Hvor Meget Vil EU’s AI-Act Faktisk Påvirke Dit Virksomhed?

Da nye bestemmelser træder i kraft, her er, hvad virksomheder virkelig behøver at vide om overholdelse

2. februar 2025 markerede den første store milepæl i udviklingen af Den Europæiske Unions AI-Act, med bestemmelser, der forbyder forbudte AI-praksisser og kræver, at organisationer sikrer, at deres medarbejdere har tilstrækkelig viden, færdigheder og forståelse om, hvordan AI fungerer, dens risici og dens fordele (AI-litteracy). Nu markerer 2. august 2025 en anden kritisk vending, da forpligtelserne for generelle formål AI-modeller er trådt i kraft.

AI-Acten gælder for dem, der sælger, importerer eller gjort AI-systemer eller generelle formål AI-modeller tilgængelige i EU, uanset om de er baseret i EU eller ej. Den gælder også for virksomheder baseret i EU, der bruger AI-systemer eller -modeller.

Selvom virksomheder er ærligt bekymret over AI-overholdelsesforpligtelser, vil virkeligheden for de fleste virksomheder være mindre dramatisk end bestemmelserne måske kommer til at se ud på første hånd.

Som den, der driver en global virksomhed, der bruger AI omfattende i vores dokumentstyringssystem, har jeg selv måttet navigere i denne regulering. Sandheden er, at for det overvældende flertal af virksomheder, er AI-Acten meget mere håndterbar, end den først kommer til at se ud – ligesom GDPR syntes overvældende fra et amerikansk perspektiv, men viste sig at være arbejdbar, når man først forstod principperne.

Men til forskel fra GDPR’s enkeltlige implementeringsdato, udvikles AI-Acten i faser. Med bøder op til 35 millioner euro eller 7% af den globale omsætning og en kritisk gennemføring lige bag os og en anden stor frist foran os, er det afgørende at få overholdelsesstrategien ret.

Hvor Vi Er På Tidslinjen

Pr. august 2025 er forpligtelserne for Generelle Formål AI (GPAI)-modeller nu i kraft – og dette berører langt flere virksomheder, end de fleste realiserer. Hvis du bruger grundmodeller som GPT-5, Claude eller Llama i dine produkter, kan du arve overholdelsespligter, selv hvis du betragter dig selv som kun en “bruger” af modellen.

Forpligtelserne omfatter at demonstrere overholdelse af ophavsretten i træningsdata, gennemførelse af modstandstest for sikkerhedssvagheder, implementering af robuste sikkerhedsforanstaltninger og tilvejebringelse af detaljeret teknisk dokumentation om modellens kapaciteter og begrænsninger.

Mange SaaS-virksomheder antager, at de er undtaget, fordi de ikke udvikler modeller fra bunden. Men hvis du er med til at finjustere eller på anden vis ændre modeller, kan du finde dig selv underlagt GPAI-forpligtelser. Grænsen mellem “brug” og “tilbyde” AI-systemer er bevidst bred i reguleringen.

2. august 2026 er den store milepæl at holde øje med. Inden denne dato skal AI-systemer, der er klassificeret som “højrisiko”, opfylde omfattende overholdelseskrav. Omfanget er bredere, end mange virksomheder forventer, og forpligtelserne er betydelige.

Højrisikoklassificeringer omfatter systemer, der bruges til rekruttering og ansættelse, kreditscoring og finansielle beslutninger, uddannelsesvurdering, medicinsk diagnose, sikkerhedskritisk infrastruktur og lovenkræftende anvendelser. Hvis dit AI-værktøj hjælper med at bestemme, hvem der bliver ansat, godkendt til lån, optaget på programmer eller diagnosticeret med tilstande, er du sandsynligvis omfattet.

Der er en byrde forbundet med dette. Du skal have omfattende risikostyringssystemer med løbende overvågning, teknisk dokumentation, der beviser systemets sikkerhed og pålidelighed, datakvalitetsstandarder med revision af træningsdataintegritet, automatisk logging af alle systembeslutninger og -operationer, meningsfuld menneskelig oversigt med mulighed for at intervenere i realtid og CE-mærkning med tredjeparts konformitetstest.

