EU’s AI Act er i praksis ikke “en ny fancy GDPR”. Det er mere som et sæt trafikregler: Du må gerne køre hurtigt (bruge AI), men du skal vide hvor, hvornår og hvorfor du kører, og du skal have bremser, lys og føreransvar på plads.
Målet med den her artikel er at gøre AI Act håndterbar for beslutningstagere, uden at du ender med et bureaukratisk monster. Du får en konkret måde at:
- kortlægge jeres AI-brug
- risikovurdere det, der faktisk betyder noget
- bygge governance, som ikke dræber tempoet
- designe “human-in-the-loop”, der virker i virkeligheden
1) Start med det vigtigste: Hvilken rolle har I?
AI Act skelner grundlæggende mellem, om du:
- udvikler/leverer et AI-system (provider),
- bruger et AI-system i din organisation (deployer),
- eller gør begge dele.
Langt de fleste virksomheder er primært deployer: I køber værktøjer (fx CV-screening, kundeservice-chat, forecasting, overvågning, svindeldetektion) og bruger dem i processer, der påvirker kunder eller medarbejdere.
Den pointe er vigtig, fordi “compliance” for deployers handler mindre om at skrive 200 sider teknisk dokumentation og mere om:
- at vælge rigtigt (leverandørstyring)
- at bruge rigtigt (kontroller og menneskelig oversight)
- at dokumentere fornuftigt (hvad I bruger, hvorfor, og hvordan I reducerer risiko)
2) AI Act i én sætning: risikoniveau afgør krav
AI Act er risikobaseret. Jo større potentiel skade, jo flere krav.
En praktisk måde at tænke det på:
A) Forbudte anvendelser (unacceptable risk)
Visse brugstyper er helt forbudte (fx manipulerende systemer, social scoring m.m.), og de første dele af AI Act trådte i kraft tidligt med netop fokus på bl.a. forbudte praksisser.
Hvad du gør i praksis: Lav en hurtig “nej-liste” i jeres AI-inventory (mere om inventory om lidt), så I kan dokumentere, at I ikke bruger noget, der falder i den kategori.
B) High-risk (høj risiko)
Her ligger de tunge krav: risikoledelse, datastyring, logging, human oversight, dokumentation, kvalitetsstyring osv. Det gælder typisk AI i områder som ansættelse, uddannelse, kritisk infrastruktur, sundhed, kredit, biometrisk identifikation, retshåndhævelse mv.
Hvad du gør i praksis: I skal kunne forklare, hvordan I forebygger fejl, bias og skader, og hvordan mennesker kan stoppe eller korrigere systemet.
C) Begrænset risiko (transparenskrav)
Nogle systemer kræver primært transparens: at mennesker bliver informeret (fx hvis de interagerer med en bot).
Hvad du gør i praksis: Sæt tydelige “du taler med en AI”-markører, og definér hvor output må bruges.
D) Minimal risiko
Meget AI falder her (fx interne effektiviseringsværktøjer uden påvirkning på rettigheder eller væsentlige beslutninger). Kravene er typisk lette, men governance er stadig smart, fordi risiko kan opstå gennem forkert brug.
3) Kortlægning: Lav et AI-inventory på 1 dag
Den største fejl virksomheder laver, er at starte med politikker. Start i stedet med virkeligheden: hvad bruger I faktisk?
Et AI-inventory kan være et simpelt ark eller et værktøj, men felterne bør være de samme:
Minimumsfelter (det der gør jer compliant-klar):
- Navn på system / vendor
- Formål (hvad løser det?)
- Hvor i forretningen bruges det? (proces)
- Hvem påvirkes? (kunder, medarbejdere, borgere)
- Beslutningstype (rådgivning, prioritering, automatisk afgørelse)
- Data (hvilke typer: persondata, følsomme data, logdata)
- Risikoindikation (kan det påvirke rettigheder, adgang til ydelser, ansættelse, kredit osv.?)
- Human oversight (hvem kan stoppe/overrule?)
- Leverandør-dokumentation (hvad har I fået udleveret?)
- Drift/monitorering (hvordan opdager I fejl?)
Tip: Hvis I bruger generative AI-værktøjer (chat/tekst/billeder) i flere teams, så registrér “use cases” under samme værktøj. Det er use casen, der afgør risikoen, ikke kun produktnavnet.
4) Risikovurdering, uden at det bliver en roman
En risikovurdering kan være 2 sider, hvis den er skarp. Brug en standard struktur:
Trin 1: Hvad kan gå galt?
- Forkert output (hallucinationer, fejlklassifikation)
- Bias (systematisk skævhed mod grupper)
- Manglende transparens (ingen ved at AI er inde over)
- Over-reliance (mennesker stoler for meget på output)
- Sikkerhed (prompt injection, datalæk, model misbrug)
Trin 2: Hvad er konsekvensen?
- Lav: irritation og ekstra arbejde
- Mellem: dårlig kundeservice, forkerte prioriteringer
- Høj: uretfærdige beslutninger, diskrimination, økonomisk skade, sikkerhedsrisici
Trin 3: Hvad er sandsynligheden?
- Hvor ofte sker fejl i praksis?
- Hvor modne er data og processer?
- Hvor god er leverandøren?
Trin 4: Kontroller
Det er her I vinder. Kontroller er ikke “papir”. Det er konkrete bremser:
- godkendelsesflow
- stikprøver
- “to-person rule” på kritiske beslutninger
- kvalitetsmålinger og alarmgrænser
- adgangsstyring og logging
5) Governance: hvem ejer hvad?
