AI-forordningens risikobaserede tilgang bliver det styrende princip for, hvordan udviklere, udbydere og brugere prioriterer deres compliancearbejde. Tilgangen betyder, at krav og kontroller skal afstemmes efter systemets faktiske risici for sundhed, sikkerhed og grundlæggende rettigheder – og at vurderingen kan efterprøves. Konsekvensen er, at samme formelle kategori af AI kan udløse forskellige pligter, fordi kontekst, anvendelse og påvirkning af personer vægter tungere end teknologien alene.
Hvad er risiko i forordningens forstand?
AI-forordningen definerer risiko som kombinationen af sandsynligheden for skade og skadens alvor. Det er en klassisk formel, men forordningen specificerer ikke udtømmende, hvad der skal anses som relevant skade i alle tilfælde. Udgangspunktet er hensynet til fysiske personers sundhed, sikkerhed og grundlæggende rettigheder, herunder risici for skævhed og diskriminerende resultater ved anvendelsen af systemet.
Den risikobaserede tænkning er ikke ny i EU-regulering. GDPR kræver risikovurderinger af behandlingssikkerhed, og sikkerhedsstandarder som ISO 27001 samt DORA i den finansielle sektor bygger på samme proportionalitetsprincip. AI-forordningen viderefører linjen, men med fokus på hele systemets livscyklus og dokumenterbarhed af de skøn, der ligger bag design, udvikling, ibrugtagning og drift.
Hvordan omsættes tilgangen i praksis?
Forordningen nævner sjældent tilgangen eksplicit, men den afspejles i kravene til især højrisikosystemer. Et centralt eksempel er menneskeligt tilsyn i artikel 14: tilsynet skal være effektivt, hvilket forudsætter, at grænseflader, alarmer og procedurer er proportionerede i lyset af de konkrete risici. Et patientnært system i hjertekirurgi kræver typisk tættere og mere kvalificeret overvågning end et ressourceoptimerende system i et vandværk.
Vurderingen kan ikke reduceres til faste ranglister af anvendelser. Højrisiko i kritisk infrastruktur vil ikke per se overstige risici ved HR-systemer til rekruttering; resultatet afhænger af sektor, formål og om systemet er beslutningsstøtte eller afgørende for udfaldet. Derfor varierer niveauet af dokumentation, validering og governance fra system til system – inden for rammerne af forordningens minimumskrav.
Risikobaserede valg skal afspejles i den tekniske dokumentation, i data- og modellestyring samt i løbende overvågning. Højere risiko bør typisk udløse skærpede krav til validering, bias-tests, robustness, incidenthåndtering og auditspor, mens lavere risiko kan håndteres med mere enkle kontroller. Det afgørende er, at proportionaliteten kan forklares, begrundes og reproduceres.
Interesseret i forvaltningsret? Deltag i Forvaltningskonferencen 2026
Læs mere her →Muligheder, faldgruber og forberedelse
Tilgangen åbner for skræddersyede løsninger, hvor kontrol, afbødning og driftsprocedurer tilpasses den faktiske risiko. Men den skærper også myndighedernes fokus på kvaliteten af risikovurderingerne. Undervurderes risici, eller begrundes valg og fravalg dårligt, kan det udløse påbud og betydelige bøder. Usikkerhed opstår især ved undtagelser, hvor et system “rykker ned” i kategori og kravene bliver mindre klare.
Da krav og praksis vil udvikle sig løbende, bør organisationer allerede nu etablere risikostyringsprocesser for AI, med roller, beslutningsspor og dokumentation fra design til drift. Følg nationale og europæiske vejledninger, herunder materiale fra Digitaliseringsstyrelsen og databeskyttelsesorienteret praksis fra Datatilsynet, fx denne vejledning om offentlige myndigheders brug af AI. Afprøv proportionalitet i konkrete use cases, styrk human oversight, og opbyg en dokumenteret AI governance, der kan tåle efterprøvelse.
Etabler desuden klare beslutningsregler for undtagelser og klasseændringer, så systemer ikke utilsigtet glider mellem kategorier uden forretningsmæssig og juridisk kontrol. Involver tværfaglige kompetencer, herunder juridik, sikkerhed, dataetik og forretning, og brug interne reviews eller ekstern review for at kvalitetssikre risikovurderinger og mitigering.
