Etisk og tillidsvækkende AI-governance i en AI lov-reguleret virkelighed Ledelsessystem for informationssikkerhed: EU’s AI-lov (AI Act) introducerer en ny regulatorisk virkelighed for organisationer, der udvikler, anvender eller er afhængige af kunstig intelligens. For første gang er etiske principper som fairness, transparens, ansvarlighed og menneskelig kontrol gjort til bindende krav, der påvirker, hvordan AI må anvendes i praksis.

På samme måde som GDPR ændrede måden, organisationer arbejder med databeskyttelse på, forventes AI lov at sætte en global standard for ansvarlig og troværdig anvendelse af AI. Selvom den offentlige debat ofte fokuserer på generativ AI, retter reguleringen sig i høj grad mod AI-systemer, der er indlejret i kerneforretningsprocesser. Systemer, som påvirker mennesker, beslutninger, prissætning, adgang og risikovurderinger. For den øverste ledelse er arbejdet med EU AI lov et spørgsmål om governance, etik og risikostyring.

Hvorfor etisk AI er afgørende i en AI lov-kontekst : AI lov omsætter forventninger om ansvarlig AI til konkrete og håndhævelige krav. Organisationer skal kunne vise, at deres AI-systemer er designet og anvendt på en måde, der respekterer grundlæggende rettigheder og samfundsværdier. Bl.a. skal de forebygge unfair bias og diskriminerende udfald, sikrer reel transparens og forklarbarhed samt muliggør menneskelig overvågning og indgriben.

Samtidig skal systemerne fungere stabilt, sikkert og forudsigeligt over tid. Disse forventninger gælder på tværs af hele AI-livscyklussen, fra valg af data og modeldesign til implementering, overvågning og løbende forbedringer. Etisk AI i en AI lov-ramme er ikke et teoretisk ideal, men et praktisk ledelsesansvar, der forudsætter dokumenterede beslutninger, klare ansvarsforhold og operationel kontrol.

AI-governance som fundament for tillidsvækkende AI: Mange organisationer anvender allerede AI-drevne løsninger uden nødvendigvis at betegne dem som AI. Beslutningsstøtteværktøjer, scoringsmodeller, optimeringsmotorer og prædiktiv analyse betragtes ofte som tekniske komponenter frem for potentielle etiske og forretningsmæssige risici.

AI lov ændrer denne tilgang. Reguleringen fokuserer ikke på, hvor avanceret teknologien er, men på hvordan AI-systemer påvirker mennesker. Ethvert system, der har væsentlig indflydelse på individuelle udfald, kræver struktureret styring og ansvarlig anvendelse.

Det kræver et setup hvor AI-governance rækker ud over IT- og datateams og forankres i ledelsen, risikostyring og interne kontroller, compliance-, juridiske- og revisionsfunktioner samt hos system-, produkt- og dataansvarlige. Uden governance kan ansvarlig AI ikke dokumenteres og organisationens regulatoriske robusthed svækkes.

Hvad er EU’s AI-forordning, og hvorfor er den vigtig?

EU’s AI-forordning (AI Act) er verdens første omfattende lovgivning for kunstig intelligens. Forordningen træder i kraft gradvist fra 2025-2027 og skaber en ny og fælles regulatorisk virkelighed for organisationer, der udvikler og anvender kunstig intelligens i hele EU, herunder også Danmark.

 Formålet er at sikre, at AI-systemer er sikre, gennemsigtige og respekterer grundlæggende rettigheder, samtidig med at innovation fremmes. For første gang er etiske principper som fairness, transparens, ansvarlighed og menneskelig kontrol gjort til bindende krav, der påvirker, hvordan AI må anvendes i praksis.

Hvem er omfattet af kravene i EU’s Ai-forordning i Danmark?

EU's AI-forordning gælder bredt og omfatter langt flere danske virksomheder, end mange tror. Forordningen skelner mellem forskellige roller og risikokategorier. Roller omfattet af forordningen:

Udbydere: Virksomheder der udvikler AI-systemer eller får dem udviklet til eget navn/varemærke. Eksempler er danske softwareudviklere som bygger AI-læsninger eller organisationer der finjuster eksisterende AI-modeller.

