AI-forordningen ›

AI Act Guide: Hvad AI-forordningen betyder for din virksomhed

En praktisk guide til AI-forordningen på almindeligt dansk. Forstå de fire risikokategorier, din rolle, hvad du skal gøre, og hvordan det hænger sammen med GDPR. Ingen mur, ingen fyld, kun det du kan handle på.

Feature-billede til artiklen med den store overskrift »AI Act Guide« i mørkeblå på en blå-til-lilla gradientbaggrund med bløde blob-former. Over overskriften labelen »Forordning (EU) 2024/1689« og under den en kort underrubrik. Til højre et skjold-ikon omkranset af tolv prikker, der antyder EU-stjernekransen, og øverst .legal-logoet.

Indholdsfortegnelse

    Danmark er et af de lande i EU, hvor flest virksomheder bruger kunstig intelligens. I 2025 brugte 42,03% af de danske virksomheder med mindst 10 ansatte mindst én AI-teknologi, mod et EU-gennemsnit på cirka 20%. Meget af den AI sidder gemt i værktøjer, du allerede bruger: rekrutteringssystemet, kundeservice-chatbotten, svindeltjekket og de assistenter, dine medarbejdere åbner hver morgen. AI-forordningen er den første samlede lov, der regulerer det hele, og den rammer langt bredere end de virksomheder, der bygger AI.

    Denne guide gennemgår, hvad AI-forordningen faktisk kræver, på almindeligt dansk og forankret i selve forordningsteksten. Du får styr på de fire risikokategorier, hvordan du finder din rolle, hvilke praksisser der er forbudt, hvad højrisiko-systemer kræver, hvordan reglerne overlapper med GDPR, og en praktisk køreplan til at blive compliant. Vi har bevidst lavet den som den offentlige, frit tilgængelige version af den guide, de fleste udbydere gemmer bag en formular.

    En ting med det samme: vi har bygget guiden op om dine forpligtelser, ikke om bestemte datoer i kalenderen. Som du vil se nedenfor, flytter deadlines sig hele tiden, senest gennem EU's Digital Omnibus-forenklingspakke. Selve forpligtelserne er stabile, og det arbejde, du skal lave, ændrer sig ikke, fordi en dato rykker.

    Hvad er AI-forordningen?

    AI-forordningen (formelt Forordning (EU) 2024/1689) er verdens første samlede lovgivning om kunstig intelligens. Den trådte i kraft 1. august 2024 og gælder i etaper. Ligesom GDPR er der tale om en forordning og ikke et direktiv, hvilket betyder, at den gælder direkte i alle EU-medlemsstater uden separat national lovgivning.

    Grundidéen er enkel. AI-forordningen regulerer AI efter den risiko, systemet udgør for menneskers sundhed, sikkerhed og grundlæggende rettigheder. Jo højere risiko, jo strengere krav. Langt det meste AI udgør ingen eller lav risiko og berøres knap af loven. Et lille udvalg af anvendelser anses for så skadelige, at de er forbudt. Derimellem ligger kategorien af højrisiko-systemer, der medfører reelle forpligtelser.

    Hvis du allerede kender GDPR, kan du overføre tankegangen direkte. Begge love er risikobaserede, begge rækker ud til virksomheder uden for EU, begge sætter dokumentation og ansvarlighed i centrum, og begge har bøder baseret på omsætning. Vil du have det bredere reguleringsbillede, dækker vi, hvordan disse rammer spiller sammen, i vores artikel om digital suverænitet og EU-lovgivning.

    Gælder AI-forordningen for Min Virksomhed?

    Sandsynligvis ja. AI-forordningen har bred ekstraterritorial rækkevidde efter artikel 2. Den gælder for udbydere, der bringer AI-systemer i omsætning på EU-markedet uanset hvor de er etableret, for idriftsættere placeret i EU, og, vigtigst, for udbydere og idriftsættere uden for EU, når systemets output bruges i EU.

    Netop den sidste udløser overser de fleste virksomheder. Tærsklen er, om systemets output bruges i EU, hvilket er en lavere barre end GDPR's "targeting"-standard. En virksomhed uden for EU, hvis AI-output når EU-brugere, kan være omfattet, selv uden et EU-etableringssted. Udbydere uden for EU af højrisiko-systemer skal udpege en autoriseret repræsentant i EU efter artikel 22.

