og virtuelle assistenter
- AI-genereret indhold (tekst, billeder, video)
- Deepfakes og syntetiske medier
- Emotionsgenkendelsessystemer
Minimal risiko: Ingen specifikke krav (størstedelen af AI-systemer):
- Spam-filtre
- AI i computerspil
- Anbefalingssystemer
- Oversættelsesværktøjer
💡 Tip: De fleste danske SMV'er bruger primært AI-systemer i kategorien "minimal" eller "begrænset" risiko. Men tjek grundigt — bruger I AI til rekruttering, kreditvurdering eller kundeprofilering, kan systemet falde i "høj risiko"-kategorien.
Hvem er omfattet?
AI Act har et bredt anvendelsesområde og omfatter flere roller i AI-værdikæden[1][2]:
| Rolle | Beskrivelse | Eksempler |
|---|---|---|
| Udbydere (Providers) | Udvikler eller markedsfører AI-systemer | OpenAI, Microsoft, danske AI-startups |
| Brugere (Deployers) | Anvender AI-systemer i erhvervsmæssig sammenhæng | Danske virksomheder der bruger ChatGPT, AI-rekruttering |
| Importører | Bringer AI-systemer fra tredjeland ind i EU | Distributører af ikke-EU AI-produkter |
| Distributører | Gør AI-systemer tilgængelige på EU-markedet | Forhandlere, software-resellers |
Vigtigt for danske SMV'er: De fleste danske virksomheder er "deployers" — I bruger AI-systemer udviklet af andre. Men som deployer har I stadig forpligtelser under AI Act, herunder at sikre korrekt brug og overvåge systemernes funktion[1].
Nøglekrav pr. august 2026
Krav til højrisiko-AI-systemer
Fra 2. august 2026 skal alle højrisiko-AI-systemer opfylde følgende[1]:
1. Risikostyringssystem: Et dokumenteret system til løbende identificering, analyse og håndtering af risici ved AI-systemet. Risikostyringen skal dække hele systemets livscyklus.
2. Data governance: Trænings-, validerings- og testdata skal opfylde kvalitetskrav. Data skal være relevant, repræsentativt og så fejlfrit som muligt for at undgå bias og diskrimination.
3. Teknisk dokumentation: Omfattende dokumentation af systemets formål, funktion, begrænsninger, træningsdata, test og performance. Dokumentationen skal muliggøre myndighedstilsyn.
4. Logning og sporbarhed: Automatisk logning af systemets operationer for at muliggøre overvågning og efterforskning af hændelser.
5. Gennemsigtighed og information: Brugere skal modtage klare instruktioner om systemets formål, funktionalitet, begrænsninger og risici.
6. Menneskeligt tilsyn: Der skal etableres passende menneskeligt tilsyn, så menneskelige operatører kan overvåge og om nødvendigt gribe ind i systemets beslutninger.
7. Nøjagtighed, robusthed og cybersikkerhed: Systemer skal designes og udvikles med passende niveauer af nøjagtighed, robusthed og cybersikkerhed.
Krav til alle deployers (brugere)
Selv virksomheder der kun bruger andres AI-systemer har forpligtelser[2]:
- Sikre at AI-systemer bruges i overensstemmelse med udbydernes instruktioner
- Overvåge AI-systemers funktion og rapportere alvorlige hændelser
- Gennemføre konsekvensanalyser for grundlæggende rettigheder (for højrisiko-systemer)
- Informere berørte personer om brugen af AI i beslutningsprocesser
- Opbevare logs genereret af AI-systemer
⚠️ Vigtigt: Selv hvis du "bare" bruger ChatGPT eller en AI-baseret rekrutteringsplatform, har du som deployer selvstændige forpligtelser under AI Act. Uvidenhed er ikke en undskyldning.
Gennemsigtighedsforpligtelser
Gennemsigtighed er et centralt princip i AI Act, og der gælder specifikke krav uanset risikoniveauet[1][2]:
Chatbots og AI-assistenter: Brugere skal altid informeres om, at de interagerer med et AI-system. Denne information skal gives klart og tydeligt, inden eller senest ved begyndelsen af interaktionen.
AI-genereret indhold: Tekst, billeder, lyd og video genereret af AI skal mærkes som AI-genereret. Dette gælder uanset om indholdet deles offentligt eller i en erhvervsmæssig kontekst.
Deepfakes: Kunstigt genererede eller manipulerede billeder, lyd eller video af eksisterende personer eller steder skal mærkes tydeligt som kunstigt genereret eller manipuleret. Undtagelser gælder for åbenlyse kunstneriske eller satiriske formål.
Emotionsgenkendelse: Hvis et AI-system detekterer følelser eller kategoriserer biometriske data, skal de berørte personer informeres om dette på forhånd.
SMV-fordele
EU har erkendt, at AI Act kan være byrdefuld for mindre virksomheder, og har derfor indført en række lempelser[1][3]:
- Reducerede gebyrer: SMV'er betaler lavere gebyrer for certificering og overensstemmelsesvurdering
- Regulatoriske sandkasser: Medlemsstater skal oprette AI-sandkasser, hvor SMV'er kan teste og udvikle AI-systemer under tilsyn, inden de bringes på markedet
- Proportionale forpligtelser: Kravene til dokumentation og compliance skal være proportionale med virksomhedens størrelse og risikoprofil
- Prioriteret adgang: SMV'er og startups får prioriteret adgang til sandkasseordninger
- Vejledning: Europa-Kommissionen skal udarbejde specifik vejledning rettet mod SMV'er
💡 Tip: Hold øje med Dansk Standard[4] og Erhvervsstyrelsen for information om danske AI-sandkasser og SMV-specifikke vejledninger. De forventes lanceret i løbet af 2026.
