EU AI Act — hvad det betyder for din virksomhed
EU AI Act er den første omfattende regulering af AI i verden. Loven er allerede trådt i kraft og rulles ud gradvist frem til 2027. Her er hvad du som dansk virksomhed konkret skal have styr på — uden jurist-sprog.
De 4 risikokategorier
Forbudt
Disse systemer må slet ikke implementeres i EU. Trådte i kraft februar 2025.
Eksempler:
- Social scoring af borgere
- Manipulativ biometrisk identifikation i offentlig rum
- Prædiktiv politiarbejde baseret på personlighed
- Emotion recognition på arbejdspladser eller skoler
Høj risiko
Krav om risikovurdering, dokumentation, menneskelig kontrol, transparens, registrering i EU-database. Konformitetsvurdering før idriftsættelse. Krav fra august 2026.
Eksempler:
- AI i HR-beslutninger (rekruttering, performance review)
- Kreditvurdering og finansiel risikoassessment
- Sundhedsdiagnostik og behandlingsbeslutninger
- Kritisk infrastruktur (energi, transport)
- Uddannelse og scoring (eksamener, optagelse)
- Lovhåndhævelse og grænsekontrol
Begrænset risiko
Transparenskrav: brugeren skal vide de interagerer med AI eller ser AI-genereret indhold. Trådte i kraft august 2026.
Eksempler:
- Chatbots der interagerer med slutbrugere
- Emotion recognition (når ikke forbudt)
- Deepfakes og AI-genereret indhold
- Biometriske kategoriseringer
Minimal risiko
Ingen specifikke AI Act-krav. Almindelig GDPR og forbrugerbeskyttelse gælder. Det er hvor 90% af kommercielle AI-anvendelser ligger.
Eksempler:
- AI-spam-filtre
- Anbefalingssystemer (e-commerce, indhold)
- Automatisering af interne processer
- AI-assisteret tekstgenerering til marketing
Tidsplan — hvornår træder hvad i kraft
Hvad betyder det konkret for dig?
Hvis du bruger AI som assistent (Claude, ChatGPT, Copilot)
For den almindelige interne brug af AI-værktøjer falder I sandsynligvis i minimal eller begrænset risiko. Krav: I skal sikre at medarbejderne ved hvad de må sende til AI (dataminimering), og at chatbots i kunderelationer afslører at de er AI.
Hvis du bygger AI-features i dit produkt
Hvis dit produkt har AI-funktionalitet der eksponeres til kunder, gælder transparenskrav. Hvis AI\'en træffer beslutninger med konsekvens for brugere (kreditvurdering, ansættelse, behandling), er I i højrisiko-kategorien og skal dokumentere systemets risiko, træningsdata, kvalitet og menneskelig kontrol.
Hvis du bruger AI til intern beslutningsstøtte
HR-beslutninger (rekruttering, præstationsvurdering), finansiel risikoassessment, eller medicinsk diagnostik via AI er typisk højrisiko. I skal kunne dokumentere at AI\'en er testet, monitoreret, og at mennesker har det endelige beslutningsansvar.
Konkret tjekliste
- Lav et register over alle AI-systemer I bruger — interne og kunde-vendte
- Kategoriser hver enkelt i en af de 4 risiko-kategorier
- For højrisiko-systemer: start dokumentationsarbejdet nu — det tager tid
- For chatbots og kundevendte AI: sørg for klar AI-mærkning
- Lav en intern AI-politik der definerer hvad medarbejdere må og ikke må sende til AI
- Træn medarbejderne i AI Act, GDPR og dataminimering
- Sørg for databehandleraftaler er på plads med jeres LLM-udbydere
- Overvåg lovens videreudvikling — der kommer guidelines og delegated acts i 2026-2027
Bøder og håndhævelse
EU AI Act har de højeste bøder af nogen tech-regulering i EU. De maksimale niveauer:
- For forbudte AI-anvendelser: op til 35 millioner euro eller 7% af global omsætning
- For overtrædelse af krav til højrisiko-systemer: op til 15 millioner euro eller 3% af global omsætning
- For forkerte oplysninger til myndigheder: op til 7,5 millioner euro eller 1% af global omsætning
Som med GDPR vil bøderne typisk være proportionelle med virksomhedens størrelse og hvor alvorligt overtrædelsen er. For en typisk dansk SMB der overholder lov i god tro vil risikoen være lille — men hvis I bevidst ignorerer loven kan det blive dyrt.