Lukkede, interne AI-løsninger fritager ikke virksomheder for krav efter AI-forordningen og GDPR. Reglerne knytter sig til systemets risikoprofil og den konkrete behandling af data – ikke til, om adgangen er begrænset. Manglende efterlevelse kan udløse væsentlige sanktionsrisici.
Risikoprofil og idriftsætterrolle
AI-forordningen bygger på en risikobaseret tilgang. Selv interne systemer, der understøtter fx ansættelsesbeslutninger eller medarbejderevalueringer, kan være højrisiko og udløse krav om risikostyring, teknisk dokumentation, data governance og løbende overvågning.
Virksomheder, der tager et AI-system i brug i egne processer, betragtes typisk som idriftsættere og pålægges egne forpligtelser – uafhængigt af om de også er udviklere eller alene brugere. Rollen kræver klare kontroller, ansvar og dokumenterede processer.
GDPR og leverandørkontrol
GDPR gælder også ved lukkede, interne behandlinger. Der skal foreligge lovligt behandlingsgrundlag, opfyldes oplysningspligt, fastsættes slettefrister og etableres passende sikkerhed. En DPIA kan være nødvendig, hvis behandlingen indebærer høj risiko for de registreredes rettigheder.
Anonymisering er ikke et fripas: virksomheden skal forstå træningsdata, modelbrug og eventuel genidentifikationsrisiko. Leverandører bør underlægges due diligence, kontraktuelle krav og kontrol af datakilder og sikkerhed.
Praktiske skridt kan med fordel prioriteres som følger:
- Klassificér system og brugsscenarier efter AI-forordningen.
- Fastlæg behandlingsgrundlag og gennemfør DPIA ved behov.
- Kortlæg dataflow og indgå/datere databehandleraftaler.
- Implementér passende tekniske og organisatoriske foranstaltninger.
- Dokumentér beslutninger og etabler løbende overvågning og audit.
