EU’s AI-forordning, også kaldet AI Act, er den første samlede lovgivning, der regulerer brugen af kunstig intelligens. Forordning regulerer udvikling, markedsføring og anvendelse af AI-systemer i EU baseret på deres risikoniveau. AI-forordning trådte i kraft i 2024, og kravene indfases gradvist frem mod 2025–2027. For mange organisationer betyder det, at AI ikke længere kun er et teknisk spørgsmål, men et forretnings- og ledelsesansvar. 

Vores eksperter hos Nesp.ONE hjælper organisationer med at opbygge, operationalisere og vedligeholde compliance med EU AI-forordning med særligt fokus på risikoreduktion, sikkerhed og ansvarlig implementering af AI. 

AI-forordningen træder gradvist i kraft: 

• 2. februar 2025: Forbud mod højrisiko-AI-praksisser træder i kraft. 

• 2. august 2025: Regler for generative AI-modeller (som ChatGPT) træder i kraft. 

• 2. august 2026: Fulde krav til høj-risiko AI-systemer træder i kraft. 

• 2. august 2027: Krav til visse eksisterende AI-systemer træder i kraft. 

Danske virksomheder bør starte compliance-arbejdet nu for at være klar til deadlines. 

AI-forordningen omfatter alle danske virksomheder og organisationer, der: 

• Udvikler AI-systemer (udbydere/providers). 

• Anvender AI-systemer i erhvervsmæssig sammenhæng (brugere/deployers). 

• Importerer AI-systemer fra lande uden for EU. 

• Distribuerer AI-systemer på det danske marked. 

Dette gælder både store koncerner og små virksomheder. Selv hvis I kun bruger tredjepartsløsninger som Microsoft Copilot eller ChatGPT, har I ansvar som bruger af AI. 

Hos Nesp.ONE tilbydes der rådgivning og praktiske løsninger, der effektivt hjælper virksomheder med AI compliance. 

Ja, men kravene afhænger af, hvordan danske virksomheder bruger disse værktøjer. 

De fleste danske virksomheder er brugere og skal: 

• Vurdere risici ved anvendelsen (f.eks. hvis medarbejdere bruger AI til kundeservice eller dokumenthåndtering). 

• Sikre, at følsomme data ikke lækkes til AI-systemer. 

• Implementere human oversight hvor relevant. 

• Dokumentere anvendelsen, især hvis AI-output bruges til beslutninger om personer. 

Hvis I udvikler egne AI-løsninger ovenpå disse platforme, kan I have ansvar som udbyder.

Hos Nesp.ONE tilbydes der rådgivning og praktiske løsninger, der effektivt hjælper virksomheder med at opfylde alle krav og opnå compliance.

I Danmark bliver AI-forordningen håndhævet gennem en koordineret indsats, som Digitaliseringsstyrelsen står i spidsen for. Datatilsynet og Domstolsstyrelsen hjælper med både håndhævelse og markedsovervågning, og det hele sker som en del af EU’s fælles rammer og governance-struktur. 

Digitaliseringsstyrelsen  
Digitaliseringsstyrelsen fungerer som den nationale koordinerende tilsynsmyndighed for AI-forordningen i Danmark.

Den har ansvar for det overordnede tilsyn og koordineringen af implementeringen og fungerer samtidig som både notificerende myndighed og central markedsovervågningsmyndighed efter dansk lovgivning. Derudover er Digitaliseringsstyrelsen Danmarks primære kontaktpunkt i forhold til andre EU-lande og Europa-Kommissionen i spørgsmål om AI-forordningen. 

Datatilsynet  
Datatilsynet er udpeget som en af Danmarks markedsovervågningsmyndigheder. Tilsynet har særligt fokus på de dele af AI-forordningen, hvor kravene til AI-systemer overlapper med beskyttelsen af personoplysninger, herunder forbudte praksisser og overholdelse af grundlæggende rettigheder. 

Overtrædelser af AI-forordningen kan resultere i betydelige bøder: 

• Op til €35 millioner eller 7% af global årsomsætning (det højeste beløb) for overtrædelse af forbudte AI-praksisser 

• Op til €15 millioner eller 3% af global årsomsætning for overtrædelse af andre forpligtelser i forordningen 

• Op til €7,5 millioner eller 1,5% af global årsomsætning for afgivelse af ukorrekte oplysninger til myndigheder 

Ud over bøder kan non-compliance medføre reputationsskade, tab af kundetillid og operationelle forstyrrelser. Uanset om I har AI-systemer i drift eller er i opstartsfasen, hjælper vores eksperter hos Nesp.ONE med at arbejde både lovmedholdeligt og ansvarligt. 

Ifølge EU’s AI-forordning er begrebet AI-system defineret bredt, så det dækker mange forskellige typer intelligente software- og maskinbaserede løsninger. Et AI-system beskrives som et maskinbaseret system, der: 

• er udviklet til at kunne fungere med forskellige grader af autonomi (altså at det i et vist omfang kan udføre opgaver uden direkte menneskelig indblanding). 

