Lukkede AI-systemer eliminerer ikke krav efter AI-forordningen og GDPR. Virksomheder skal risikoklassificere brugsscenarier, fastlægge behandlingsgrundlag, gennemføre DPIA ved behov og føre skarp leverandørkontrol. Anonymisering er ikke nok uden indsigt i træningsdata og modelrisici.

AI-forordningen forpligter udbydere og idriftsættere til at sikre AI-kompetencer hos de personer, der håndterer systemerne. Kravene skærpes for højrisiko AI, hvor menneskeligt tilsyn skal være uddannet og bemyndiget, samt understøttet af klare procedurer og dokumentation.

De første kapitler i EU’s AI-forordning gælder nu og indfører definitioner, forbud og et risikobaseret regime. Organisationer skal afklare deres rolle, kortlægge AI-systemer og etablere governance, dokumentation og menneskelig overvågning for at undgå forbudte anvendelser og kommende sanktionsrisici.