20 89 99 66

EU AI Act i Danmark: hvad betyder den for din SMV?

Christoffer OhlsenChristoffer Ohlsen·
AI er i din forretning, også når du bruger en chatbot eller ChatGPT. EU AI Act kigger på hvad systemet gør, ikke hvad du kalder det, og derfor kan du få pligter som bruger.

Jeg går igennem risikoklasserne med eksempler, hvornår AI bliver højrisiko i HR, bank og kundeservice, og hvad du skal have styr på: formål, data, logning, menneskelig kontrol og leverandørspørgsmål.
SMV der arbejder med EU AI Act compliance i Danmark og AI governance på kontor

Hvorfor EU AI Act rammer flere end man tror

De fleste danske SMV'er tænker ikke over det, men EU AI Act er allerede trådt i kraft. Den fulde implementering ruller ind i faser frem mod august 2026, og det er ikke kun de store tech-giganter, der skal holde tungen lige i munden.

Mange virksomheder bruger i dag AI uden at tænke over det som et AI system. De bruger ChatGPT til at skrive mails, et analyseredskab der sorterer i leads, eller et automatiseringssetup der behandler indgående dokumenter. Det føles som et praktisk værktøj. Men EU AI Act ser på det fra en anden vinkel, nemlig hvilken funktion det udfylder og hvilken indflydelse det har på mennesker.

Det er den tanke, der er afgørende at forstå. Loven kigger ikke på, om du kalder det AI eller ej. Den kigger på, om systemet udleder noget, laver forudsigelser, klassificerer eller anbefaler, baseret på data og en model. Og det dækker langt mere, end de fleste forestiller sig.

Som dansk SMV er det fristende at tænke, at det her nok mest gælder de store. Men det gør det ikke. Forordningen gælder for alle, der bruger AI systemer i EU, uanset om du bygger dem selv, køber dem færdige, eller bare abonnerer på en tjeneste der har AI i bundtet.

Når en chatbot pludselig bliver et AI system

ForeStil dig, at du har sat en chatbot op på din hjemmeside. Den besvarer spørgsmål om åbningstider, håndterer simple henvendelser og eskalerer de svære sager til en medarbejder. Det lyder fredeligt. Men lad os se nærmere på, hvad den rent faktisk gør.

Hvis chatbotten bruger en sprogmodel til at fortolke og generere svar, og hvis den på nogen måde påvirker, hvad en bruger gør eller beslutter, så er det et AI system i lovens forstand. Det er ikke et spørgsmål om størrelse eller kompleksitet. Det er et spørgsmål om funktion.

EU AI Act definerer et AI system som et maskinbaseret system, der er designet til at operere med varierende grader af autonomi, og som genererer output som forudsigelser, anbefalinger, beslutninger eller indhold, der påvirker fysiske eller virtuelle miljøer. Det er en bred definition, og det er med vilje.

En simpel FAQ-bot der bare matcher nøgleord mod statiske svar? Sandsynligvis ikke et AI system. En chatbot der forstår naturligt sprog, genererer svar dynamisk og husker kontekst i samtalen? Det er et AI system. Og så gælder reglerne.

Hvad der udløser ansvar hos dig og ikke leverandøren

Her er det, som de fleste SMV'er overser fuldstændigt. EU AI Act skelner mellem udbydere og brugere. En udbyder er den, der bygger og bringer AI systemet på markedet. En bruger er den, der anvender det i en forretningsmæssig sammenhæng.

Når du køber adgang til et AI redskab fra en stor softwareleverandør, er de udbyderen. Men du er brugeren. Og som bruger har du stadig pligter. Du har ansvar for, at systemet bruges korrekt og inden for dets tilsigtede formål. Du har ansvar for, at dine medarbejdere ved, hvad systemet kan og ikke kan. Og du har ansvar for, at der er menneskelig kontrol der, hvor loven kræver det.

Kort sagt: din leverandørs compliance løser ikke din compliance. Det er en fejltagelse, mange begår. De antager, at fordi de bruger et velkendt produkt fra en stor leverandør, er de automatisk dækket ind. Men ansvaret som bruger er dit. Det gælder dokumentation, risikovurdering og brugerinformation.

Det praktiske spørgsmål du skal stille dig selv er: bruger vi AI systemer i en kontekst, der kan påvirke medarbejdere, kunder eller andre menneskers rettigheder og muligheder? Svaret er oftere ja end nej.