Importører: Virksomheder, der bringer AI-systemer fra lande uden for EU ind på det danske marked.

Distributører: Virksomheder, der videreformidler AI-systemer i Danmark.

Bruger: Enhver dansk virksomhed eller organisation, der anvender et AI-system i erhvervsmæssig sammenhæng eller i offentlig tjeneste. Eksempler er virksomheder der bruger AI til HR-screening, kreditvurdering, chatbots til kundeservice eller til kvalitetskontrol.

Hos Nesp.ONE ved vi, at AI-compliance handler om mere end dokumentation. Det handler om de valg, du træffer, de processer du skaber, og de systemer du udvikler.Det kræver et setup hvor AI-governance rækker ud over IT- og datateams og forankres i ledelsen, risikostyring og interne kontroller, juridiske- og revisionsfunktioner samt hos system-, produkt- og dataansvarlige.

 Vi hjælper organisationer med at opbygge, operationalisere og opretholde overholdelse af EU's AI-lov med fokus på sikkerhed, risikoreduktion og ansvarlig implementering. Vi tilbyder:

GAP-analyse

Vi giver jer et klart overblik over, hvor I står i dag, og hvad der skal til for at blive AI-compliance-klar. Det inkluderer bl.a.:

AI-parathed og risikovurdering

• Vi vurderer jeres nuværende AI-brug og hjælper jer med at forstå, hvad AI-loven kræver.

AI-parathed og risikovurdering

• Vi udvikler principper og praktiske guidelines for gennemsigtighed, etisk og ansvarlig anvendelse. 

Datastyring og bias-kontrol

• Vi hjælper jer med at sikre kvalitets-, sporbarheds- og fairnesskrav i både trænings- og driftsdata.

Uddannelse og kompetenceopbygning

• Vi klæder jeres teams på med konkret viden om etisk AI, sikker udvikling og jeres compliance-ansvar.

Juridisk, teknisk og governance-ekspertise samlet ét sted:
AI-compliance er ikke kun et juridisk spørgsmål. Det er heller ikke bare et IT-projekt. Og det kan ikke løses alene med bedre processer. Det kræver alle tre dele og det er præcis det, Nesp.ONE leverer.
Hvorfor er tværfaglighed kritisk?

EU's AI-forordning stiller krav, der krydser traditionelle siloer:

•  Juridiske krav om dokumentation kræver teknisk forståelse af, hvordan AI-modeller trænes

•  Tekniske sikkerhedsforanstaltninger skal oversættes til forståelige governance-processer

•  Governance-strukturer skal understøttes af både juridiske rammeaftaler og tekniske kontrolmiljøer

Mange danske virksomheder står over for et komplekst regulatorisk landskab, hvor AI-forordningen er blot én del. Den gode nyhed: Disse regelsæt overlapper og kan styrke hinanden, hvis de implementeres koordineret.

EU's AI-forordning og ISO 27001

ISO 27001 er standarden for informationssikkerhedsledelse, som mange danske virksomheder allerede er certificeret efter.

 Både ISO 27001 og EU’s AI-forordning stiller krav om risikobaseret styring og dokumentation, men med forskellig reguleringslogik; ISO 27001 fokuserer på informationsaktiver og organisatorisk sikkerhed, mens AI-forordningen stiller specifikke krav til udvikling, anvendelse og styring af AI-systemer - særligt højrisiko-AI. Der er væsentlige synergier mellem de to regelsæt. AI-systemer kan indgå som en del af virksomhedens eksisterende ISMS, hvor AI-specifikke risici (fx datakvalitet, modelrobusthed og misbrugsscenarier) føjes til det eksisterende risikoregister og behandles ved at benytte allerede implementerede kontrolprocesser.