    Stiliseret, abstrakt kort hvor EU er fremhævet som én samlet form i midten. Fra flere punkter uden for EU strømmer buede pile ind mod EU og ender i små noder med ikoner for AI-output. Billedet illustrerer AI-forordningens ekstraterritoriale rækkevidde: AI-output skabt uden for EU er omfattet, når det bruges i EU.

    De Fire Risikokategorier i AI-forordningen

    Alt i AI-forordningen udspringer af fire risikoniveauer. At finde ud af, hvilket niveau hvert af dine systemer falder i, er den vigtigste klassificeringsøvelse, du laver, fordi den afgør alle de forpligtelser, der følger.

    Risikoniveau Hvor det defineres Hvad det betyder
    Uacceptabel (forbudt) Artikel 5 Forbudt fuldstændigt. Disse anvendelser må ikke bringes i omsætning eller bruges i EU overhovedet.
    Højrisiko Artikel 6 + bilag I og bilag III Tilladt, men underlagt strenge krav til data, dokumentation, tilsyn og mere.
    Begrænset (transparens) risiko Artikel 50 Tilladt, med pligt til at fortælle folk, at de har med AI eller AI-genereret indhold at gøre.
    Minimal risiko Ikke reguleret Langt det meste AI. Ingen obligatoriske krav, kun frivillige adfærdskodekser.

    Et ord om en udbredt misforståelse. Niveauerne beskriver ikke, hvor avanceret eller kraftfuldt et system er. De beskriver, hvordan det bruges. Den samme underliggende model kan være minimal risiko i én sammenhæng og højrisiko i en anden. Klassificering følger altid anvendelsen, ikke teknologien.

    Hvem AI-forordningen Gælder For: Din Rolle Afgør Dine Pligter

    AI-forordningen tildeler forpligtelser efter rolle, defineret i artikel 3. Den samme virksomhed kan have mere end én rolle på én gang, og den rolle, du har, afgør, hvad du skal gøre. Vi går i dybden med det i vores artikel om hvem der skal efterleve AI-forordningen.

    • Udbyder udvikler et AI-system eller en AI-model til almen brug og bringer det i omsætning under eget navn eller varemærke. OpenAI og Google er oplagte eksempler, men du bliver udbyder i det øjeblik, du bygger eller væsentligt ændrer AI og tilbyder det til andre.
    • Idriftsætter bruger et AI-system under egen myndighed i en professionel sammenhæng. Det er her, de fleste virksomheder ligger. Bruger du ChatGPT, Microsoft Copilot eller et AI-baseret HR-værktøj på arbejdet, er du idriftsætter.
    • Importør bringer et AI-system fra en udbyder uden for EU i omsætning på EU-markedet.
    • Distributør gør et AI-system tilgængeligt på EU-markedet uden at være udbyder eller importør.

    Her er en faldgrube, der overrasker virksomheder. Efter artikel 25 kan en idriftsætter blive til en udbyder, med alle de tungere forpligtelser det medfører, hvis den sætter sit eget navn eller varemærke på et højrisiko-system, foretager en væsentlig ændring af det, eller ændrer dets tilsigtede formål, så det bliver højrisiko. I praksis betyder det, at finjustering eller rebranding af et højrisiko-system fra tredjepart stille og roligt kan rykke dig fra idriftsætter til udbyder. Det er værd at tjekke, før du bygger oven på en andens model.

    Diagram over de fire roller i AI-forordningens artikel 3, vist som fire kort i rækkefølge: udbyder, importør, distributør og idriftsætter, hver med et ikon og en kort beskrivelse. En rød, stiplet bue markeret »Artikel 25« går fra idriftsætter tilbage til udbyder og viser, at en idriftsætter kan blive til udbyder.

    Forbudte AI-praksisser (Artikel 5)

    Artikel 5 opremser de AI-anvendelser, der er forbudt i EU. Den oprindelige forordningstekst fastsætter otte forbudte praksisser, med bogstaverne (a) til (h). De har været gældende siden 2. februar 2025 og bærer de tungeste bøder i hele forordningen.