Risikoklasser i AI Act forklaret med hverdags eksempler

EU AI Act inddeler alle AI systemer i risikoklasser. Det er det vigtigste princip i hele forordningen. Jo højere risikoen er for at skade mennesker, des strengere er kravene. Og det er den logik, du skal bruge som SMV, når du skal afgøre, hvad der kræver opmærksomhed og hvad der bare kan bruges fredeligt.

Der er fire niveauer: forbudt, høj risiko, begrænset risiko og minimal risiko. Dertil kommer en særskilt kategori for generative AI modeller med stor indflydelse, men den er primært relevant for dem, der udvikler og distribuerer selve modellerne, ikke dem der bruger dem via API. Som SMV er det de tre midterste niveauer, der har størst praktisk betydning for dig.

Det der adskiller klasserne fra hinanden er ikke teknologien i sig selv, men det formål systemet bruges til, og hvilken indflydelse det har på rigtige menneskers liv. En sprogmodel er ikke farlig i sig selv. Men bruger du den til at sortere jobansøgninger eller vurdere kreditansøgninger, så rykker du pludselig ind i en helt anden risikozone med tilhørende dokumentationskrav, gennemsigtighedskrav og krav om menneskelig kontrol.

Minimal risiko, typiske skrive og assistentværktøjer

Den langt største del af de AI redskaber, som danske SMV'er bruger i dag, falder i kategorien minimal risiko. Det dækker alt fra AI skriveredskaber og oversættelsesfunktioner til AI baserede spamfiltre og billedredigeringsværktøjer.

Der er ingen specifikke lovkrav for disse systemer ud over de generelle krav om overholdelse af GDPR og grundlæggende forbrugerlovgivning. Det betyder ikke, at du kan gøre hvad du vil, men det betyder, at du ikke behøver at opbygge et tungt dokumentationsapparat for at bruge ChatGPT til at skrive nyhedsbreve.

Her er det dog stadig god praksis at have et minimum af intern styring. Hvem bruger hvad, til hvad formål, og hvad må der ikke lægges ind? Det er ikke lovkrav ved minimal risiko, men det er fornuftigt i forhold til datasikkerhed og GDPR og AI sammenhæng, da de to regelsæt overlapper hinanden på mange punkter.

Begrænset risiko, når kunder skal informeres

Begrænset risiko handler primært om transparens overfor dem, der interagerer med systemet. Hvis din virksomhed bruger en AI i kundeservice der kommunikerer direkte med kunder, skal disse kunder have besked om, at de taler med kunstig intelligens og ikke et menneske.

Det lyder enkelt, men der er detaljer der gør det relevant. Det gælder ikke kun chatbots. Det gælder også AI genereret indhold, der kan forveksles med menneskeproduceret indhold, og AI systemer der generer billeder, lyd eller video. Deepfakes og syntetisk indhold har fået sin egen opmærksomhed i forordningen.

For en typisk SMV med en AI chatbot i kundeservice er kravet konkret og håndterbart. Brugeren skal tydeligt informeres om, at de interagerer med et automatiseret system. Det kan løses med en enkelt linje i starten af samtalen. Men det skal ske. Og det skal dokumenteres.

Høj risiko, når AI påvirker job, lån eller adgang

Højrisiko AI systemer er dem, der kan have alvorlig indflydelse på menneskers grundlæggende rettigheder, adgang til tjenester eller livsmuligheder. Her er kravene markant skrappere, og det er her, mange SMV'er uden at vide det rammer grænsen.

De typiske højrisiko kategorier, der er relevante for danske SMV'er, er AI til HR og rekruttering som CV sortering og vurdering af kandidater, AI i bank og forsikring som kreditvurdering og risikomodeller, og AI der bruges til at tage beslutninger om adgang til uddannelse, social støtte eller essentielle tjenester.

Krav ved højrisiko AI systemer inkluderer:
  • Risikovurdering og dokumentation af systemet og dets formål
  • Logning og sporbarhed af systemets beslutninger
  • Menneskelig kontrol og godkendelsesmulighed
  • Gennemsigtighed overfor dem, der er berørt af beslutningerne
  • Robusthed og sikkerhed i systemets drift
  • Overholdelse af databeskyttelse og GDPR og AI sammenhæng
Hvis du bruger et rekrutteringsredskab med AI baseret rangering af ansøgere, er det et højrisiko AI system. Det er ligegyldigt, om det er et tredjeparts AI værktøj du bare har abonneret på. Du som bruger har stadig pligter.

