Overensstemmelsesvurdering (AI)

En overensstemmelsesvurdering er den formelle proces, hvor en udbyder dokumenterer, at et højrisiko-AI-system opfylder alle krav i AI-forordningen. Uden en gyldig vurdering må systemet ikke markedsføres eller bruges i EU.

Tilbage til ordbog

Hvad er en overensstemmelsesvurdering?

En overensstemmelsesvurdering (conformity assessment) er den proces, hvor udbyderen af et højrisiko-AI-system systematisk verificerer og dokumenterer, at systemet lever op til alle relevante krav i AI-forordningen.

Konceptet er velkendt fra produktsikkerhedslovgivning. Ligesom en producent af medicinsk udstyr skal bevise, at produktet er sikkert, før det må sælges, skal en udbyder af højrisiko-AI bevise, at systemet er compliant, før det må bruges i EU.

Overensstemmelsesvurderingen er ikke en engangshændelse. Den skal gennemføres, før systemet markedsføres, og gentages, hvis systemet ændres væsentligt. Tænk på det som en løbende complianceforpligtelse, der minder om den dokumentation, du kender fra ISMS under ISO 27001.

Proceduren trin for trin

En overensstemmelsesvurdering for et højrisiko-AI-system følger en struktureret proces:

1. Kvalitetsstyringssystem: Udbyderen skal have et kvalitetsstyringssystem, der dækker hele AI-systemets livscyklus. Systemet skal dokumentere procedurer for design, udvikling, test, overvågning og vedligeholdelse.
2. Teknisk dokumentation: Al teknisk dokumentation skal udarbejdes i henhold til AI-forordningens bilag IV. Det omfatter systemets formål, arkitektur, træningsdata, testresultater, ydeevne og begrænsninger.
3. Verifikation af krav: Udbyderen verificerer systematisk, at hvert enkelt krav i AI-forordningen er opfyldt. Det inkluderer risikovurdering, datastyring, transparens, menneskelig kontrol, nøjagtighed og cybersikkerhed.
4. Test og validering: Systemet skal testes grundigt for at verificere, at det fungerer som dokumenteret. Test skal dække både normale driftsbetingelser og edge cases.
5. EU-overensstemmelseserklaring: Udbyderen udsteder en formel erklæring om, at systemet opfylder kravene. Erklæringen refererer til den tekniske dokumentation og testresultaterne.
6. CE-mærkning: Systemet forsynes med CE-mærkning, der viser, at det er vurderet og fundet compliant.
7. Registrering: Systemet registreres i EU's database for højrisiko-AI-systemer, før det markedsføres.

Intern vs. ekstern vurdering

For de fleste højrisiko-AI-systemer kan udbyderen selv gennemføre overensstemmelsesvurderingen. Det kaldes en intern vurdering og svarer til den selvvurdering, mange kender fra GDPR’s konsekvensanalyser (DPIA).

Der er en vigtig undtagelse: AI-systemer til real-time og post-biometrisk fjernidentifikation af personer kræver en ekstern vurdering udført af et notificeret organ (en uafhængig tredjepart). Det skyldes den særlige risiko, som biometrisk identifikation udgør for borgeres rettigheder.

Hvis et højrisiko-AI-system også er reguleret af anden EU-produktlovgivning (f.eks. som medicinsk udstyr), skal overensstemmelsesvurderingen for AI-kravene integreres i den eksisterende vurderingsprocedure for produktet. Du behøver ikke gennemføre to separate vurderinger.

Uanset om vurderingen er intern eller ekstern, skal al dokumentation opbevares i mindst ti år og stilles til rådighed for tilsynsmyndigheder på forespørgsel.

Efter vurderingen

Overensstemmelsesvurderingen er ikke slutpunktet. Udbyderen har en løbende forpligtelse til at overvåge systemet efter markedsføring (post-market monitoring). Det indebærer:

Systematisk indsamling og analyse af data om systemets ydeevne i drift.
Vurdering af, om nye risici er opstået, siden vurderingen blev gennemført.
Rapportering af alvorlige hændelser til tilsynsmyndighederne.
Ny overensstemmelsesvurdering, hvis systemet ændres væsentligt.

En væsentlig ændring er enhver ændring, der går ud over, hvad udbyderen har forudset i den tekniske dokumentation. Det kan være ændringer i træningsdata, systemets formål eller de betingelser, det bruges under. Grænsen minder om den vurdering, du kender fra GDPR, hvor væsentlige ændringer i persondata-behandling kræver en ny konsekvensanalyse.

Start forberedelserne tidligt. En grundig overensstemmelsesvurdering tager tid, og kravene til teknisk dokumentation er omfattende. Organisationer, der allerede arbejder struktureret med tekniske og organisatoriske foranstaltninger, har et godt udgangspunkt.

Ofte stillede spørgsmål om overensstemmelsesvurdering (ai)

Hvad er en overensstemmelsesvurdering i AI-forordningen?

Det er den formelle proces, hvor udbyderen af et højrisiko-AI-system dokumenterer, at systemet opfylder AI-forordningens krav til sikkerhed, transparens, dokumentation og menneskelig kontrol, før det kan markedsføres i EU.

Hvem skal gennemføre en overensstemmelsesvurdering?

Udbyderen af et højrisiko-AI-system er ansvarlig for at gennemføre overensstemmelsesvurderingen. For de fleste systemer kan udbyderen selv gennemføre vurderingen (intern vurdering). For visse biometriske systemer kræves en uafhængig tredjepart.

Hvornår skal overensstemmelsesvurderingen gennemføres?

Vurderingen skal gennemføres, før systemet markedsføres eller tages i brug. Den skal også opdateres, hvis systemet ændres væsentligt. Kravet gælder fra august 2026 for de fleste højrisiko-AI-systemer.

Hvad sker der, hvis man ikke gennemfører en overensstemmelsesvurdering?

At markedsføre eller bruge et højrisiko-AI-system uden gyldig overensstemmelsesvurdering er en overtrædelse af AI-forordningen. Det kan medføre bøder op til 15 millioner euro eller 3% af den globale årlige omsætning.