Hvad er EU’s AI Act?
EU’s AI Act trådte i kraft d. 1. august 2024, og den bliver løbende implementeret frem til 2027. Forordningen skal regulere brugen af kunstig intelligens i Europa samt sikre, at almindelige brugere har en bred nok viden om AI.
Kravet om at uddanne medarbejdere i AI trådte i kraft d. 2. februar 2025. Virksomheder skal sikre AI-kompetencer hos medarbejdere – eller sikre tilstrækkelig AI literacy, som der står.
AI-forordningen kan deles op i to overordnede områder:
- krav til virksomheder, der udvikler, udbyder og importerer AI-systemer
- krav til virksomheder, hvis ansatte bruger AI-løsninger
Overordnet skelnes der nemlig mellem udbydere (driver) og idriftsættere (bruger). Hvis en virksomhed fx udvikler sine egne AI-systemer (og drifter dem), skal de leve op til flere krav end dem, der fx bruger ChatGPT til at tjekke kommaer eller skrive tekst ifm. deres markedsføring.
Formålet er at beskytte borgerne og sikre en ansvarlig og etisk brug af AI i EU, og lovgivningen er bygget på en risikobaseret tilgang til brug af kunstig intelligens. Risikoprofilerne i EU’s AI Act går fra uacceptabel risiko til minimal risiko.
AI Act fokuserer især på at forbedre og sikre:
- Beskyttelse af grundlæggende rettigheder
- Transparens og ansvarlighed
- Markedsadgang og innovation
Lovgivningen kommer også på baggrund af et ønske om mere kontrol med AI og robotter – hele 90% af befolkningen ønsker nøje kontrol med AI iflg. en Eurobarometer-undersøgelse.
Europa-Kommissionen har lavet en oversigt med spørgsmål og svar omkring AI-modeller til generelle formål. Her kan du bl.a. se, hvordan AI-forordningen definerer open source- og generelle AI-systemer med systemiske risiko.
Se video om AI literacy
Hvis du udelukkende bruger AI til fx at generere tekst, lyd eller billede, kan du i de fleste tilfælde nøjes med at se vores video om AI literacy for at opnå de nødvendige færdigheder. Det vil dog altid være en vurdering, virksomheden selv er nødt til at foretage. Se video.
Risikoprofiler afgør kravene i AI Act
Der er fire risikoprofiler i forordningen, som er defineret ud fra, hvor stor skade systemet eller løsningen potentielt kan påføre den enkelte borger eller samfundet. AI-systemer med uacceptabel risiko blev ulovlige d. 2. februar 2025, hvor forbuddet mod disse trådte i kraft.
De tre resterende risikoprofiler i AI Act er; høj risiko, begrænset risiko og minimal risiko. Der er stor forskel på kravene i de forskellige risikoprofiler, som du kan blive klogere på længere nede i teksten.
Jo “højere” risikoprofil en AI-løsning har, jo flere krav skal virksomheden leve op til. Profilen laves ud fra en vurdering af risikoen for, at løsningen kan påføre samfundet eller den enkelte borger skade.
Nogle AI-løsninger er blevet vurderet til at have så høj en risiko, at det ikke er acceptabelt at bruge dem i EU. Det er få løsninger, der har denne risikoprofil, men de blev ulovlige i EU d. 2. februar 2025, hvor reglerne for AI-systemer med Uacceptabel Risiko trådte i kraft.
Disse løsninger vurderes til at udgøre en trussel mod vores grundlæggende menneskerettigheder – og kan potentielt skade mennesker, manipulere eller udnytte folk i sårbare situationer.
Det drejer sig især om løsninger til biometrisk identifikation og social scoring, kognitiv adfærdsmanipulation samt ansigtsgenkendelse i det offentlige rum. Andre eksempler kan være systemer, der anvender følsomme data som fx køn, race og politisk orientering.
Et system med høj risiko er vurderet til potentielt at udgøre en væsentlig risiko inden for ét eller flere af nedenstående områder:
- Sundhed
- Sikkerhed
- Borgeres fundamentale rettigheder
Hvis et system har potentiale til væsentligt at kunne påvirke udfaldet af en beslutningstagning, vil den også være under denne kategori.