    1. Subliminale eller manipulerende teknikker, der væsentligt fordrejer adfærd og sandsynligvis forårsager betydelig skade.
    2. Udnyttelse af sårbarheder på grund af alder, handicap eller en særlig social eller økonomisk situation.
    3. Social scoring, der fører til skadelig eller uforholdsmæssig behandling i sammenhænge uden forbindelse til dataene.
    4. Forudsigelse af kriminalitet på individniveau, altså vurdering af risikoen for, at en person begår kriminalitet, alene baseret på profilering eller personlighedstræk.
    5. Utilsigtet skrabning af ansigtsbilleder fra internettet eller CCTV for at opbygge ansigtsgenkendelsesdatabaser.
    6. Følelsesgenkendelse på arbejdspladsen og i uddannelse (med snævre undtagelser for medicin og sikkerhed).
    7. Biometrisk kategorisering, der udleder følsomme oplysninger som race, politiske holdninger, fagforeningsmedlemskab, religion, seksualliv eller seksuel orientering.
    8. Realtids fjernbiometrisk identifikation i offentligt tilgængelige rum til retshåndhævelse, med tre snævre undtagelser.

    Et punkt, hvor du vil se andre guides være lidt forældede. Digital Omnibus tilføjer et yderligere forbud rettet mod AI-genereret ikke-samtykkende intimt billedmateriale og materiale med seksuelt misbrug af børn. Det retvisende billede er derfor otte oprindelige forbudte praksisser plus et nyt forbud på vej, snarere end et fladt "otte" for evigt.

    Højrisiko-AI: Hvor det reelle arbejde ligger (Artikel 6-27)

    Højrisiko er den kategori, der skaber mest compliance-arbejde, og det er her, du skal lægge din opmærksomhed. Et system bliver højrisiko ad én af to veje efter artikel 6.

    Vej 1: Bilag I (indlejret i regulerede produkter)

    AI'en er en sikkerhedskomponent i, eller er selv, et produkt, der allerede er omfattet af EU-harmoniseringslovgivning, som kræver overensstemmelsesvurdering fra tredjepart. Tænk medicinsk udstyr, maskiner, legetøj, køretøjer, elevatorer og radioudstyr.

    Vej 2: Bilag III (selvstændige højrisiko-anvendelser)

    Systemet bruges i ét af otte oplistede områder:

    • Biometri
    • Kritisk infrastruktur
    • Uddannelse og erhvervsuddannelse
    • Beskæftigelse, medarbejderforvaltning og adgang til selvstændig virksomhed
    • Adgang til væsentlige private og offentlige tjenester (herunder kreditværdighed og kreditvurdering samt prissætning af liv- og sundhedsforsikring)
    • Retshåndhævelse
    • Migration, asyl og grænsekontrol
    • Retspleje og demokratiske processer

    Der er en vigtig undtagelse i artikel 6, stk. 3. Et bilag III-system er ikke højrisiko, hvis det kun udfører en snæver proceduremæssig opgave, forbedrer resultatet af en allerede afsluttet menneskelig aktivitet, opdager beslutningsmønstre uden at erstatte menneskelig vurdering, eller udfører rent forberedende arbejde. Men vær opmærksom på fælden: profilering af fysiske personer tæller altid som højrisiko, ingen undtagelse. Hvis du støtter dig til undtagelsen, skal du dokumentere vurderingen og alligevel registrere systemet.

    Hvad højrisiko-systemer skal opfylde (Artikel 8-15)

    Højrisiko-systemer skal opfylde en pakke af krav: et risikostyringssystem (artikel 9), kontrol med data og datastyring (artikel 10), teknisk dokumentation (artikel 11), automatisk registrering og logning (artikel 12), transparens og klar information til idriftsættere (artikel 13), effektivt menneskeligt tilsyn (artikel 14) og passende nøjagtighed, robusthed og cybersikkerhed (artikel 15).

    Udbyder over for idriftsætter

    Udbyder af højrisiko-AI (Artikel 16) Idriftsætter af højrisiko-AI (Artikel 26)
    Sikre at systemet opfylder artikel 9-15 Bruge systemet i overensstemmelse med brugsanvisningen
    Drive et kvalitetsstyringssystem Tildele menneskeligt tilsyn til uddannede, kompetente personer
    Føre teknisk dokumentation og logs Opbevare de automatisk genererede logs i mindst seks måneder
    Foretage overensstemmelsesvurdering og påføre CE-mærkning Sikre at inputdata er relevant, hvor idriftsætteren kontrollerer det
    Registrere systemet i EU-databasen Overvåge drift, suspendere ved risiko og indberette alvorlige hændelser