Hos Nesp.ONE hjælper vi jer med at udvide jeres eksisterende ISO 27001-certificering til at omfatte AI-specifikke kontroller. Det vil sige at at AI-specifikke kontroller, processer og dokumentation integreres i jeres nuværende ledelsessystem, så behovet for parallelle compliance- og foranstaltninger reduceres.

EU's AI-forordning og NIS2

NIS2-direktivet/NIS2-loven stiller krav til cybersikkerhed og risikostyring for virksomheder i udpegede kritiske og vigtige sektorer, herunder energi, transport, bank, sundhed og digital infrastruktur.

 NIS2 er teknologineutralt, men en række af direktivets krav er direkte relevante for AI-systemer, når disse udgør en del af virksomhedens net- og informationssystemer eller understøtter kritiske forretningsprocesser. Det gælder særligt krav om:

• Sikkerhed i softwareudviklingscyklus (relevant for AI-modeltræning og deployment)
• Håndtering af sårbarheder
• Business continuity

For virksomheder omfattet af både NIS2 og AI-forordningen hjælper Nesp.ONE med at designe et integreret cybersikkerheds- og AI governance-framework. AI-systemer behandles som en del af jeres kritiske IT-infrastruktur, med særlige kontroller for AI-specifikke risici som adversarial attacks, data poisoning og model drift.

EU's AI-forordning og CRA

Cyber Resilience Act (CRA) stiller sikkerhedskrav til produkter med digitale elementer. Hvis jeres virksomhed udvikler eller sælger software-produkter med AI-funktionalitet, skal I overholde både CRA's sikkerhedskrav og AI-forordningens krav.

Eksempler kunne være AI-drevet cybersecurity-software, IoT-enheder med AI, og SaaS-platforme med AI-features Vi hjælper produktvirksomheder med at integrere både CRA- og AI-compliance i produktudviklingsprocessen, så sikkerhedskrav og AI-dokumentation bygges ind fra designfasen.

Nesp.ONE’s styrke er at se på jeres samlede compliance-landskab. Vi designer én samlet risikovurderingsproces, der adresserer:

• Informationssikkerhedsrisici (ISO 27001)
• AI-specifikke risici (AI-forordningen)
• Cybersecurity-trusler (NIS2)
• Produktsikkerhed (CRA)

Dokumentation struktureres, så den lever op til kravene i alle relevante regelsæt samtidig – uden duplikering. Vi forbereder jer til at gennemføre eksterne audits effektivt på tværs af standarder.

Hos Nesp.ONE hjælper vi organisationer med at opbygge etisk, ansvarlig og tillidsvækkende AI-governance, der matcher kravene i EU AI lov uden at overkomplicere processer eller hæmme forretningen.

Vores eksperter leverer håndgribelige resultater, der gør en forskel for jeres forretning. Vores rådgivning fokuserer på at skabe overblik over etiske risici, governance-mangler og regulatorisk eksponering samt på at etablere klare rammer, politikker og processer for ansvarlig AI.

Vi understøtter også datagovernance, bias-håndtering og tilbyder målrettet træning af bestyrelser, direktion og nøglefunktioner.

Kom i gang med jeres compliance-rejse i forhold til EU’s AI-forordning

At forstå jeres position i forhold til EU AI lov og tage det første skridt mod AI-compliance behøver ikke være overvældende. Hos Nesp.ONE gør vi det nemt at komme i gang og hjælper ledelsesteams med at afklare prioriteter, governance-behov og næste skridt i god tid.

 Kontakt os i dag.

AI-systemer, der klassificeres som højrisiko under EU AI lov, er underlagt skærpede krav, som direkte afspejler etiske principper.

Organisationer forventes at arbejde systematisk med risikostyring gennem hele AI-livscyklussen, solid datagovernance med fokus på kvalitet og fairness, teknisk dokumentation, der muliggør transparens og sporbarhed, samt klare mekanismer for menneskelig overvågning og indgriben. Derudover er løbende monitorering og kontrol efter implementering afgørende.

