← Tilbage til indsigterDownload PDF
    Etik

    EU AI Act: Hvad danske organisationer skal vide

    8. november 2025·7 min læsning

    Den nye lovgivning træder snart i kraft. Er din organisation klar til de nye krav?

    EU AI Act er ikke længere fremtidsmusik. Dele af forordningen gælder allerede nu, og de store krav rammer i august 2026.

    Alligevel oplever jeg, at mange danske organisationer stadig opererer i en slags venteposition. "Vi ser tiden an." "Vi afventer de endelige retningslinjer." "Det rammer nok ikke os."

    Det er en risikabel strategi. For regulering er kun halvdelen af historien. Den anden halvdel handler om, hvad dine konkurrenter gør, mens du venter.

    Her er det, du reelt skal vide.

    Hvad gælder allerede nu?

    EU AI Act trådte i kraft 1. august 2024. Men implementeringen sker i faser. Her er tidslinjen:

    Februar 2025 (allerede i kraft):

    → Forbudte AI-praksisser er nu ulovlige

    → Krav om AI-literacy gælder for alle organisationer, der bruger eller leverer AI-systemer

    2. august 2025:

    → Regler for General Purpose AI-modeller (som GPT, Claude, Gemini) gælder

    → Medlemslande skal have udpeget nationale tilsynsmyndigheder

    → Sanktionsrammen er fastlagt, men bred håndhævelse eskalerer fra 2. august 2026

    2. august 2026:

    → Hovedparten af reglerne træder i kraft

    → Krav til højrisiko-AI-systemer gælder bredt (bemærk: højrisiko-AI integreret i regulerede produkter har senere frist i 2027)

    → Transparenskrav aktiveres

    → Hver medlemsstat skal have mindst én AI regulatory sandbox

    August 2027:

    → Fuld implementering, inkl. højrisiko-systemer integreret i produkter

    Det betyder: Hvis din organisation bruger AI i dag – og det gør den sandsynligvis – så gælder AI-literacy-kravet allerede.

    De fire risikokategorier

    EU AI Act opererer med en risikobaseret tilgang. Fire niveauer:

    1. Uacceptabel risiko (forbudt)

    AI-systemer der udgør en klar trussel mod menneskers sikkerhed, rettigheder eller livelihood er helt forbudt. Det inkluderer:

    → Social scoring af borgere

    → Manipulation af sårbare grupper

    → Biometrisk masseovervågning i realtid (med visse undtagelser for retshåndhævelse)

    → AI der udnytter folks alder, handicap eller socioøkonomiske situation

    2. Højrisiko

    AI-systemer der anvendes inden for kritiske områder som:

    → Rekruttering og HR-beslutninger

    → Kreditvurdering og finansielle services

    → Uddannelse (adgang, vurdering)

    → Kritisk infrastruktur

    → Sundhed og medicinske devices

    → Retshåndhævelse

    Disse systemer kræver omfattende dokumentation, risikovurdering, human oversight og conformity assessment.

    3. Begrænset risiko

    AI-systemer med specifikke transparenskrav. Brugere skal informeres om, at de interagerer med AI. Det gælder f.eks. chatbots og AI-genereret indhold.

    4. Minimal risiko

    Ingen specifikke krav. Det dækker størstedelen af AI-systemer i brug i dag – spam-filtre, AI-anbefalinger, simple automatiseringer.

    AI-literacy: Kravet de fleste overser

    Artikel 4 er måske den mest undervurderede del af forordningen.

    Den kræver, at alle organisationer, der bruger eller leverer AI-systemer, sikrer "et tilstrækkeligt niveau af AI-literacy" hos deres medarbejdere og andre personer, der arbejder med AI på organisationens vegne.

    Hvad betyder det konkret?

    EU-Kommissionen har præciseret, at der ikke er ét korrekt svar. Men din organisation skal som minimum:

    → Sikre generel AI-forståelse blandt medarbejdere

    → Tilpasse træning til den kontekst, AI-systemerne bruges i

    → Overveje hvilke personer eller grupper der påvirkes af AI-systemerne

    → Dokumentere, hvilken træning der er gennemført

    Der kræves ingen certificering. Men du bør kunne dokumentere, hvad din organisation har gjort.

