Risikokategorier i AI

AI-forordningen bygger på en risikobaseret tilgang, der klassificerer AI-systemer i fire kategorier: uacceptabel, høj, begrænset og minimal risiko. Kategoriseringen bestemmer, hvilke krav der gælder for dit AI-system.

Tilbage til ordbog

Den risikobaserede tilgang

AI-forordningen regulerer ikke alle AI-systemer ens. I stedet bruger den en risikobaseret tilgang: jo højere risiko et AI-system udgør for menneskers sundhed, sikkerhed eller grundlæggende rettigheder, desto strengere krav skal det opfylde.

Tilgangen er proportional. Et AI-system der sorterer e-mails har stort set ingen krav, mens et AI-system der vurderer kreditansøgninger eller assisterer ved medicinske diagnoser skal opfylde strenge regler.

Princippet er velkendt fra anden EU-regulering. GDPR bruger en lignende tilgang, hvor behandling af persondata med høj risiko kræver en konsekvensanalyse. AI-forordningen tager denne logik videre med fire klart definerede niveauer.

De fire risikoniveauer

1. Uacceptabel risiko (forbudt)

Forbudte AI-praksisser er AI-anvendelser, der udgør en så alvorlig trussel, at de slet ikke må bruges i EU. Det omfatter social scoring af borgere, AI der manipulerer sårbare grupper, og real-time biometrisk masseovervågning i offentlige rum (med snævre undtagelser). Forbuddet har været gældende siden februar 2025.

2. Høj risiko

Højrisiko-AI-systemer bruges i kritiske områder som sundhed, uddannelse, ansættelse, retshåndhævelse og kritisk infrastruktur. De er ikke forbudt, men skal opfylde omfattende krav til risikostyring, teknisk dokumentation, datastyring, transparens, menneskelig kontrol og cybersikkerhed. Udbyderen skal gennemføre en overensstemmelsesvurdering og registrere systemet i EU's database. Kravene gælder fra august 2026.

3. Begrænset risiko

AI-systemer med begrænset risiko har transparensforpligtelser. Det gælder tre typer:

AI der interagerer med mennesker: Chatbots og virtuelle assistenter skal oplyse brugeren om, at de kommunikerer med et AI-system (medmindre det er åbenlyst).
AI der genererer syntetisk indhold: Deepfakes og AI-genererede billeder, lyd og video skal mærkes maskinlæsbart som AI-genereret.
Emotionsgenkendelsessystemer: Systemer der bruger emotionsgenkendelse eller biometrisk kategorisering (uden for de forbudte anvendelser) skal informere de berørte personer.

4. Minimal risiko

Langt de fleste AI-systemer falder i denne kategori. Spamfiltre, AI i computerspil, AI-drevet autokorrektur og anbefalingssystemer til musik og film er alle eksempler. AI-forordningen stiller ingen specifikke krav til disse systemer.

Sådan klassificerer du dit AI-system

Start med at kortlægge alle AI-systemer i din organisation. For hvert system bør du stille fire spørgsmål:

Er det forbudt? Tjek systemet mod listen over forbudte AI-praksisser i artikel 5. Hvis ja, skal brugen stoppes med det samme.
Er det højrisiko? Tjek om systemet er en sikkerhedskomponent i et reguleret produkt (bilag I) eller bruges i et af de otte specifikke områder i bilag III (biometri, kritisk infrastruktur, uddannelse, beskæftigelse, offentlige ydelser, retshåndhævelse, migration, retspleje).
Har det transparenskrav? Interagerer systemet direkte med mennesker, genererer det syntetisk indhold, eller bruger det emotionsgenkendelse? Så har det transparensforpligtelser.
Ingen af ovenstående? Systemet er minimal risiko og har ingen specifikke AI-forordningskrav.

Dokumenter klassificeringen og begrundelsen for hvert system. Det giver dig et overblik over din organisations samlede AI-risikoprofil og er udgangspunktet for at planlægge compliancearbejdet.

Tværgående krav

Uanset risikokategori gælder to krav for alle organisationer, der bruger AI:

AI-literacy: Alle medarbejdere og personer der arbejder med AI-systemer, skal have tilstrækkelig forståelse af AI til at kunne bruge det ansvarligt. Kravet gælder fra august 2025.

Anden lovgivning: AI-forordningen erstatter ikke eksisterende lovgivning. GDPR gælder stadig for al behandling af persondata. Sektorspecifik lovgivning gælder parallelt. Et AI-system med minimal risiko under AI-forordningen kan sagtens have omfattende krav under andre regelsæt.

Den risikobaserede tilgang gør det muligt at prioritere ressourcerne rigtigt. Begynd med at sikre, at du ikke bruger forbudte praksisser, identificer derefter dine højrisiko-systemer, og sørg til sidst for, at transparenskravene er opfyldt.

Ofte stillede spørgsmål om risikokategorier i ai

Hvad er de fire risikokategorier i AI-forordningen?

De fire kategorier er: uacceptabel risiko (forbudt), høj risiko (strenge krav), begrænset risiko (transparenskrav) og minimal risiko (ingen specifikke krav). Kategoriseringen afgør, hvilke forpligtelser der gælder for dit AI-system.

Hvordan finder jeg ud af, hvilken risikokategori mit AI-system tilhører?

Tjek først om systemet falder under forbuddene i artikel 5. Dernæst om det bruges i et af de otte højrisikoområder i bilag III eller er en sikkerhedskomponent i et produkt under bilag I. Hvis ingen af delene gælder, er det enten begrænset eller minimal risiko.

Hvad er begrænset risiko i AI-forordningen?

Begrænset risiko dækker AI-systemer med transparensforpligtelser. Det gælder f.eks. chatbots, der skal oplyse brugeren om, at de taler med en AI, og systemer der genererer deepfakes, der skal mærkes.

Har AI-systemer med minimal risiko nogen krav?

AI-forordningen stiller ingen specifikke krav til AI-systemer med minimal risiko. Dog gælder kravet om AI-literacy for alle organisationer, der bruger AI, uanset risikoniveau. Andre love som GDPR kan stadig stille krav.