    Konsekvensanalyse vedrørende grundlæggende rettigheder (Artikel 27)

    Nogle idriftsættere af højrisiko-systemer skal foretage en konsekvensanalyse vedrørende grundlæggende rettigheder (på engelsk FRIA), før systemet tages i brug. Det gælder offentlige organer og private udbydere af offentlige tjenester, samt idriftsættere, der bruger højrisiko-systemer til kreditværdighed og kreditvurdering eller til risikovurdering og prissætning af liv- og sundhedsforsikring. Vi vender tilbage til, hvordan den hænger sammen med din GDPR-konsekvensanalyse nedenfor, for der er en udbredt misforståelse, der er værd at rydde af vejen.

    Beslutningstræ for højrisiko-klassificering efter artikel 6. Fra »AI-system« deler stien sig i to veje: Vej 1 (bilag I) for AI indlejret i regulerede produkter, og Vej 2 (bilag III) for otte anvendelsesområder. På vej 2 fører spørgsmålet om artikel 6, stk. 3-undtagelsen til »Ikke højrisiko« ved ja og »Højrisiko« ved nej; vej 1 fører direkte til »Højrisiko«. En note fremhæver, at profilering af fysiske personer altid er højrisiko.

    Transparensregler og AI til almen brug

    Transparens ved begrænset risiko (Artikel 50)

    Artikel 50 dækker de systemer, de fleste virksomheder faktisk kører til daglig. Den fastsætter fire transparenspligter: fortæl folk, når de interagerer med et AI-system som en chatbot, mærk syntetisk lyd, billede, video og tekst maskinlæsbart, fortæl folk, når de udsættes for følelsesgenkendelse eller biometrisk kategorisering, og mærk deepfakes og AI-genereret tekst, der offentliggøres for at informere offentligheden. At begrave oplysningen i dine vilkår og betingelser er ikke nok. Informationen skal være klar og tilgængelig.

    AI-modeller til almen brug (Artikel 51-56)

    AI-modeller til almen brug, de store fundamentmodeller bag værktøjer som ChatGPT og Gemini, har deres eget regime under kapitel V. Grundlæggende forpligtelser for udbydere af sådanne modeller omfatter teknisk dokumentation, information til downstream-udbydere, en ophavsretspolitik og et offentligt resumé af træningsindholdet. En model klassificeres som havende "systemisk risiko", når den beregningskraft, der er brugt til at træne den, overstiger 10^25 flydende kommaoperationer, hvilket medfører ekstra pligter omkring modelevaluering, adversarial testning, risikohåndtering og hændelsesindberetning til EU's AI-kontor. Disse regler har været gældende siden 2. august 2025.

    AI-færdigheder: Forpligtelsen næsten alle overser (Artikel 4)

    Artikel 4 er kort, let at overse og gælder for næsten alle. Den kræver, at udbydere og idriftsættere sikrer et tilstrækkeligt niveau af AI-færdigheder blandt medarbejdere og alle, der betjener AI på deres vegne. Den gælder på tværs af alle risikoniveauer, så selv hvis alt hvad du gør er at lade medarbejdere bruge ChatGPT, lander denne på dig. Den har været gældende siden 2. februar 2025.

    Den gode nyhed er, at der ikke er noget foreskrevet pensum, eksamen eller certifikat. Forpligtelsen er proportional og rollebaseret, og det fornuftige svar er ligetil: giv folk træning, der matcher, hvordan de faktisk bruger AI, og dokumentér at du har gjort det. Vores artikel om AI-færdigheder under AI-forordningen beskriver, hvordan det ser ud i praksis.

    Bøder: Hvad manglende compliance koster (Artikel 99)

    AI-forordningen bruger trinvise bøder, og beløbet afhænger af, hvilken forpligtelse du overtræder. Flere citerer det iøjnefaldende tal på 7%, men det fulde billede betyder noget, for de fleste forpligtelser ligger i de lavere trin.

    Overtrædelse Maksimal bøde
    Forbudte praksisser (artikel 5) Op til 35 mio. euro eller 7% af den globale årlige omsætning, alt efter hvad der er højest
    De fleste operatørforpligtelser (udbydere, idriftsættere, importører, distributører, transparens) Op til 15 mio. euro eller 3%
    Afgivelse af urigtige eller vildledende oplysninger til myndigheder Op til 7,5 mio. euro eller 1%

    Der er lempelse for mindre virksomheder. For SMV'er og startups er bøden den laveste af det faste beløb eller procentsatsen, ikke den højeste. Udbydere af AI-modeller til almen brug står over for et separat regime med bøder op til 15 mio. euro eller 3%, pålagt af Kommissionen.