Governance lyder som noget, man siger for at få et budget. Men det kan være simpelt:
Minimumsmodel (som virker i praksis)
- AI Owner (forretning): ejer use casen, KPI’er og konsekvenser
- Risk/Compliance: sikrer risikovurdering, dokumentation, audits
- IT/Security: sikrer adgang, logging, dataflow, vendor-krav
- Data/ML ansvarlig: måler kvalitet, bias, drift, ændringer
- HR/Training: sikrer AI-kompetencer i organisationen
AI Act lægger også vægt på AI literacy/kompetenceløft som en tidlig forpligtelse. Oversat: medarbejdere skal have tilstrækkelig viden til at bruge AI ansvarligt.
Governance artefakter (hold det let)
- AI-inventory (live)
- Risikovurderinger (pr. relevant use case)
- Leverandør-tjekliste (kontrakt/dokumentation)
- Incident-proces (hvad gør vi ved fejl/klager?)
- Change-log (hvad ændrer sig, hvornår, og hvorfor?)
6) Human-in-the-loop: sådan undgår du “menneske for syns skyld”
“Human-in-the-loop” er ikke, at et menneske klikker “OK” på alt. Det er et designprincip: hvor mennesket realistisk kan opdage, forstå og korrigere fejl.
Tre modeller (vælg efter risiko)
- Human-in-the-loop: AI foreslår, menneske beslutter
Brug til: ansættelse, kredit, risikovurderinger, sager med store konsekvenser. - Human-on-the-loop: AI kører, menneske overvåger og kan stoppe
Brug til: driftsovervågning, svindelfiltre, automatiske prioriteringer. - Human-out-of-the-loop: AI kører uden menneskelig indgriben
Brug kun hvor risikoen er lav, og konsekvenserne er små.
Et praktisk tjek: kan mennesket faktisk gøre noget?
Spørg:
- Forstår brugeren, hvorfor AI gav outputtet?
- Er der tid i processen til at tjekke?
- Har brugeren kompetencer og mandat til at overrule?
- Bliver AI-output logget, så I kan lære af fejl?
Hvis svaret er nej, så er “human-in-the-loop” bare en illusion.
7) Data, bias og drift: den del de fleste glemmer
AI fejler sjældent kun pga. “modellen”. Den fejler pga. data og kontekst.
Datastyring (i praksis)
- Ved I, hvilke datakilder der fodrer systemet?
- Har I data-kvalitetschecks (manglende værdier, outliers)?
- Er der persondata, og er der et lovligt grundlag?
Bias-kontrol (hold det operationelt)
- Definér hvilke grupper der kan blive ramt (fx køn, alder, etnicitet hvor relevant og lovligt)
- Mål performance pr. gruppe, hvis det giver mening
- Sæt en proces for, hvad I gør, hvis skævhed opdages
Drift og monitorering
- Overvåg “performance drift”: ændrer virkeligheden sig?
- Overvåg “data drift”: ændrer input sig?
- Log beslutninger, så I kan auditere bagefter
Hvis I arbejder med high-risk, bliver dokumentation og teknisk beskrivelse hurtigt relevant, og AI Act peger på krav til teknisk dokumentation og indhold (bl.a. via Annex IV).
8) Leverandørstyring: compliance starter ved indkøb
Hvis I køber AI, skal I kunne få svar på:
- Hvad er systemets formål og begrænsninger?
- Hvordan er det testet?
- Hvilke data bruges, og hvordan håndteres persondata?
- Hvilke logs kan I få?
- Hvad er “fallback”, hvis systemet fejler?
- Hvordan håndterer leverandøren incidents?
For generative/foundation-lignende modeller er der særskilte krav for udbydere omkring transparens og (for de største) systemiske risici, og EU arbejder bl.a. med codes of practice til at lette efterlevelse.
Du behøver ikke være udbyder for at blive påvirket: dine værktøjer og kontrakter skal gøre det muligt at styre risikoen.
9) En realistisk 30-dages plan (uden at sætte hele virksomheden i stå)
Uge 1: Overblik
- Byg AI-inventory (top 10 use cases)
- Lav “forbudt-screening” (nej-liste)
- Identificér 1–3 use cases med potentielt høj risiko
Uge 2: Risiko og kontroller
- Kort risikovurdering pr. kritisk use case
- Design human oversight (hvem, hvornår, hvordan)
- Beslut logging og monitorering (minimum)
Uge 3: Governance og leverandører
- Udpeg owners (forretning + IT + risk)
- Lav leverandør-tjekliste
- Indhent dokumentation fra vendors
Uge 4: Kompetence og drift
- AI-træning målrettet roller (brugere vs. owners)
- Incident-proces (support, klager, stop-knap)
- Rapportering til ledelse (kvartalsvis)
Hvis du vil have en mere samlet indgang til arbejdet med AI Act compliance i praksis (risiko, governance, processer og implementering), kan du bruge denne som afsæt: AI Act compliance
10) “Hvad med bøderne?” (kort, fordi du skal handle før du panikker)
AI Act har markante sanktionsrammer, især for overtrædelse af forbudte praksisser, hvor bøder kan nå op i meget store beløb eller procent af global omsætning.
Pointen er ikke at skræmme. Pointen er at gøre det nemt at prioritere: start med inventory, stop det forbudte, og få styr på høj-risiko use cases.
Konklusion: AI Act kan være en fordel, hvis du gør det enkelt
AI Act compliance behøver ikke være en bremseklods. De virksomheder der vinder, bliver dem der:
- ved præcis hvor AI bruges
- har simple, faste kontroller på de vigtigste use cases
- træner folk i ansvarlig brug
- kan forklare “hvem gør hvad”, når noget går galt
Det er governance, der skaber fart, ikke governance der dræber den.