    Og bemærk: Kravet gælder også for "andre personer" – fx kontraktører og leverandører, der opererer eller bruger AI-systemer på organisationens vegne.

    Den brede håndhævelsesbølge kommer fra 2. august 2026. Men flere krav (bl.a. AI-literacy) gælder allerede fra 2. februar 2025, og manglende AI-literacy kan blive vægtet negativt ved tilsyn.

    Bødestrukturen

    EU AI Act har tænder. Bødeniveauerne overstiger faktisk GDPR:

    Forbudte AI-praksisser: Op til €35 mio. eller 7% af global årlig omsætning (det højeste)

    Overtrædelse af krav til højrisiko-systemer: Op til €15 mio. eller 3% af global årlig omsætning

    Forkerte eller vildledende oplysninger til myndigheder: Op til €7,5 mio. eller 1% af global årlig omsætning

    SMV'er får lavere bøder – det laveste af de to beløb gælder.

    Men bøderne er kun den synlige del. De reelle omkostninger inkluderer:

    → Krav om at trække ikke-compliant systemer tilbage fra markedet

    → Reputationsskade

    → Tab af forretningspartnere der kræver compliance-dokumentation

    → Cascading compliance-issues på tværs af andre regulativer (GDPR, produktsikkerhed, sektorspecifikke krav)

    Hvad skal danske organisationer gøre nu?

    Her er min pragmatiske prioritering:

    1. Kortlæg jeres AI-landskab

    Hvilke AI-systemer bruger I? Inkludér alt – fra ChatGPT til leverandørers indlejrede AI. Mange organisationer undervurderer drastisk, hvor meget AI der allerede er i deres processer.

    2. Klassificér efter risiko

    For hvert system: Hvilken risikokategori falder det i? Vær særligt opmærksom på HR-processer, kundeservice, kreditvurdering og beslutningsstøtte.

    3. Start AI-literacy nu

    Vent ikke på august 2026. Etablér et basalt træningsprogram der dækker:

    → Hvad er AI, og hvordan virker det?

    → Hvilke AI-systemer bruger vi?

    → Muligheder og risici

    → Retningslinjer for ansvarlig brug

    4. Etablér governance

    Hvem er ansvarlig for AI i jeres organisation? Det behøver ikke være en ny rolle, men ansvaret skal være klart placeret.

    5. Dokumentér

    Alt. Beslutninger, vurderinger, træning, processer. Hvis det ikke er dokumenteret, eksisterer det ikke for en tilsynsmyndighed.

    Det handler ikke kun om compliance

    Her er mit egentlige budskab:

    Jeg har sagt det før: 95% af GenAI-projekter fejler. Ikke på grund af teknologien. På grund af mennesker, kompetencer og organisering.

    EU AI Act's fokus på AI-literacy rammer præcis det punkt. Forordningen anerkender implicit, at den største risiko ikke er algoritmen – det er organisationer, der implementerer AI uden at forstå, hvad de laver.

    Det er min 10/20/70-regel i praksis: 10% algoritmer, 20% teknologi, 70% mennesker.

    Compliance er baseline. Det interessante er, hvad du bygger ovenpå.

    Organisationer der tager AI-literacy seriøst – ikke som en checkbox, men som en strategisk investering – vil have en konkurrencefordel. De vil kunne implementere AI hurtigere, sikrere og med bedre resultater.

    De der venter og ser tiden an? De vil bruge de næste år på at indhente.

    Ressourcer

    EU AI Act officiel tekst

    AI Act Service Desk (EU-Kommissionen)

    AI Literacy Q&A

    Implementation timeline

    Har din organisation styr på AI-literacy? Jeg faciliterer workshops og træningsforløb, der gør teams klar til både compliance og praktisk AI-implementering. Kontakt mig.

    Gør din organisation klar til AI — kurser, workshops og rådgivning