• kan tilpasse sig efter det er taget i brug, f.eks. ved at ændre adfærd baseret på nye data eller interaktioner. 

• ud fra et bestemt formål kan analysere inputdata og generere output såsom forudsigelser, indhold, anbefalinger eller beslutninger. 

• leverer output, der kan påvirke både fysiske og digitale omgivelser, for eksempel ved at påvirke brugere eller automatisere processer i et system. 

Eksempler på systemer, der kan være omfattet af definitionen: 

• chatbots og sprogmodeller. 

• anbefalingssystemer (f.eks. til streaming eller online shopping). 

• værktøjer til prædiktiv analyse. 

• systemer til billedgenkendelse (machine vision). 

• autonome robotter eller køretøjer. 

• adaptive styringssystemer i industrien. 

Vores eksperter hos Nesp.ONE kan hjælpe dig med at vurdere, om din løsning falder ind under AI-forordningens definition, og støtte dig i arbejdet med at sikre compliance. 

AI-forordningen definerer høj-risiko systemer i to kategorier: 

1. AI-systemer i produkter reguleret af EU’s sikkerhedslovgivning(medicinsk udstyr, biler, legetøj, etc.)
2. AI-systemer anvendt i specifikke områder, herunder:

• • Biometrisk identifikation. 

• • Kritisk infrastruktur. 

• • Uddannelse og erhvervsuddannelse. 

• • Ansættelse og rekruttering. 

• • Adgang til essentielle tjenester (kredit, forsikring, sundhedsydelser). 

• • Retshåndhævelse. 

• • Migration og grænsekontrol. 

• • Retssystem. 

Hvis I er i tvivl, kan Nesp.ONE hjælpe med en risikovurdering af jeres AI-systemer. 

AI-forordningen forbyder visse former for brug af AI helt, fordi de enten kan krænke grundlæggende rettigheder eller vurderes som en uacceptabel risiko.

Eksempler på forbudte AI-praksisser inkluderer blandt andet: 

• Social scoring-systemer, hvor borgere vurderes eller rangeres ud fra en slags “tillidsscore”. 

• Manipulerende AI, der udnytter sårbare grupper, f.eks. børn, ældre eller andre udsatte personer. 

• Visse former for biometrisk overvågning, især masseovervågning med realtidsansigtsgenkendelse i offentlige rum (dog med enkelte, meget snævre undtagelser for retshåndhævende myndigheder). 

• AI, der forsøger at forudsige kriminalitet, hvis vurderingen udelukkende bygger på profilering. 

AI-forordningen er overordnet bygget op omkring en risikobaseret tilgang, hvor kravene afhænger af, hvordan AI anvendes, og hvilke konsekvenser det kan have: 

• Højrisiko-AI dækker systemer, der bruges i områder med stor betydning for mennesker, f.eks. rekruttering, kreditvurdering, sundhed, uddannelse eller compliance. Her stilles der krav til blandt andet styring, dokumentation, datakvalitet og menneskelig kontrol.

• AI med begrænset risiko kræver primært transparens, for eksempel at brugere tydeligt informeres, når de interagerer med AI eller generativ AI.

• Lavrisiko-AI kan som udgangspunkt anvendes frit, men det anbefales stadig at følge Best Practice og sikre ansvarlig brug.

Vi i Nesp.ONE vil hjælpe jer med en risikovurdering af jeres Ai-systemer. 

Nej, ISO 27001-certificering er ikke et krav i AI-forordningen, men: 

• Virksomheder med ISO 27001 har allerede mange af de governance-strukturer, der kræves for AI-compliance. 

• AI-specifikke risici kan integreres i eksisterende ISMS (Information Security Management System). 

• ISO 42001 (ny standard for AI-management) kan supplere AI-compliance-arbejdet. 

Nesp.ONE hjælper virksomheder med at udvide eksisterende ISO 27001-certificering til at omfatte AI-specifikke kontroller. 

Et centralt fokus i AI-lov er gennemsigtighed og ansvarlighed. Organisationer skal kunne forklare, hvordan deres AI-løsninger fungerer, hvilke data der ligger til grund, og hvordan risici håndteres. Samtidig skal der være klare roller og menneskelig kontrol, så vigtige beslutninger ikke overlades blindt til automatiserede systemer. 

Human-in-the-loop (HITL) eller human oversight betyder, at et menneske aktivt overvåger og kan gribe ind i AI-systemets beslutning. Formål med det er at mindske risici som bias, fejlagtige automatiske beslutninger, tekniske fejl og situationer, hvor AI kan føre til skade eller krænke personers rettigheder. 

 AI-systemer, især højrisiko AI-systemer, skal være udviklet og anvendt på en måde, så mennesker kan forstå systemet, føre tilsyn med det og gribe ind, hvis det er nødvendigt. 

I praksis betyder det, at organisationer, der bruger højrisiko AI, ikke må følge AI’s output blindt. Når AI påvirker menneskers sikkerhed, rettigheder eller muligheder, skal det fortsat være mennesker, der har ansvaret for den endelige beslutning.

