EU’s AI-forordning bevæger sig mod ikrafttræden og vil markant ændre rammerne for udvikling og brug af kunstig intelligens i både private og offentlige organisationer. Reglerne bygger på en risikobaseret tilgang: Forbudte anvendelser fjernes fra markedet, højrisikosystemer underlægges skrappe krav, og øvrige systemer mødes af gennemsigtighedsregler. Manglende efterlevelse kan udløse betydelige bøder og tilsynsmæssige reaktioner. For virksomheder betyder det, at rollefordelingen – udvikler, importør, distributør og bruger – får konkret betydning for pligter og ansvar.
Samtidig rejser AI væsentlige retssikkerhedsspørgsmål. Kompleksitet og uforudsigelighed udfordrer forklarbarhed og gør det vanskeligt at efterprøve afgørelser. Hvis automatiserede vurderinger ikke ledsages af menneskeligt tilsyn, dokumentation og mulighed for at anfægte resultatet, kan principper om ligebehandling og fair proces blive udhulet.
Risikobaseret regulering og centrale forbud
Forordningen identificerer særligt betænkelige anvendelser, bl.a. realtidsbiometrisk fjernidentifikation i offentlige rum til retshåndhævelse, manipulation af sårbare grupper og social scoring. Disse kategorier bliver som udgangspunkt forbudt. Højrisikosystemer – eksempelvis AI til biometrisk identifikation, kritisk infrastruktur, rekruttering og retshåndhævelse – kan anvendes, men kun ved opfyldelse af detaljerede krav.
Kravene omfatter risikostyring, data‑ og modelgovernance, test og validering med egnede datasæt, teknisk dokumentation, løbende logning, nøjagtighed og robusthed, cybersikkerhed, menneskeligt tilsyn og klare brugsanvisninger. Derudover stilles generelle gennemsigtighedskrav: Brugere skal oplyses, når de interagerer med et AI‑system, ved biometrisk kategorisering, og når indhold er kunstigt genereret eller manipuleret (deepfakes).
Persondata, ophavsret og datasæt
AI-løsninger indebærer ofte behandling af store datamængder. GDPR stiller krav om lovligt grundlag, dataminimering, formålsbegrænsning, sikkerhed og dokumentation. Åbne modeller og eksterne tjenester kan indebære, at input uforvarende genbruges som træningsdata; derfor bør følsomme og fortrolige oplysninger kun behandles i kontrollerede, lukkede miljøer med passende databehandleraftaler og tekniske foranstaltninger.
Ophavsretten begrænser både træning og output. AI-genereret materiale er som udgangspunkt ikke ophavsretligt beskyttet uden menneskelig skaberkraft. Samtidig kan træning på beskyttet indhold kræve samtykke eller lovhjemmel. DSM-direktivet indfører regler om tekst‑ og datamining samt værn for visuelle kunstnere, hvilket skærper behovet for licenser, registrering af datakilder og intern kontrol med datasæt.
Praktiske skridt for virksomheder
En ansvarlig implementering starter med en intern AI‑politik, der fastlægger anvendelsesområder, roller og godkendelsesprocesser. Indbyg risikovurdering, dataklassifikation og krav om menneskelig kontrol af kritiske beslutninger. Etablér kvalitetsstyring, logning og change‑management, så modelversioner, træningsdata og performance kan dokumenteres.
Kontraktgrundlaget bør opdateres med klare ansvarsfordelinger, audit‑rettigheder, sikkerhedskrav, ophavsretlige garantier og regler for brug af genereret indhold. For højrisikoanvendelser skal risikostyringssystem, dokumentation og tilsynsprocesser på plads før idriftsættelse, og der skal etableres procedurer for underretning til myndigheder ved alvorlige hændelser. En tidlig tilpasning giver både compliance‑robusthed og en konkurrencefordel, når kravene træder i kraft.
Gennemsigtighed, bias og tilsyn
Sort boks‑modeller udfordrer forklaringspligten. Virksomheder bør etablere procedurer for model‑risk‑management, herunder dokumenterede forklaringsmekanismer, indikatorer for datakvalitet og periodiske fairness‑tests. Hvor fuld forklarbarhed ikke er mulig, skal der kompenseres med stærkere menneskeligt tilsyn, eskalationsveje og klare begrænsninger for anvendelsesområdet.
Tilsynsmyndigheder vil forvente, at beslutninger kan efterprøves. Det kræver sporbarhed i datakilder, logs og beslutningsgrundlag, så berørte personer kan få indsigt, og fejl kan rettes. Oplysningspligt ved menneske‑AI‑interaktion og mærkning af syntetisk indhold styrker brugernes tillid og reducerer risikoen for vildledning, især i forvaltning, rekruttering og kundeprocesser.