Eksempler på AI-løsninger, der potentielt er høj risiko:
- Systemer, der bruges til berettigelse af kredit, diagnosticering af sygdomme og selvkørende biler
- Systemer til analyser ifm. jobansøgninger eller evaluering af jobkandidater
- Sikkerhedskomponenter
Hvis et AI-system bruges til at lave profilering af fysiske personer, skal det altid betragtes som et højrisiko-system.
Der stilles særligt strenge krav og forpligtelser til alle højrisiko-systemer, som skal opfyldes, hvis de ønsker adgang til EU-markedet. Det gælder blandt andet grundig prøvning, gennemsigtighed og menneskeligt tilsyn.
De fleste AI-løsninger vil høre under denne kategori. Et system hører under denne kategori, hvis det opfylder mindst ét af nedenstående kriterier:
- Udfører en specifik procesopgave
- Forbedrer resultatet af en (tidligere afsluttet) menneskelig aktivitet
- Registrerer beslutningsmønstre eller afvigelser fra tidligere mønstre – men ikke er designet til at påvirke eller erstatte den tidligere gennemførte menneskelige vurdering uden korrekt menneskelig gennemgang
- Udfører en forberedelsesopgave til en vurdering
Det kan lyde meget tungt, men der er grundlæggende tale om fx chatbots eller systemer, der generer indhold – det kan fx være ChatGPT og Midjourney.
Systemer med begrænset risiko er underlagt gennemsigtighedsforpligtelser. De skal fx oplyse brugere om, at indholdet i systemerne er genereret af AI, så brugerne kan træffe informerede beslutninger om brugen af indholdet.
Mange AI-løsninger vil ikke udgøre nogen risiko, og derfor er de ikke reguleret eller berørt af AI-forordningen direkte. Det kan fx være:
- AI-baserede spil
- Spamfiltre
- Systemer til anbefaling af musik eller film
Hvis et system ikke hører under en af de andre kategorier, vil det sandsynligvis høre under denne.
De specifikke krav til hver enkel kategori kan du læse meget mere om via linket. Her går vi mere i dybden med både kravene til dig, der drifter (altså selv har udviklet et AI-system/-løsning) og dig, der blot bruger AI (fx ChatGPT).
Start med at lave en oversigt over, hvilke AI-systemer virksomheden bruger/udvikler i dag. Den skal du nemlig bruge til bl.a. at identificere risikoprofiler (og krav) og evaluere AI literacy – kort sagt det meste i forbindelse med EU’s AI Act.
EU har lavet en Compliance Checker, du kan bruge til at se, hvad de kommende regler og krav betyder for lige netop dig og din virksomhed.
Sådan fungerer et AI-system
Et AI-systems arbejdsproces består meget forsimplet af fire trin; 1) analyse af store mængder data, 2) påvisning af mønstre ved hjælp af algoritmer, 3) udførelse af opgaver og 4) læring og forbedring af ydeevnen.
Download tjekliste – brug af data i offentlige AI-værktøjer
Det er vigtigt at skelne mellem offentlige og ikke-offentlige informationer (data) – især når det kommer til AI og AI-forordningen. Derfor har vi lavet en praktisk tjekliste, du nemt kan bruge i en travl hverdag.
Du tilmelder dig samtidig Dineros nyhedsbrev, som du altid kan afmelde med et enkelt klik. Tjeklisten er vejledende og skal ikke ses som juridisk rådgivning.
Tjeklisten består af konkrete eksempler, hvor du kan få svar på, om det er okay at bruge data i et AI-værktøj samt årsagen til dette. De er opdelt i rød, gul og grøn – ligesom et trafiklys.
AI-forordningen skal forvaltes af flere forvaltningsorganer
Der er mange systemer, løsninger og medarbejdere, der skal kontrolleres og tjekkes. Derfor oprettes der også flere forvaltningsorganer for at sikre korrekt håndhævelse af EU’s AI Act.
- AI-kontor i Europa-Kommissionen
- Videnskabeligt panel af uafhængige eksperter
- AI-udvalg af med repræsentanter for medlemsstaterne
- Rådgivende forum for interessenter
Kontoret skal håndhæve de fælles regler i EU, mens det videnskabelige panel skal støtte håndhævelsesaktiviteter. AI-kontoret kan blandt andet gennemføre revisioner, anmode om oplysninger og pålægge bøder.