Mange organisationer anvender allerede systemer, der falder ind under denne kategori. Udfordringen er sjældent, om kravene gælder, men om de er omsat til praksis, styret på tværs af organisationen og kan forklares over for myndigheder og interessenter.

Vi hjælper organisationer med at opbygge etisk, ansvarlig og tillidsvækkende AI-governance, der matcher kravene i EU AI lov uden at overkomplicere processer eller hæmme forretningen.

Vores rådgivning fokuserer på at skabe overblik over etiske risici, governance-mangler og regulatorisk eksponering samt på at etablere klare rammer, politikker og processer for ansvarlig AI.

Vi understøtter også datagovernance, bias-håndtering og tilbyder målrettet træning af bestyrelser, direktion og nøglefunktioner.

Første udfordring: At forstå hvorfor og hvor AI giver mening - Rejsen mod troværdig AI begynder længe før, der indkøbes eller udvikles et AI-system. Det første skridt er at skabe klarhed over, hvorfor AI er relevant, og hvilke konkrete opgaver teknologien kan løse på en meningsfuld måde.

Ikke alle udfordringer kræver en AI-løsning. AI kan påvirke borgernes rettigheder, adgang til ydelser og generelle trivsel, og derfor er det afgørende tidligt at identificere potentielle risici. At en teknologi kan anvendes, betyder ikke nødvendigvis, at den bør anvendes. Særligt hvis centrale værdier som fairness, gennemsigtighed eller ansvarlighed kan bringes i spil.

Denne indledende afklaring er også afgørende for beslutningen om, hvorvidt en AI-løsning skal købes hos en leverandør eller udvikles specifikt til kommunens behov. Begge valg medfører forskellige forpligtelser og roller i forhold til EU’s AI Act.

Fra ambition til ansvarlig implementering: Danmark er et af verdens mest digitaliserede samfund. Med en stærk digital økonomi og en højt digitaliseret offentlig sektor er potentialet for at anvende kunstig intelligens (AI) i kommunerne betydeligt. AI kan bidrage til øget effektivitet, bedre beslutningsgrundlag og mere sammenhængende service til borgerne.

Samtidig følger der et stort ansvar med. Kommunerne skal sikre, at implementeringen af AI ikke underminerer den høje tillid, som borgerne har til de offentlige institutioner. Derfor bør fokus ikke blot være på at tage AI i brug, men på at implementere troværdig AI.

Kommunerne arbejder dagligt med personoplysninger og følsomme data. Derfor er det helt centralt, at AI-løsninger overholder gældende lovgivning om databeskyttelse og er designet til at minimere risikoen for bias og diskrimination.

Men lovlighed alene er ikke tilstrækkeligt. AI i den offentlige sektor skal også være etisk forsvarlig og afspejle samfundets værdier. Det indebærer blandt andet gennemsigtighed, respekt for borgernes rettigheder og en klar ansvarsplacering. Samtidig skal teknologien være robust, stabil og sikker – også i uforudsete situationer.

For mange kommuner er det en kompleks opgave at balancere disse juridiske, etiske og tekniske krav uden specialiseret støtte.

Når kommuner implementerer AI, har de et særligt ansvar for at beskytte borgernes værdighed og trivsel. Det betyder blandt andet, at der skal være reel menneskelig kontrol og tilsyn, at AI-systemer er sikre og modstandsdygtige over for angreb, og at resultaterne er pålidelige og kan genskabes.

Data må aldrig anvendes ulovligt eller på måder, der kan føre til diskrimination. Samtidig skal AI-baserede løsninger være tilgængelige for alle borgere, og der skal træffes aktive foranstaltninger for at undgå uretfærdig skævhed.

Implementering af troværdig AI er krævende, men også en mulighed. Med den rette tilgang kan kommuner udnytte AI’s potentiale og samtidig styrke borgernes tillid til den offentlige sektor.

Her gør målrettet AI-rådgivning en reel forskel: ved at hjælpe kommuner med at omsætte ambitioner til ansvarlige, compliant og værdibårne AI-løsninger – hele vejen fra strategi til implementering.