    Tidslinjen og hvorfor vi ikke låser os fast på datoer

    AI-forordningen blev designet til at gælde i etaper i stedet for på én gang. Forbudte praksisser og AI-færdigheder kom først, derefter regler for AI til almen brug, med højrisiko-forpligtelser senere. Sådan var planen. I praksis har datoerne vist sig at være et bevægeligt mål.

    I slutningen af 2025 foreslog Europa-Kommissionen Digital Omnibus, en forenklingspakke, der blandt andet udskyder højrisiko-deadlines og justerer flere forpligtelser. Tidslinjen for højrisiko efter bilag III rykkede fra august 2026 til december 2027, og tidslinjen for indlejret højrisiko efter bilag I rykkede til august 2028. Pakken nåede endelig vedtagelse i Rådet i midten af 2026 og binder først, når den offentliggøres i EU-Tidende.

    Det er præcis derfor, vi har bygget guiden op om forpligtelser snarere end datoer. Deadlines har allerede rykket sig én gang og kan rykke sig igen. At behandle en udskydelse som en frikendelse er en fejl, for den ekstra tid er et planlægningsvindue, ikke en aflysning. De to opgaver, der betyder mest, at kortlægge din AI og klassificere hvert system efter risiko, afhænger ikke af nogen deadline eller af, at harmoniserede standarder bliver færdige. Du kan og bør begynde nu. Deadlinen rykkede sig. Forpligtelsen gjorde ikke.

    AI-forordningen og GDPR: Hvordan de spiller sammen

    Hvis din AI behandler personoplysninger, og det gør de fleste, efterlever du to regelsæt på én gang. AI-forordningen erstatter ikke GDPR. Den ligger ved siden af, og GDPR er fortsat den lov, der afgør, om din behandling af personoplysninger er lovlig. At få overlappet rigtigt er der, hvor du sparer mest arbejde, så det er værd at være præcis.

    Det mest udbredte forvirringspunkt er forholdet mellem en GDPR-konsekvensanalyse (DPIA, efter GDPR artikel 35) og AI-forordningens konsekvensanalyse vedrørende grundlæggende rettigheder (FRIA, efter artikel 27). Du vil ofte læse, at en DPIA "dækker" din AI-forordningsdokumentation. Det er ikke helt rigtigt, og unøjagtigheden kan spænde ben for dig. Den korrekte position er, at FRIA'en supplerer DPIA'en, den erstatter den ikke. Hvor en DPIA allerede dækker noget af det krævede indhold, kan du støtte dig til den for den del. Men FRIA'en er en selvstændig forpligtelse, der skal laves før idriftsættelse, og den gælder for en snævrere kreds af idriftsættere end DPIA'en. Mange virksomheder skylder en DPIA, men ikke en FRIA, og en håndfuld skylder begge.

    Aspekt DPIA (GDPR art. 35) FRIA (AI-forordningen art. 27)
    Fokus Risici for personoplysninger Risici for grundlæggende rettigheder
    Hvem Dataansvarlige, ved højrisiko-behandling En snævrere kreds af højrisiko-idriftsættere
    Forhold Kan dække en del af FRIA-indholdet Supplerer, erstatter ikke, DPIA'en

    To andre overlap er værd at kende. AI-forordningens artikel 10 fastsætter krav til datakvalitet og undersøgelse for bias for højrisiko-systemer oven på GDPR, og artikel 10, stk. 5, tillader behandling af følsomme oplysninger specifikt for at opdage og korrigere bias, dog som supplement til og ikke i stedet for et GDPR artikel 9-grundlag. Og rollerne flugter pænt: dataansvarlig og databehandler under GDPR svarer til udbyder og idriftsætter under AI-forordningen. Din DPO er den oplagte person til at koordinere begge. Har du ikke en, er vores guide om hvad en DPO laver et godt sted at starte, og vores overblik over GDPR compliance dækker fundamentet.

    En praktisk køreplan i seks trin

    Du behøver ikke gøre alt på én gang. Denne rækkefølge tager dig fra bar bund til en forsvarlig position, og de første to trin leverer det meste af værdien.