Dette handler ikke bare om at tilføje en disclaimer til din website. Højrisikosystemer kræver den type af kvalitetsstyringssystemer, der normalt ses i medicinsk apparatur eller bil-sikkerhedssystemer.

At Forstå Risikokategorierne

AI-Acten opererer på en firetrins, risikobaseret tilgang, der er mere nuanceret, end mange realiserer.

• Uacceptabel Risiko (Forbudt): Disse AI-anvendelser er forbudt – sociale score-systemer, manipulerende AI, der rammer sårbare grupper, realtidsbiometrisk identifikation i offentlige rum (med begrænsede undtagelser for lovenkræftende myndigheder) og følelsesgenkendelse på arbejdspladser eller skoler.
• Høj-Risiko (Tungt Reguleret, Men Tilladt): Dette er, hvor mange virksomheder bliver overrasket. Som nævnt ovenfor, omfatter højrisikoanvendelser resume-screening og ansættelsesværktøjer, kreditscoring og låneunderstøttelsessystemer, medicinske diagnostiske enheder, sikkerhedssystemer i transport (autonome køretøjer, trafikstyring), uddannelsesvurderingsværktøjer, lovenkræftende anvendelser og kritisk infrastrukturstyring.
• Begrænset Risiko (Gennemsigtighed Kræves): Disse systemer omfatter primært AI, der interagerer direkte med mennesker eller genererer indhold, der kan forveksles med menneskeskabt materiale. Dette omfatter chatbots, virtuelle assistenter og AI-systemer, der skaber syntetisk medie som deepfakes eller manipulerede billeder og videoer. For disse anvendelser er den primære regulatoriske krav gennemsigtighed – brugere skal tydeligt informeres, når de interagerer med et AI-system i stedet for et menneske, eller når indhold er blevet kunstigt genereret.
• Minimal Risiko: De fleste AI-anvendelser falder i denne minimale risikokategori, der dækker systemer, der udgør lille trussel mod grundlæggende rettigheder eller sikkerhed. Disse omfatter almindelige virksomhedsredskaber som spam-filtre, lagerstyringssystemer, grundlæggende analyseplatforme, anbefalingsmotorer for indhold eller produkter og automatiseret kundeservice-rute. For minimale risikosystemer er der næsten ingen specifikke regulatoriske forpligtelser under AI-Acten ud over generelle krav som AI-litteracy for medarbejdere.

Hvis du falder i kategorierne “Uacceptabel eller Høj-Risiko”, er gennemsigtighed alene ikke nok. Hvis du falder et andet sted, er overholdelseskravene håndterbare.

Foundation Model Ripple Effekten

Den 2. august 2025 GPAI-frist, der lige er passeret, fortjener særlig opmærksomhed, da den skaber en ripple-effekt i hele AI-økosystemet. Foundation model-udbydere som OpenAI, Anthropic og Meta har måttet implementere nye overholdelsesforanstaltninger, og disse krav flyder ned til deres enterprise-kunder.

Hvis du bygger på disse modeller, skal du forstå din model-udbyders overholdelsesposture og hvordan det påvirker dine egne forpligtelser. Nogle model-udbydere kan begrænse bestemte brugsområder, andre kan overføre overholdelsesomkostninger i form af højere priser eller nye serviceniveauer.

Virksomheder bør gennemgå deres AI-levykæde nu, hvis de ikke allerede har gjort det. Dokumentér, hvilke modeller du bruger, hvordan du tilpasser dem, og hvilke data, der flyder gennem dem. Denne opgørelse vil være afgørende for at forstå dine nuværende GPAI-forpligtelser og forberede dig på 2026 højrisikosystemkravene.

At Komme Foran Kurven

AI-Acten repræsenterer verdens første omfattende AI-regulering, og vi er nu midt i dens fasede udvikling. Med GPAI-forpligtelser nu i kraft og den store højrisikosystemfrist nærmer sig i august 2026, er virksomheder, der betragtede GDPR som en byrde, mistede muligheden for at omdanne privatliv til en differentiator. Gør ikke den samme fejl med AI-styring.

De virksomheder, der vil have det sværest, er dem, der bliver fanget uforberedt, når gennemføringen intensiveres. De, der bygger ansvarligt i dag, vil finde, at overholdelse forbedrer snarere end hindrer deres AI-strategi. Der er stadig tid til at komme foran kurven – men vinduet lukker hurtigt.