Højrisiko-AI-system

Et højrisiko-AI-system er et AI-system, der bruges i kritiske områder og kan påvirke menneskers sundhed, sikkerhed eller grundlæggende rettigheder. AI-forordningen stiller strenge krav til disse systemer, herunder dokumentation, test og menneskelig kontrol.

Tilbage til ordbog

Hvad er et højrisiko-AI-system?

Et højrisiko-AI-system er et AI-system, der bruges i områder, hvor fejl eller misbrug kan have alvorlige konsekvenser for mennesker. Det er den næsthøjeste risikokategori i AI-forordningen, lige under de forbudte AI-praksisser.

Højrisiko-AI-systemer er ikke forbudt. De må bruges, men kun hvis de opfylder en række strenge krav til kvalitet, sikkerhed og gennemsigtighed. Formålet er at sikre, at AI i kritiske beslutninger er pålidelig og kan kontrolleres af mennesker.

Eksempler på højrisiko-AI-systemer er AI til kreditvurdering, AI-baseret rekruttering, medicinske diagnoseværktøjer og AI til tildeling af offentlige ydelser. Fælles for dem er, at de træffer eller understøtter beslutninger, der direkte påvirker menneskers liv.

Hvordan klassificeres højrisiko-AI?

AI-forordningen definerer to veje til højrisiko-klassifikation:

Bilag I: Produktsikkerhed. AI-systemer der fungerer som sikkerhedskomponenter i produkter, som allerede er reguleret af EU-lovgivning. Det gælder f.eks. medicinsk udstyr, maskiner, legetøj, elevatorer og køretøjer. Hvis AI-systemet skal CE-mærkes under eksisterende lovgivning, er det automatisk højrisiko.

Bilag III: Specifikke anvendelsesområder. AI-systemer der bruges i følgende otte områder:

Biometri: Fjernidentifikation af personer (undtagen verifikation, f.eks. ansigtsopIåsning af telefon).
Kritisk infrastruktur: AI til styring af vand, gas, el, varme og transport.
Uddannelse: AI der vurderer elevers adgang til eller resultat i uddannelsesinstitutioner.
Beskæftigelse: AI til rekruttering, screening af kandidater, forfremmelser og opsigelser.
Offentlige ydelser: AI der vurderer borgeres adgang til ydelser, kreditvurdering og forsikringsberegning.
Retshåndhævelse: AI til risikovurdering af personer, polygrafer og bevismaterialeanalyse.
Migration og grænseforvaltning: AI til visum- og asylbehandling og overvågning ved grænser.
Retspleje og demokrati: AI der bistår retslige myndigheder og bruges til at påvirke valgresultater.

Der er en vigtig undtagelse: et AI-system på bilag III er ikke højrisiko, hvis det udfører en snæver proceduremæssig opgave, forbedrer resultatet af en allerede gennemført menneskelig aktivitet, eller er et forberedende værktøj uden indflydelse på den endelige beslutning. Udbyderen skal dokumentere denne vurdering.

Krav til højrisiko-AI-systemer

Kravene til højrisiko-AI-systemer er de mest omfattende i AI-forordningen. De gælder fra 2. august 2026 (2027 for produkter under bilag I).

Risikostyringssystem: Et løbende risikostyringssystem der identificerer, analyserer og håndterer risici gennem hele systemets livscyklus. Det ligner den tilgang, du kender fra ISMS og risikovurdering.
Datastyring: Trænings-, validerings- og testdata skal opfylde kvalitetskrav. Data skal være relevant, repræsentativ og i videst muligt omfang fri for fejl og bias.
Teknisk dokumentation: Fuld dokumentation af systemets design, formål, kapaciteter og begrænsninger. Dokumentationen skal gøre det muligt for myndigheder at vurdere systemet.
Logføring: Automatisk registrering af hændelser (logs), der gør det muligt at spore systemets beslutninger og identificere risici.
Transparens: Brugere skal have klare instruktioner om systemets formål, kapaciteter, begrænsninger og risici.
Menneskelig kontrol: Systemet skal designes, så mennesker effektivt kan overvåge og om nødvendigt tilsidesatte det. Se menneskelig kontrol af AI.
Nøjagtighed, robusthed og cybersikkerhed: Systemet skal fungere korrekt og modstå fejl, angreb og uventede situationer.

Før et højrisiko-AI-system kan markedsføres, skal udbyderen gennemføre en overensstemmelsesvurdering og registrere systemet i EU's database.

Roller og ansvar

Udbyderen bærer hovedansvaret. Det er den organisation, der udvikler et højrisiko-AI-system eller får det udviklet med henblik på at markedsføre det. Udbyderen skal opfylde alle kravene ovenfor, gennemføre overensstemmelsesvurderingen og løbende overvåge systemet efter markedsføring.

Brugeren (deployer) har også forpligtelser. Hvis din organisation bruger et højrisiko-AI-system, skal du:

Anvende systemet i overensstemmelse med brugsanvisningen.
Sikre menneskelig kontrol af de personer, der overvåger systemet.
Overvåge systemets drift og rapportere risici eller alvorlige hændelser til udbyderen.
Gennemføre en konsekvensanalyse for grundlæggende rettigheder (for visse offentlige organer og private virksomheder).

Hvis du bruger et højrisiko-AI-system til beslutninger om personer i GDPR’s forstand, skal du også overholde kravene til automatiserede afgørelser i GDPR artikel 22. De to regelsæt supplerer hinanden.

Ofte stillede spørgsmål om højrisiko-ai-system

Hvad er et højrisiko-AI-system?

Et højrisiko-AI-system er et AI-system, der bruges i kritiske områder som sundhed, uddannelse, ansættelse eller retshåndhævelse. Det skal opfylde strenge krav til dokumentation, test, transparens og menneskelig kontrol.

Hvordan ved jeg, om mit AI-system er højrisiko?

AI-forordningen definerer to kategorier: AI-systemer der er sikkerhedskomponenter i produkter reguleret af EU-lovgivning (bilag I), og AI-systemer brugt i specifikke områder som biometri, kritisk infrastruktur, uddannelse, ansættelse, retshåndhævelse og migration (bilag III).

Hvornår gælder kravene til højrisiko-AI-systemer?

Hovedparten af kravene gælder fra 2. august 2026. For højrisiko-AI-systemer i regulerede sektorer (f.eks. medicinsk udstyr) gælder kravene fra 2. august 2027.

Hvem er ansvarlig for at overholde kravene til højrisiko-AI?

Udbyderen (den der udvikler eller markedsfører systemet) har hovedansvaret. Brugere af højrisiko-AI har også forpligtelser, herunder at bruge systemet korrekt og overvåge dets drift.