    1. Kortlæg dine AI-systemer. Byg en fortegnelse over hvert AI-system i brug, inklusive de værktøjer, der ligger gemt i software, du allerede har licens til. Genbrug din GDPR-fortegnelse over behandlingsaktiviteter som udgangspunkt. Du kan ikke styre det, du ikke kan se.
    2. Klassificér hvert system efter risiko. Kør hvert system gennem de fire niveauer. De fleste vil være minimal eller begrænset risiko. Markér alt, der rører ved et bilag III-område eller en forbudt praksis.
    3. Etablér governance. Beslut hvem der ejer AI-beslutninger, fastsæt en intern AI-politik, og tildel klart ansvar for tilsyn.
    4. Dokumentér. Før optegnelser over dine klassificeringsbeslutninger, dine risikovurderinger og dine begrundelser. Støtter du dig til undtagelsen i artikel 6, stk. 3, så dokumentér hvorfor.
    5. Bring det i overensstemmelse med GDPR. Kombinér dit DPIA- og FRIA-arbejde, hvor de overlapper, involvér din DPO, og undgå at lave den samme vurdering to gange.
    6. Træn dit team. Lever rollebaseret AI-færdighedstræning efter artikel 4, og registrér at du har gjort det.

    Din klar-til-brug AI Act tjekliste

    Brug denne som arbejdstjekliste. Den dækker både AI-forordningens og GDPR's forpligtelser, så du ikke sporer dem hvert sit sted.

    ☐ Vi har kortlagt hvert AI-system i brug, inklusive indlejret AI
    ☐ Vi har klassificeret hvert system i ét af de fire risikoniveauer
    ☐ Vi har bekræftet at intet system falder under forbuddene i artikel 5
    ☐ Vi har identificeret vores rolle (udbyder, idriftsætter, importør, distributør) for hvert system
    ☐ Vi har tjekket rolleskift-risikoen i artikel 25 for systemer vi ændrer eller rebrander
    ☐ For højrisiko-systemer har vi kortlagt kravene i artikel 8-15
    ☐ Vi har vurderet om en FRIA (artikel 27) er påkrævet, og lavet den hvor den er
    ☐ Vi opfylder transparenspligterne i artikel 50 for chatbots og AI-genereret indhold
    ☐ Vi har leveret og dokumenteret AI-færdighedstræning (artikel 4)
    ☐ Vi har afstemt vores DPIA- og FRIA-arbejde og involveret vores DPO
    ☐ Vi har tildelt klart ejerskab og fastsat en intern AI-politik
    ☐ Vi opbevarer dokumentation for vores beslutninger og begrundelser
     

    De danske myndigheder og hvad der gælder i Danmark

    AI-forordningen gælder ens i hele EU, men tilsyn og håndhævelse er nationalt, og her har Danmark en opbygning, du bør kende. Digitaliseringsstyrelsen er Danmarks nationale koordinerende myndighed og centrale kontaktpunkt.

    Tilsynet med de forbudte praksisser i artikel 5 er delt mellem flere myndigheder efter Lov nr. 467 af 14. maj 2025 (supplerende bestemmelser til AI-forordningen). Digitaliseringsstyrelsen fører tilsyn med størstedelen af forbuddene, Datatilsynet fører tilsyn med forbuddene om kriminalitetsprofilering og biometrisk kategorisering, og Domstolsstyrelsen dækker domstolene. En dansk detalje værd at bemærke: på grund af det danske retsforbehold gælder dele af forbuddet mod kriminalitetsprofilering ikke i Danmark.

    Til at komme i gang tilbyder Datatilsynet og Digitaliseringsstyrelsen en regulatorisk AI-sandkasse med gratis, konkret vejledning om GDPR og risikoklassificering under AI-forordningen. Det er et brugbart sted at teste en tvivlsom klassificering, før du idriftsætter. Håndhævelsen af bøder for forbudte praksisser trådte i kraft i Danmark 2. august 2025, da sanktionerne i Lov nr. 467 fik virkning.

    Sådan hjælper .legal dig med at blive AI Act-klar

    At gøre det her i regneark virker, lige indtil det ikke gør. Efterhånden som din AI-fortegnelse vokser, og deadlines flytter sig, bliver det en reel byrde at holde klassificeringer, vurderinger og træningsoptegnelser synkroniseret i hånden. Vores AI Act Framework er bygget til at bære den byrde for dig.

