Nikolaj Bondo Strunk
Underskriver du EU’s nye AI-adfærdskodeks, får du et håndfast bevis på compliance: myndighederne vil som udgangspunkt anse kravene i AI-forordningen for opfyldt, og dine administrative byrder falder markant. Dette soft-law greb ændrer praktisk talt spillereglerne for GPAI-udbydere fra 2. august 2025.
Hvad betyder dette for din virksomhed?
Virksomheder skal nu afklare, om de er udbydere af en GPAI-model (egenudviklet eller outsourcet og markedsført som værktøj) eller blot brugere. Udbydere bør overveje at tilslutte sig kodeksen for at få forenklet dokumentation, hurtigere dialog med tilsyn og en klarere intern governance. Google, Microsoft og OpenAI har underskrevet, mens Meta afstår.
Ophavsretlige forpligtelser i praksis
Den nye praksis betyder, at din ophavsretspolitik skal være mere end papir. Kodeksen kræver udpegning af ansvarlige personer, respekt for maskinlæsbare opt-outs som robots.txt, og en klageordning for rettighedshavere. Derudover skal tekniske foranstaltninger mod output, der reproducerer træningsmateriale, faktisk implementeres.
Open source-udgaver fritager ikke for ansvar: brugerne skal advares om mulige krænkelser. Samtidig pålægges underskrivere at undgå indsamling fra kendte piratsider ved webcrawling. Overser du dette, risikerer du både ophavsretlige krav og regulatorisk mistillid.
Transparens om træningsdata
Udbydere skal offentliggøre en tilstrækkeligt detaljeret sammenfatning af træningsindholdet efter en skabelon fra AI-kontoret. Fokus er på brede beskrivelser og nøgle-datasæt – med hensyn til forretningshemmeligheder – så rettighedshavere reelt kan udøve deres rettigheder. Krav om lovlighedstjek af tredjepartsdatabaser er dog droppet.
Vil du dykke ned i detaljerne, kan du Læs AI-adfærdskodeksen her. og Læs AI-forordningen her. Retningslinjerne for GPAI, offentliggjort 18. juli, supplerer tidsplanen og skæringsdatoen 2. august 2025.
Start med en gapanalyse: Har du en dokumenteret ophavsretspolitik, ansvarspersoner og en klagekanal? Kan dine datainfrastrukturer respektere opt-outs i skala? Har du tekniske guardrails mod memorisering og reproduktion? Og er governance på plads for at offentliggøre træningsdatasammenfatningen uden at røbe forretningshemmeligheder?
Endelig: Afklar rollefordeling i kæden. Hvis du bygger oven på tredjepartsmodeller, får du mere indsigt i træningsdata. Brug den aktivt til risikovurdering, licensstrategi og kontraktkrav til leverandører. Hvor sætter du grænsen for uacceptabelt indhold, og hvordan dokumenterer du beslutningerne internt?