5 praktiske skridt til compliance
Skridt 1: Kortlæg jeres AI-brug
Start med en komplet oversigt over alle AI-systemer I bruger eller udvikler:
- Hvilke AI-værktøjer bruges i organisationen? (ChatGPT, Copilot, AI-rekruttering, chatbots, m.v.)
- Hvem bruger dem, og til hvad?
- Hvilke data behandles af AI-systemerne?
- Hvem er udbyderen af hvert system?
Skridt 2: Klassificér risikoen
For hvert identificeret AI-system:
- Bestem risikoniveauet (uacceptabel, høj, begrænset, minimal)
- Vær særligt opmærksom på AI der bruges til beslutninger om mennesker (rekruttering, kreditvurdering, kundeservice)
- Dokumentér klassificeringen og begrundelsen
Skridt 3: Implementer nødvendige sikkerhedsforanstaltninger
Baseret på risikoniveauet:
- Høj risiko: Implementer fuldt risikostyringssystem, dokumentation, logning og menneskeligt tilsyn
- Begrænset risiko: Sørg for gennemsigtighedskrav (mærkning af AI-interaktion, AI-genereret indhold)
- Minimal risiko: Overvej frivillige adfærdskodekser
Skridt 4: Dokumentér alt
- Opret og vedligehold teknisk dokumentation for hvert AI-system
- Dokumentér jeres politikker og procedurer for AI-brug
- Bevar logs og audit trails
- Registrer konsekvensanalyser for højrisiko-systemer
Skridt 5: Uddannelse og awareness
- Træn medarbejdere i ansvarlig AI-brug
- Sørg for at ledelsen forstår AI Act-kravene og virksomhedens forpligtelser
- Etabler klare retningslinjer for indkøb af nye AI-systemer
- Udpeg en ansvarlig for AI-compliance i organisationen
Forholdet til GDPR
AI Act og GDPR er tæt forbundne, da mange AI-systemer behandler persondata[1][2]. Det er vigtigt at forstå, hvordan de to forordninger supplerer hinanden.
| Aspekt | GDPR | AI Act |
|---|---|---|
| Fokus | Persondata | AI-systemer (alle typer data) |
| Retsgrundlag | Samtykke, kontrakt, m.v. | Risikoklassificering |
| Rettigheder | Indsigt, sletning, portabilitet | Gennemsigtighed, menneskeligt tilsyn |
| Bøder (max) | €20M / 4% af omsætning | €35M / 7% af omsætning |
| DPO krav | Ja, i visse tilfælde | Nej (men anbefalet) |
Overlap og interaktion:
- AI-systemer der behandler persondata skal overholde både GDPR og AI Act
- GDPR's krav om konsekvensanalyser (DPIA) suppleres af AI Act's krav om konsekvensanalyser for grundlæggende rettigheder
- Retten til ikke at være underlagt automatiserede beslutninger (GDPR artikel 22) styrkes af AI Act's krav om menneskeligt tilsyn
- Dokumentation og logning under AI Act understøtter GDPR's krav om ansvarlighed
💡 Tip: Hvis I allerede er GDPR-compliant, har I et godt fundament for AI Act-compliance. Mange af de samme principper — dokumentation, konsekvensanalyser, gennemsigtighed — går igen.
Sanktioner og bøder
AI Act indfører et differentieret bødesystem baseret på overtrædelsens type og alvorlighed[1]:
Maksimale bøder i millioner euro efter overtrædelsestype
| Overtrædelse | Max bøde (virksomheder) | Max bøde (SMV'er) |
|---|---|---|
| Forbudte AI-praksisser | €35M eller 7% af omsætning | Lavere beløb, proportionalt |
| Overtrædelse af højrisiko-krav | €15M eller 3% af omsætning | Lavere beløb, proportionalt |
| Fejlagtige oplysninger til myndigheder | €7,5M eller 1% af omsætning | Lavere beløb, proportionalt |
For SMV'er og startups gælder de laveste af de angivne beløb, men sanktionerne er stadig betydelige. Håndhævelsen varetages af nationale myndigheder i samarbejde med det nyoprettede European AI Office.
⚠️ Vigtigt: Bøderne under AI Act kan potentielt være højere end under GDPR. For forbudte AI-praksisser er maksimumsanktionen €35 millioner eller 7% af global omsætning — næsten det dobbelte af GDPR's maksimumsanktion.
Sådan kan Infobits hjælpe
✅ Infobits kan hjælpe dig med:
- Kortlægning af jeres AI-brug og risikoklassificering
- Implementering af gennemsigtighedskrav for chatbots og AI-genereret indhold
- GDPR og AI Act-compliant databehandling
- Teknisk rådgivning om ansvarlig AI-implementering
- Dokumentation og compliance-strategi for AI-systemer
AI Act er kompleks, men med den rigtige tilgang kan danske virksomheder sikre compliance og samtidig udnytte AI's potentiale ansvarligt. Kontakt Infobits for en uforpligtende samtale om jeres AI Act-behov — send en email til [email protected].
Kilder og Referencer
- EU AI Act - Forordning (EU) 2024/1689https://eur-lex.europa.eu/eli/reg/2024/1689
- EU AI Act Explorerhttps://artificialintelligenceact.eu
- Europa-Kommissionen - AI Acthttps://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
- Dansk Standard - Kunstig intelligenshttps://www.ds.dk/da/fagomraader/kunstig-intelligens