AI Enterprise

Viden

EU AI Act: Krav, risikokategorier og praktisk compliance for virksomheder

EU AI Act er en risikobaseret ramme, der binder markedskontrol, dokumentation og drift sammen. For enterprise betyder det roller, bevis, test og styring på tværs af indkøb, udvikling og drift.

Tal med en AI-rådgiver →

Strategi og ramme

Hvad er EU AI Act, og hvorfor er den strategisk vigtig for enterprise?

EU AI Act er en forordning, der regulerer AI-systemer med fokus på risiko, sporbarhed og ansvarlig brug frem for kun at tale om god etik. Den er ikke en erstatning for juridisk rådgivning, men den giver et fælles sprog for ledelse, produkt, sikkerhed og compliance: hvornår er et system højrisiko, hvornår skal der dokumenteres og verificeres noget konkret, og hvordan skal leverandørledet kunne efterprøves.

Strategisk er den vigtig, fordi den ændrer indkøbskriterier, arkitekturvalg og kontraktsmønstre. Når I køber modeller via API, indfører beslutningsstøtte i HR, eller bygger kundevendte assistenter, er spørgsmålet ikke kun om modellen virker, men om I kan forklare, overvåge og dokumentere brugen i overensstemmelse med risikoklassen. Det binder til budget, tempo og teknisk gæld: et compliance-setup der kommer sent, bliver ofte dyrere end et, der er designet ind fra starten.

Features

Tre strategiske effekter for enterprise

Kort fortalt: reglerne flytter beslutninger fra principper til konkrete krav og sporbarhed i kæden.

Indkøb og leverandørkrav

Kriterier for valg af model, dokumentation og kontraktsmæssige kontrolpunkter bliver en del af indkøbsdesignet.

Arkitektur og drift

Beslutninger om API, hosting og integration skal kunne forklares og overvåges i forhold til risiko og ændringer over tid.

Dokumentation som produktkrav

Compliance handler om at kunne vise hvad der er udrullet, hvordan det testes, og hvordan ændringer godkendes.

Oversigt

Sådan fungerer reglerne i praksis: risikobaserede krav, forbudte systemer og GPAI

Rammen er bygget op om kategorier, der styrer pligterne. Her er et kort overblik til enterprise-arbejde.

Minimal risiko: Typisk færre formelle krav, men stadig behov for god styring og ansvarlig brug.

Begrænset risiko: Gennemsigtighed og information til brugere bliver centralt, fx når indhold kan ligne menneskeligt.

Roller: hvem gør hvad i kæden

EU AI Act opererer med roller som udbyder, importør, distributør og bruger afhængigt af, hvad I faktisk gør i værdikæden.

Det handler om ansvarsfordeling: hvem dokumenterer, hvem validerer, hvem overvåger drift, og hvem stiller krav til underleverandører. Det er ikke titler på visitkort, men konkrete leverancer i styringen.
  • Kortlæg hvilken rolle I har pr. system og pr. leverance
  • Sørg for at kontrakter og tekniske kontrolpunkter matcher rollen
  • Fordel review og godkendelser, så ændringer ikke sker uden spor
Roller: hvem gør hvad i kæden

Leverandørled: cloud, API og tredjepart

Mange virksomheder kombinerer egen udvikling med cloud, API og tredjepartsmodeller.

Compliance bliver et kædeproblem: kan I få teknisk dokumentation, kan I reproducere evalueringer, og kan I styre versioner og ændringslog? Hvis ikke, stiger risikoen for at I bygger på et fundament, I ikke kan redegøre for.
  • Kræv dokumentation og versionsstyring på linje med jeres risiko
  • Sørg for at test og evaluering kan gentages efter ændringer
  • Gør leverandørkrav til en del af arkitekturvalg, ikke kun licens
Leverandørled: cloud, API og tredjepart

Data: GDPR og AI-krav mødes ofte

Persondata og AI-systemkrav overlapper i mange leverancer.

GDPR regulerer persondata; EU AI Act tilføjer et lag om datasæt, kvalitet og risiko i forhold til modellens formål, især når systemet er i en tung kategori. Ofte mødes begge regimer i samme leverance.
  • Skil formål, datasæt og risiko tydeligt i dokumentationen
  • Kobl persondataflows til kontrolkrav for selve AI-systemet
  • Undgå at behandle det som én generisk checkliste
Data: GDPR og AI-krav mødes ofte

Anvendelse: samme værktøj, forskellig risiko

To organisationer kan bruge samme værktøj forskelligt.

Scope afhænger af domæne, beslutningskraft, automationsgrad og om output påvirker rettigheder. Seriøst arbejde starter med et inventory: hvor bruges AI, til hvad, og med hvilken menneskelig kontrol?
  • Kortlæg formål og beslutningskraft for hvert vigtige use case
  • Vurder om output kan påvirke rettigheder eller sårbare grupper
  • Dokumenter menneskelig kontrol og eskalation hvor det er påkrævet
Anvendelse: samme værktøj, forskellig risiko

Myter og realiteter

Typiske misforståelser om EU AI Act, og hvordan I undgår dyre fejl

Myte: Vi bruger kun en stor sprogmodel via API, så reglerne gælder ikke for os.
Realitet: Brug er stadig brug. GPAI-reglerne og kravene til højrisiko kan ramme afhængigt af, hvordan og hvor modellen indgår. Undgå at lægge ansvaret blindt hos leverandøren uden kontraktsmæssige og tekniske kontrolpunkter.