    • Et guidet klassificeringsflow, der fører hvert system gennem de fire risikoniveauer
    • Et centralt register over dine AI-systemer, roller og risikoniveauer
    • Sammenkædede DPIA- og FRIA-workflows, så du ikke dublerer GDPR-arbejde
    • Dokumentation og revisionsspor klar til tilsynsmyndigheder
    • Én platform til AI-forordningen, GDPR og dine øvrige frameworks samlet

    Pointen er ikke mere administration. Det er at bruge din tid på de faktiske governance-beslutninger i stedet for papirarbejdet omkring dem. Se hvordan det virker, eller book en demo og gå din egen AI-fortegnelse igennem sammen med os.

     

    Oftest stillede spørgsmål om AI-forordningen

    Hvad er AI-forordningen kort fortalt?

    AI-forordningen (Forordning (EU) 2024/1689) er verdens første samlede lov om kunstig intelligens. Den regulerer AI efter den risiko, systemet udgør for mennesker, med fire niveauer: forbudte anvendelser der er bandlyst, højrisiko-systemer med strenge krav, systemer med begrænset risiko med transparenspligter, og AI med minimal risiko der stort set ikke er reguleret. Jo højere risiko, jo strengere regler.

    Gælder AI-forordningen for virksomheder uden for EU?

    Ja. Efter artikel 2 gælder AI-forordningen for udbydere, der bringer AI i omsætning på EU-markedet uanset hvor de er baseret, for idriftsættere placeret i EU, og for udbydere og idriftsættere uden for EU, når systemets output bruges i EU. Denne udløser om at output bruges i EU er en lavere barre end GDPR's targeting-standard, så mange virksomheder uden for EU er omfattet. Udbydere uden for EU af højrisiko-systemer skal udpege en autoriseret repræsentant i EU.

    Hvad er de fire risikokategorier i AI-forordningen?

    Uacceptabel eller forbudt risiko (bandlyst efter artikel 5), højrisiko (tilladt men strengt reguleret efter artikel 6 og bilag I og III), begrænset eller transparens-risiko (tilladt med oplysningspligter efter artikel 50), og minimal risiko (langt det meste AI, uden obligatoriske krav). Klassificering følger hvordan et system bruges, ikke hvor avanceret det er.

    Hvor mange forbudte AI-praksisser er der i AI-forordningen?

    Den oprindelige tekst i AI-forordningen fastsætter otte forbudte praksisser i artikel 5, med bogstaverne (a) til (h), der dækker ting som social scoring, utilsigtet skrabning af ansigtsbilleder, følelsesgenkendelse på arbejdspladsen og realtids fjernbiometrisk identifikation. De har været gældende siden 2. februar 2025. Digital Omnibus tilføjer et yderligere forbud mod AI-genereret ikke-samtykkende intimt billedmateriale og materiale med seksuelt misbrug af børn, så billedet beskrives bedst som otte oprindelige praksisser plus et nyt forbud.

    Hvad tæller som et højrisiko-AI-system?

    Et system er højrisiko efter artikel 6 ad én af to veje: det er en sikkerhedskomponent i et produkt, der allerede er reguleret af EU-lovgivning (bilag I), eller det bruges i ét af otte områder oplistet i bilag III, herunder biometri, kritisk infrastruktur, uddannelse, beskæftigelse, væsentlige tjenester som kreditvurdering, retshåndhævelse, migration og retspleje. En begrænset undtagelse i artikel 6, stk. 3, gælder for snævre proceduremæssige opgaver, men profilering af personer er altid højrisiko.

    Hvad er forskellen på en udbyder og en idriftsætter?

    En udbyder udvikler et AI-system eller en AI-model til almen brug og bringer det i omsætning under eget navn. En idriftsætter bruger et AI-system under egen myndighed i en professionel sammenhæng. De fleste virksomheder er idriftsættere. Vær opmærksom på artikel 25: en idriftsætter kan blive til en udbyder, med de tungere forpligtelser det medfører, hvis den sætter sit navn på et højrisiko-system, væsentligt ændrer det, eller ændrer dets tilsigtede formål.

    Hvornår gælder deadlines i AI-forordningen efter Digital Omnibus?