Bias i AI betyder, at systemet systematisk favoriserer eller diskriminerer bestemte grupper (baseret på køn, alder, etniticitet, etc.). Bias kan opstå gennem: 

• Skæve træningsdata (f.eks. kun data fra mænd). 

• Fejl i algoritmedesign. 

• Skjulte sammenhænge i data. 

Sådan undgår I bias: 

• Kvalitetssikring af træningsdata for repræsentativitet. 

• Test for diskriminerende output før deployment. 

• Løbende overvågning af systemets beslutninger i drift. 

• Diverse teams i AI-udvikling. 

• Dokumentation af datakvalitet og testresultater. 

AI-forordningen kræver at høj-risiko systemer testes for bias før og under anvendelse. Vi i Nesp.ONE vil hjælpe jer med at teste for bias.

AI lov omsætter forventninger om ansvarlig AI til konkrete og håndhævelige krav. Organisationer skal kunne vise, at deres AI-systemer er designet og anvendt på en måde, der respekterer grundlæggende rettigheder og samfundsværdier, forebygger unfair bias og diskriminerende udfald, sikrer reel transparens og forklarbarhed samt muliggør menneskelig overvågning og indgriben. Samtidig skal systemerne fungere stabilt, sikkert og forudsigeligt over tid. 

Disse forventninger gælder på tværs af hele AI-livscyklussen, fra valg af data og modeldesign til implementering, overvågning og løbende forbedringer. Etisk AI i en AI lov-ramme er ikke et teoretisk ideal, men et praktisk ledelsesansvar, der forudsætter dokumenterede beslutninger, klare ansvarsforhold og operationel kontrol. 

For organisationer, der kommer tidligt i gang, er der en mulighed for at bygge et stærkt fundament for ansvarlig AI: 

• Øge tilliden hos kunder, medarbejdere og samarbejdspartnere. 

• Reducere forretnings- og omdømmerisici. 

• Gøre AI lettere at skalere på en sikker og kontrolleret måde.

• Skabe klarhed for ledelse og bestyrelse. 

• Understøtte innovation uden at bremse forretningen. 

Organisationer, der arbejder struktureret med etisk og ansvarlig AI, står stærkere både regulatorisk og kommercielt. 

Et veldefineret AI-governance-rammeværk baseret på etisk beslutningstagning, klare ansvarsforhold og robuste operationelle processer. 

Udvikling og implementering af AI-systemer, der er retfærdige, sikre, ikke-diskriminerende og pålidelige, reducerer ikke blot regulatorisk risiko. Det styrker tilliden i organisationen, beskytter omdømmet og muliggør bæredygtig innovation i stor skala. 

En klar forståelse af de etiske og juridiske implikationer af AI gør det muligt for ledelsen at integrere compliance i strategi, investeringsbeslutninger og operationel styring. 

AI-governance skal række ud over IT- og datateams og forankres i ledelsen, risikostyring og interne kontroller, compliance-, juridiske- og revisionsfunktioner samt hos system-, produkt- og dataansvarlige. Uden governance kan ansvarlig AI ikke dokumenteres og organisationens regulatoriske robusthed svækkes. 

Vores eksperter hos Nesp.ONE hjælper organisationer med at opbygge, operationalisere og vedligeholde compliance med EU AI-forordning. 

EU’s AI-forordning introducerer bindende krav på tværs af hele AI-livscyklussen. Fra design og udvikling til implementering og overvågning efter idriftsættelse stiller compliance krav om operationel modenhed inden for blandt andet: 

• Risikostyring og klassificering af AI-systemer. 

• Datagovernance, datakvalitet og sporbarhed. 

• Transparens, forklarbarhed og information til brugere. 

• Menneskelig overvågning og ansvarlighed. 

• Løbende monitorering og korrigerende foranstaltninger. 

Organisationer med et stærkt etisk og governance-mæssigt fundament er bedre rustet til at imødekomme disse krav effektivt og konsekvent. 

Vi hos Nep.ONE hjælper organisationer med at opbygge, operationalisere og vedligeholde compliance med EU AI Act – med særligt fokus på risikoreduktion, sikkerhed og ansvarlig implementering af AI. Uanset om jeres organisation allerede anvender AI-systemer eller planlægger kommende initiativer, hjælper vi jer med at sikre regulatorisk compliance, etisk integritet og strategisk sammenhæng – uden at bremse innovation. 

Start med at  

1. Kortlæg jeres AI-anvendelse: Identificer alle AI-systemer i organisationen (også tredjepartsværktøjer).
2. Klassificer risiko: Vurder hvilke systemer er høj-risiko, generativ AI, eller begrænset risiko.
3. Gap-analyse: Sammenlign jeres nuværendesetupmed forordningens krav. 
4. Prioriter: Fokuser først på høj-risiko systemer og systemer med store compliance-gaps.
5. Implementergovernance: Etabler processer, dokumentation og kontroller.

Nesp.ONE tilbyder en gratis initial vurdering, hvor vi hjælper jer med at identificere jeres AI-landskab og næste skridt.