Fra 2. februar 2025 skal udbydere og idriftsættere af AI-systemer sikre, at relevante medarbejdere og involverede parter besidder et “tilstrækkeligt” niveau af AI-kompetencer. Kravet følger af AI-forordningen og er en del af den gradvise ikrafttræden. Forpligtelsen knytter sig til compliance og risikostyring: uddannelse skal være målrettet funktion og dokumenteres, så virksomheden kan påvise, at styring, kontrol og menneskelig overvågning er effektiv.
Hvem er omfattet
Forordningen definerer udbydere som dem, der udvikler eller får udviklet et AI-system eller en generel AI-model og bringer den i omsætning eller ibrugtagning under eget navn. Idriftsættere er dem, der anvender et AI-system under egen myndighed i en erhvervsmæssig kontekst. Begge kategorier kan være private virksomheder eller offentlige myndigheder.
Forpligtelsen omfatter ikke alle medarbejdere, men de, der faktisk udvikler, drifter, anvender eller overvåger AI-systemer, samt eksterne aktører som konsulenter og databehandlere. Organisationen skal derfor identificere roller, ansvar og grænseflader mod leverandører for at fastlægge, hvem der skal opkvalificeres.
Hvad skal kompetencerne dække
Kompetenceniveauet skal være passende i forhold til opgaven. Juridisk forståelse omfatter kendskab til AI-forordningens krav, dokumentations- og transparenskrav samt relationen til databeskyttelsesregler, herunder GDPR og databehandleraftaler. Medarbejdere skal kunne vurdere risici, herunder bias, fejl og utilsigtede effekter, og vide, hvornår der skal eskaleres.
Teknisk indsigt skal mindst omfatte grundlæggende forståelse af modelbegrænsninger, datakvalitet, outputfortolkning og human oversight. Proceduralt bør medarbejdere trænes i interne politikker, adgangsstyring, hændelseshåndtering og løbende monitorering. Uddannelsen skal ajourføres, og deltager- samt indholdslog føres.
Efterlevelse i praksis
En risikobaseret tilgang anbefales, så ressourcer målrettes de mest indgribende anvendelser. Dokumentation er central for at kunne demonstrere overholdelse over for tilsyn og ved interne audits. Følgende trin kan strukturere arbejdet:
- Kortlægning: Identificér AI-anvendelser, roller og eksterne parter, og vurder kompetencegab pr. funktion.
- Plan og implementering: Fastlæg politikker, læringsmål og træningsforløb, der dækker juridiske, tekniske og etiske aspekter.
- Overvågning og forbedring: Mål effekt, opdater indhold, og integrér læring i change management og leverandørstyring.
Inkorporér kravene i eksisterende governance-rammer (ISMS, risikostyring og intern kontrol). Ved indkøb og samarbejde bør kontrakter afspejle kompetencekrav, herunder ansvar for uddannelse, rapportering og adgang til audit. En klar ansvarsplacering og periodiske evalueringer mindsker drifts- og compliance-risiko og styrker organisationens evne til sikker og lovmedholdelig brug af AI.