Udvalget skal bistå og rådgive medlemsstater og Kommissionen, så der sikres en effektiv og ensartet anvendelse af AI-forordningen. Det rådgivende forum skal stille teknisk ekspertise til rådighed for AI-udvalget og Kommissionen.
De enkelte medlemsstater skal dog også selv føre nationale tilsyn med anvendelse, der ikke drejer sig om grundlæggende modeller. I Danmark er det Digitaliseringsstyrelsen, der skal være national koordinerende tilsynsmyndighed for EU’s AI Act.
Du risikerer store bøder, hvis du ikke overholder kravene i AI Act
Der er mange love og regler at holde styr på som selvstændig. Den nye bogføringslov kom for nogle år siden, og nu er det EU’s AI Act. Det er dog vigtigt, du lever op til kravene, da det kan blive rigtig dyrt, hvis du ikke gør.
Du risikerer nemlig bøder på op til:
- 35 mio. euro eller
- 7% af virksomhedens samlede (globale) omsætning
Det vil altid være den højest mulige, der vælges. For de fleste vil det betyde, at det vil være en bøde på et bestemt beløb (altså den første på op til 35 mio. euro), da meget få virksomheder vil have en omsætning, der kommer i nærheden af dette.
Hvis der er tale om en SMV eller nyetableret virksomhed, vil der være tale om forholdsmæssige bøder.
Hvornår træder de forskellige regler i kraft?
EU’s AI Act trådte i kraft d. 1. august 2024, hvor den formelt blev en del af EU’s lovgivning.
Loven implementeres i faser frem til d. 2. august 2026, hvor alt skal være implementeret. Den sidste deadline i 2027 gælder harmonisering af eksisterende lovgivning og AI Act.
Inden udgangen af 2030 vil forpligtelser for visse AI-systemer, der er del af storskala-informationssystemer etableret af EU-lovgivningen (fx Schengen), træde i kraft.
Oftest stillede spørgsmål
AI Act er EU’s første lovgivning om kunstig intelligens. AI-forordningens formål er at lave fælles regler for kunstig intelligens og sikre, at AI-systemer er sikre, pålidelige og etiske. Den skal også sikre et tilstrækkeligt højt niveau af AI literacy i europæiske virksomheder.
AI Act trådte i kraft d. 1. august 2024, og den bliver løbende rullet ud frem til 2027, hvor det er meningen, at sidste del af forordningen skal træde i kraft (reglerne for resten af risikoprofilerne).
Reglerne for AI literacy trådte i kraft d. 2. februar 2025, hvilket betyder, at virksomhedens ansatte allerede nu skal have tilstrækkelige AI-færdigheder.
En forordning er en retsakt, der anvendes i EU-lovgivning – det kan kaldes en form for EU-lov, der er bindende og gælder for samtlige medlemslande i EU.
Hvor et direktiv skal tilpasses af de enkelte medlemsstater, er en forordning almengyldig og bindende i samme øjeblik, det vedtages – og skal altså ikke først indarbejdes i de enkelte medlemslandes lovgivning gennem nye love i medlemslandene.
AI Act trådte i kraft d. 1. august 2024, og d. 2. februar kom kravet om AI literacy og forbuddet mod AI med uacceptabel risiko. Regler for GPAI træder i kraft d. 2. august 2025, og reglerne for resten af risikoprofilerne træder i kraft d. 2. august 2026.
Senest d. 2. august 2027 skal AI Act og relevante EU- og nationale lovgivninger være harmoniseret ift. højrisiko AI-systemer.
Det er Digitaliseringsstyrelsen, der er den nationale koordinerende tilsynsmyndighed for EU’s AI Act. Et AI-kontor i Europa-Kommissionen står for at håndhæve de fælles regler, mens der kommer et paneludvalg og rådgivende forum, der skal sikre en ensartet anvendelse og stille teknisk ekspertise til rådighed.
AI Act blev vedtaget d. 13. marts 2024 – efter den blev foreslået af Kommissionen tilbage i april 2021. Første fase af AI-forordningen trådte i kraft d. 1. august 2024.
AI-forordningen trådte i kraft d. 1. august 2024, og reglerne om AI literacy og forbuddet mod AI med uacceptabel risiko trådte i kraft d. 2. februar 2025.