De 8 ting en SMV bør have styr på, før I ruller AI ud

Her er det, det bliver konkret og praktisk. Mange artikler om EU AI Act ender i juridisk tågesnak, der ikke hjælper nogen til at tage en beslutning på mandag morgen. Jeg vil gøre det anderledes. Herunder er de otte ting, der faktisk giver mening at tage stilling til som dansk SMV, inden du ruller et nyt AI system ud.

Du behøver ikke en advokat til alle otte punkter. Du har brug for en times struktureret tænkning, en intern snakkebobble med de relevante folk, og et enkelt dokument, du kan genbruge. Det er ikke raketvidenskab. Men det er heller ikke noget, du kan udskyde til "når vi vokser os større", for EU AI Act gælder allerede nu.

Formål, datakilder og hvem der må bruge hvad

Det første og vigtigste spørgsmål du skal stille er: hvad skal AI systemet gøre, hvilke data bruger det, og hvem i organisationen har adgang til det? Det lyder basalt, men det er præcis dét, AI compliance i Danmark handler om i praksis.

For hvert AI system du bruger, skal du kunne svare på, hvad det er designet til at gøre, hvilke datakilder og modelkort der ligger bag det, om systemet behandler personoplysninger og i så fald hvilke, og hvem internt der er ansvarlig for systemet og dets brug. Det er ikke tung jura. Det er intern kontrol af AI som enhver fornuftig virksomhed burde have, uanset lovkrav.

Logning, versioner og hvem der godkender ændringer

Når et AI system opdateres, skifter det adfærd. Et redskab der i dag sorterer CVer på én måde, gør det måske anderledes næste uge, fordi leverandøren har opdateret modellen. Det kræver, at du har styr på versioner og ændringer.

Logning og sporbarhed er et eksplicit krav for højrisiko AI systemer, men det er god praksis for alle systemer, der bruges i forretningsmæssige beslutninger. Hvem godkendte, at vi skiftede til version 3? Hvad ændrede sig? Hvem blev informeret? Et simpelt versionsdokument og en intern godkendelsesproces er nok til at starte med.

Menneske i midten, hvornår skal der trykkes godkend

Et af kernekravene i EU AI Act er, at menneskelig kontrol og indgriben er mulig der, hvor AI systemet påvirker vigtige beslutninger. Det kaldes "human in the loop", og det er ikke bare et teknisk begreb. Det er et organisatorisk spørgsmål.

Stil dig selv disse spørgsmål:
  • Hvilke beslutninger i vores virksomhed bliver AI involveret i?
  • Er der altid en medarbejder, der kan gribe ind og ændre AI systemets output?
  • Ved medarbejderne, hvornår de bør stille spørgsmålstegn ved AI systemets anbefaling?
  • Er der en klar proces for, hvornår en beslutning eskaleres til et menneske?
Det er ikke et spørgsmål om at have menneskelig kontrol til alt. Det er et spørgsmål om at have det der, hvor det betyder noget for den berørte person.

Spørgsmål du kan stille din AI leverandør i morgen

Du er ikke alene om ansvaret. Din AI leverandør har som udbyder en lang række forpligtelser, og det er helt rimeligt at spørge dem ind til, hvad de konkret gør for at opfylde kravene i EU AI Act. Det er faktisk et af de bedste konkurrenceparametre, du kan bruge, når du vælger imellem tredjeparts AI værktøjer.

En seriøs leverandør har svarene klar. Og hvis de ikke har, er det et rødt flag. AI ansvar i virksomheden fordrer, at du ved nok om dine leverandørers praksis til at kunne dokumentere din egen brug. Det er ikke paranoia. Det er fornuftig risikostyring AI.

Herunder er to af de vigtigste spørgsmål du kan stille allerede i morgen. Ikke som en stor juridisk undersøgelse, men som en naturlig del af enhver leverandørsamtale om AI.

Hvor behandles data, og bliver prompts gemt

Datasikkerhed og AI er uadskillelige emner. Når dine medarbejdere sender en prompt til et AI system, sender de potentielt fortrolig information ud af virksomheden. Det kan være kundeinformationer, interne procesdata, forretningshemmeligheder eller personoplysninger.

Spørg din leverandør direkte: Hvor befinder serverne sig, er de indenfor EU, og gemmer I vores prompts og svar til træning af modeller? Det er spørgsmål, du har krav på at få svar på. Mange leverandører tilbyder enterprise aftaler, hvor data ikke bruges til træning, og hvor al behandling foregår indenfor EU. Men du skal spørge aktivt efter det. Det kommer ikke af sig selv.