Myte: EU AI Act er bare GDPR 2.0.
Realitet: GDPR handler om persondata og rettigheder. AI Act handler om AI-systemer, markedskrav, risiko og dokumentation. De overlapper, men løser forskellige problemer. Behandl dem som to lag i samme program, ikke som én checkliste.

Myte: Vi laver politik og et etisk charter, så er vi compliant.
Realitet: Dokumentation uden drift og uden evidens bliver compliance-teater. I skal kunne vise sporbarhed: hvad er udrullet, hvordan testes det, hvad logges, og hvem godkender ændringer?

Myte: Compliance er et juridisk projekt, ikke et teknikprojekt.
Realitet: Uden teknik får I ikke logning, versionering, evaluering og adgangskontrol på plads. Juridisk ramme og teknisk implementering hænger sammen.

1) Inventory

Kortlæg alle AI-brug: interne værktøjer, kundevendte flows, beslutningsstøtte og integrationer. Udgangspunktet er at koble use cases til risiko, data og kontrol.

2) Roller og ansvar

Sæt <a href="/ai-konsulent/ai-organisationsstruktur">Roller og RACI</a> for dokumentation, godkendelse, drift og leverandørstyring. Gør det konkret pr. system og pr. leverance.

3) Risikovurdering og arkitektur

Bind vurdering til anvendelse og domæne. Beslut hvilke kontroller der skal gælde for API-brug, hosting, versionering og adgang.

4) Dokumentation og evidens

Saml teknisk dokumentation, testresultater og ændringslog, så I kan forklare hvad der kører i produktion, og hvorfor det er acceptabelt i forhold til risiko.

5) Drift, overvågning og forbedring

Sæt overvågning, hændelseshåndtering og periodisk review op, så modeller og integrationer ikke ændrer risikoen uden at blive fanget.

Features

Hvad enterprise bør prioritere ud over politik

Når rammerne er sat, bliver kvaliteten af styringen målt på sporbarhed og drift - ikke på antal slides.

Bevisbyrde i praksis

Kan I vise hvad der er i drift, hvordan det testes, og hvordan ændringer godkendes?

Kontrol og menneskelig indgriben

Aftal hvornår et menneske skal træde til, og hvordan I logger og følger op.

Leverandørled

API og cloud gør kæden lang. Dokumentation skal kunne følge med.

Risiko følger anvendelse

Samme model kan være lav risiko ét sted og høj risiko et andet.

Historik

Fra politisk ramme til operationel compliance

Et typisk forløb er at flytte organisationen fra principper til konkrete kontroller og dokumentation over tid.

Nu

Inventory og klassifikation

Kortlæg AI-brug, data og roller, og placer systemer i forhold til risikokategorier og leverandørkrav.

0-90 dage

Minimum viable governance

Beslut RACI, krav til dokumentation, og hvilke kontrolpunkter der gælder ved indkøb og ændringer.

90-180 dage

Teknisk sporbarhed

Implementer versionering, logning, test og adgangskontrol, så drift kan understøtte compliance-kravene.

Løbende

Monitorering og review

Gennemgå ændringer i modeller, integrationer og use cases, og opdater risikovurdering når noget flytter sig.

Fra minimal til uacceptabel
Risikolag
Udbyder til bruger
Roller i kæden
Sporbarhed og kontrol
Kernedokumentation
Særregler for bred anvendelse
GPAI
FAQ

FAQ om EU AI Act

Korte svar til ledelse og teknik, baseret på artiklens hovedpointer.

Er EU AI Act det samme som GDPR?
Nej. GDPR handler om persondata og rettigheder. EU AI Act handler om AI-systemer, risiko og dokumentation. De kan overlappe i samme leverance, men det er to forskellige regelsæt.
Er en intern chatbot altid lav risiko?
Ikke nødvendigvis. Risiko følger anvendelse, domæne og om output kan påvirke rettigheder eller sårbare grupper. Samme model kan være lav risiko ét sted og høj risiko et andet.
Hvad betyder GPAI for enterprise, der bruger API-modeller?
GPAI-reglerne handler blandt andet om bredt anvendelige modeller og om, hvordan leverandører stiller information og dokumentation til rådighed for nedstrøms aktører. Det påvirker indkøb og kontraktkrav.
Hvorfor er leverandørled vigtigt?
Fordi compliance er et kædeproblem. Uden dokumentation, reproducerbare evalueringer og versionsstyring kan I ikke redegøre for hvad I bygger på, når risikoen stiger.
Hvorfor er politik alene sjældent nok?
Fordi myndigheder og bestyrelser bedømmer sporbarhed: hvad er udrullet, hvordan testes det, hvad logges, og hvem godkender ændringer?

Relateret viden og sporet videre

Tre interne sider der supplerer denne artikel, hvis I vil dykke ned i anvendelse, hosting og GDPR-krydsfeltet.

Få flere compliance-klare AI-guider

Korte artikler til ledelse og teknik: risiko, dokumentation og drift - uden unødig jargon.

Vi behandler din e-mail efter vores privatlivspolitik. Afmeld når som helst.

Start et projekt →