    AI-forordningen gælder i etaper. Forbudte praksisser og AI-færdigheder har været gældende siden februar 2025, og regler for AI til almen brug siden august 2025. Digital Omnibus-forenklingspakken rykkede højrisiko-deadlines tilbage og flyttede selvstændig højrisiko (bilag III) til december 2027 og indlejret højrisiko (bilag I) til august 2028. Fordi disse datoer allerede har rykket sig og kan rykke sig igen, er den fornuftige tilgang at fokusere på forpligtelserne og begynde din AI-kortlægning og risikoklassificering nu.

    Hvad er bøderne for at overtræde AI-forordningen?

    Bøderne er trinvise. Forbudte praksisser efter artikel 5 medfører op til 35 mio. euro eller 7% af den globale årlige omsætning, alt efter hvad der er højest. De fleste andre operatørforpligtelser medfører op til 15 mio. euro eller 3%. Afgivelse af urigtige eller vildledende oplysninger til myndigheder medfører op til 7,5 mio. euro eller 1%. For SMV'er og startups gælder den laveste af det faste beløb eller procentsatsen. Udbydere af AI til almen brug står over for et separat regime på op til 15 mio. euro eller 3%.

    Hvordan hænger AI-forordningen sammen med GDPR, og tæller min DPIA?

    AI-forordningen ligger ved siden af GDPR i stedet for at erstatte den, og GDPR afgør fortsat lovligheden af behandling af personoplysninger. En GDPR-konsekvensanalyse (artikel 35) og AI-forordningens konsekvensanalyse vedrørende grundlæggende rettigheder (artikel 27) er beslægtede men adskilte. FRIA'en supplerer DPIA'en og erstatter den ikke. Hvor din DPIA allerede dækker noget af det krævede indhold, kan du støtte dig til den for den del, men FRIA'en er en selvstændig forpligtelse og gælder for en snævrere kreds af idriftsættere.

    Er ChatGPT og Microsoft Copilot reguleret under AI-forordningen?

    Ja. Det er AI-systemer til almen brug, og brugen af dem på arbejdet gør din virksomhed til en idriftsætter. Det medfører forpligtelser, herunder transparens efter artikel 50 og AI-færdigheder efter artikel 4. De underliggende modeller har også forpligtelser på udbydersiden efter kapitel V, og modeller trænet med mere end 10^25 flydende kommaoperationer behandles som havende systemisk risiko med yderligere pligter.

    Har du fortsat spørgsmål?

    Spørg Johannes direkte, han giver de fleste af vores demoer personligt

    Book ham her
    airoleassessment

    Hvilken AI Act-rolle Har Du?

    Forskellige roller. Forskellige krav. Få det rigtigt fra dag ét. Find dine roller på 2 minutter
    • Udbyder? Du udvikler eller markedsfører AI-systemer
    • Idriftsætter? Du bruger AI-systemer i din drift
    • Importør? Du bringer AI-systemer ind i EU
    • I tvivl? Tag vores 2-minutters vurdering
    Processing activities

    .legal compliance platform Kortlæg Dine AI Act-roller og Forpligtelser

    Du kan ikke styre den AI, du ikke kan se. .legal giver dig et live-register over hvert AI-system, et guidet flow til at klassificere hvert efter risiko, sammenkædede DPIA- og FRIA-workflows, og revisionsklar dokumentation - AI-forordningen og GDPR samlet ét sted.
    • Kortlæg udbyder-, idriftsætter- og distributørroller pr. AI-system
    • Få rollespecifikke compliance-tjeklister automatisk
    • Følg forpligtelser og deadlines for hver rolle
    • Dokumentér compliance-dokumentation på én central platform
    • Generér revisionsklare rapporter til myndighedsforespørgsler
    +400 virksomheder bruger .legal
    Region Sjælland
    Aarhus Universitet
    aj_vaccines_logo
    Realdania
    Right People
    IO Gates
    PLO
    Finans Danmark
    geia-food
    Evida
    Klasselotteriet
    NRGI1
    BLUE WATER SHIPPING
    Karnov
    VP Securities
    AH Industries
    Ingvard Christensen
    Lægeforeningen
    InMobile
    AK Nygart
    DEIF
    DMJX
    KAUFMANN (1)
    qUINT Logo
    Axel logo
    SMILfonden-logo
    skodsborg_logo-1
    nemlig.com
    Molecule Consultancy
    Novicell