Sammenhængen mellem GDPR og AI er desuden direkte relevant her. Hvis prompts indeholder personoplysninger, er du som bruger dataansvarlig. Din leverandør er databehandler. Der skal foreligge en databehandleraftale, og du skal vide, hvad de behandler på dine vegne.

Hvad kan I dokumentere, hvis tilsynet spørger

Det danske AI tilsyn er under opbygning, og de nationale myndigheder er ved at afklare, hvem der fører tilsyn med hvad. Men det kommer. Og det er bedre at have dokumentationen klar end at finde ud af, at du mangler den den dag det bliver aktuelt.

Spørg din leverandør om de kan levere dokumentation for: risikovurdering af systemet, præcisionsdata og kendte begrænsninger, datakilder og modelkort der beskriver, hvad modellen er trænet på, og en beskrivelse af menneskelig kontrol i systemet. Seriøse leverandører af AI systemer med høj risiko er faktisk forpligtet til at levere dele af den dokumentation til brugerne. Brug det aktivt.

En pragmatisk måde at komme i gang uden panik

AI governance og AI compliance i Danmark behøver ikke at føles som en bjergbestigning. Den største fejl danske SMV'er begår er at lade det hele stå stille, fordi det virker overvældende. Og den næststørste fejl er at starte med den mest avancerede og risikable use case, fordi den virker mest imponerende.

Den klogeste strategi er den simple: start lavt, mål det, der virker, og byg derfra med en dokumentation du kan genbruge. Det er præcis den tilgang, der giver mening ud fra et risikostyring AI perspektiv, og det er den tilgang, der faktisk holder i virkeligheden, når en virksomhed ikke har en juridisk afdeling med fem mand.

Start med lav risiko, mål effekt, og udvid derfra

Vælg den use case, der løser et konkret problem i hverdagen, og som falder i kategorien minimal eller begrænset risiko. Det kan være AI til at udkaste skriftligt materiale, AI til at opsummere mødereferater, eller AI til at hjælpe med kategorisering af indgående henvendelser.

Mål effekten. Hvor meget tid sparer det? Hvad er fejlraten? Er der noget, medarbejderne finder frustrerende eller misvisende ved systemets output? Brug de data til at bygge din næste beslutning på. Du opbygger dermed intern erfaring med AI systemer, du får dokumenteret en konkret gevinst, og du har en solid base at stå på, når du på et tidspunkt vil bevæge dig ind i mere komplekse og potentielt højrisiko scenarier.

Lav en enkel AI politik på én side, som folk læser

Du behøver ikke et 40-siders regelsæt. Du har brug for et enkelt dokument, der beskriver jeres AI politik virksomhed internt. Ét side. Ikke mere. Det skal svare på fem spørgsmål:

1. Hvad må vi bruge AI til? Beskriv de tilladte formål.
2. Hvad må vi ikke sende ind i AI systemer? Personoplysninger, fortrolige data, kundeinformation.
3. Hvilke redskaber er godkendte? En liste over de konkrete AI redskaber, I har valgt og vurderet.
4. Hvem er ansvarlig? Hvem ejer politikken og holde den opdateret.
5. Hvad gør vi, hvis noget går galt? En simpel eskalationsproces.

Det er ikke raketvidenskab. Men det er et dokument, der signalerer, at I tager AI ansvar i virksomheden alvorligt. Det er det, medarbejdere, kunder og samarbejdspartnere leder efter, når de spørger ind til jer som AI-brugende virksomhed.

Det vigtigste er at komme i gang med åbne øjne

EU AI Act Danmark er ikke her for at stoppe jer i at bruge kunstig intelligens. Den er her for at sikre, at I bruger det på en måde, der er gennemsigtig, ansvarlig og kontrolleret. For langt de fleste danske SMV'er er det hverken kompliceret eller dyrt at leve op til.

Denne artikel har givet dig et overblik over, hvornår et AI system faktisk er et AI system i lovens forstand, hvad de forskellige risikoklasser betyder i praksis med eksempler fra hverdagen, hvilke otte konkrete ting du bør have styr på, de vigtige spørgsmål du kan og bør stille dine AI leverandører, og en pragmatisk vej frem der starter simpelt og bygger videre derfra.

AI forordningen er ikke en straf. Den er i virkeligheden en mulighed for at bygge den tillid hos kunder og medarbejdere, som mange virksomheder allerede efterspørger. Og jo tidligere du lægger det grundlag, des nemmere er det at skalere din AI brug trygt og ansvarligt.

Har du spørgsmål til, hvordan din virksomhed konkret placerer sig i forhold til AI Act, eller vil du vide, hvad det kræver at komme i gang med en intern AI politik? Så er du velkommen til at række ud. Jeg hjælper gerne med at omsætte det abstrakte til noget, der faktisk virker i hverdagen.

Ofte stillede spørgsmål

Gælder EU AI Act i Danmark for en SMV der bruger ChatGPT eller tredjeparts AI værktøjer?
Ja, EU AI Act gælder også, når du bare bruger AI via abonnement eller API. Du er typisk bruger, mens din leverandør er udbyder, men du har stadig ansvar for korrekt brug, træning af medarbejdere og den rette grad af menneskelig kontrol. Hvis du bruger AI til beslutninger om mennesker, kan det blive højrisiko og udløse flere krav.
Hvornår er et AI system højrisiko efter AI forordningen?
Et AI system bliver højrisiko, når det kan påvirke folks rettigheder og muligheder på en tung måde. Klassiske eksempler er AI til HR og rekruttering (rangering eller frasortering af kandidater), kreditvurdering i bank og forsikring og systemer der vurderer adgang til væsentlige ydelser. Det handler om formålet, ikke hvor avanceret teknologien føles.
Hvilke krav gælder for højrisiko AI systemer, fx i HR og rekruttering?
For højrisiko AI systemer skal du kunne dokumentere formål og brug, have risikostyring, logning og sporbarhed, samt sikre robust drift. Der skal være menneskelig kontrol, så en medarbejder kan stoppe eller tilsidesætte AI output. Du skal også kunne forklare de berørte, hvordan AI indgår i beslutningen, og arbejde aktivt med datakvalitet og risiko for skævhed.
Hvad bør jeg spørge en AI leverandør om for AI compliance i Danmark?
Spørg hvor data behandles, om prompts og svar gemmes, og om de bruges til træning af modeller. Bed om deres dokumentation: risikovurdering, kendte begrænsninger, præcision og hvordan de understøtter logning og menneskelig kontrol. Hvis der er personoplysninger, så få styr på databehandleraftale og sikkerhedsforanstaltninger med det samme.
Hvordan hænger GDPR og EU AI Act sammen i praksis?
GDPR styrer, hvordan du må behandle personoplysninger, mens EU AI Act styrer, hvordan du må bygge, levere og bruge AI systemer, især ved høj risiko. I praksis overlapper de ved data, transparens, sikkerhed og ansvar. Hvis dine prompts eller input indeholder persondata, skal du have behandlingsgrundlag, databehandleraftale og ofte en risikovurdering, der passer til brugen.
Tilbage til Strategi

Relaterede artikler

Laptop med KPI dashboard og grafer der viser automatiseret KPI rapportering og ledelsesoverblik

Automatisk KPI rapportering, fra data rod til overblik

Månedsluk og KPI rapport på sidste sekund? Det behøver ikke være sådan. Når tal bliver samlet i regneark, ryger tiden på copy paste og mødet ender i snak om hvem der har ret.<br><br>Her får du overblik over automatisk KPI rapportering med data fra CRM, ERP og webshop i én data pipeline, kvalitetstjek, alarmer ved afvigelser og en kort AI opsummering, så du kan fokusere på beslutninger.

Medarbejder bruger chat på laptop med fokus på GDPR og datasikkerhed i virksomheden

ChatGPT og GDPR i Danmark: hvad må medarbejdere?

Du skal bare lige have hjælp til en mail, og pludselig ligger der kundeoplysninger i ChatGPT. Her får du styr på hvad persondata i prompts faktisk er, og hvorfor mailtråde, CRM noter og HR tekst er den klassiske faldgrube.<br><br>Jeg samler også det vigtige om databehandleraftale, underdatabehandlere, logning og sletning, og giver en grøn gul rød model der gør det nemt at gøre det rigtigt.

AI agent vs workflow automatisering illustreret med flowchart og laptop i moderne kontormiljø

AI agenter eller automatisering: hvad passer til din proces?

Du behøver ikke en AI agent til alt. Ofte er en simpel automatisering i Make eller n8n nok til at fjerne manuel indtastning og fejl.<br><br>I artiklen får du et hurtigt beslutningstræ til automation vs AI baseret på stabilitet, risiko og data på tværs af systemer. Jeg gennemgår også human in the loop, logning, adgang og fallback, så løsningen kan køre i drift uden overraskelser.