AI-forordningen er trådt i kraft, og de første forpligtelser og forbud gælder allerede. Men hvad betyder AI-forordningen egentlig for danske virksomheder og myndigheder? Hvordan spiller reglerne sammen med reglerne i GDPR? Og hvor lurer de juridiske faldgruber, når teknologien implementeres i hverdagen? Vi har talt med advokat og AI-ekspert Martin Sønnersgaard om, hvad fagfolk bør vide – og hvad du absolut ikke må overse.

Kunstig intelligens er ikke længere fremtid – det er nutid. Fra chatbots på offentlige myndigheders hjemmesider til algoritmer, der understøtter rekruttering, sagsbehandling og medicinsk diagnostik: AI arbejder allerede i dansk organisationskultur. Og nu har EU besluttet at sætte spillereglerne. For mange organisationer er det tid til at handle – ikke blot planlægge.

Den 1. august 2024 trådte EU’s AI-forordning (forordning 2024/1689) formelt i kraft som verdens første samlede regulering af kunstig intelligens. Forordningen rulles gradvist ud frem mod 2027 og berører alle, der udvikler, anvender eller idriftsætter AI-systemer på det europæiske marked.

I EU foregår der i øjeblikket forhandlinger om EU-Kom missionens forslag om Digital Omnibus om AI, som for ventes at indebære ændringer af AI-forordningen. Kom missionen har bl.a. foreslået at udskyde ikrafttrædelsen af forordningens krav for højrisikoanvendelser af AI, der fremgår af bilag III, med frist 6 måneder efter Kommissionen har vurderet de europæiske standarder og vejledninger tilstrækkelige. Dog senest den 2. december 2027. De endelige frister for reglernes anvendelse er således på nuværende tidspunkt ikke endeligt fastlagt.

Fra teknologibegejstring til juridisk virkelighed

Få teknologier har skabt så stor begejstring – og så man ge juridiske spørgsmål – som kunstig intelligens. Mens mange organisationer hurtigt har taget AI-værktøjer i brug, har de færreste opnået et systematisk overblik over de regulatoriske krav, der følger med. ”Mit overordnede indtryk er, at de færreste danske organisationer reelt er klar til AI-forordningen, men mange er begyndt at gå i gang”, siger Martin Sønnersgaard og tilføjer, at arbejdet vanskeliggøres af, at der fortsat mangler centrale standarder og vejledninger fra EU-Kommissionen, der dog må forventes offentliggjort inden længe.

Et centralt begreb i forordningen er risikoniveauet for det pågældende AI-system. Forordningen bygger på en risikobaseret tilgang: Jo større risiko en AI-løsning udgør for fysiske personers rettigheder, sundhed eller sikkerhed, jo større er kravene.

Samtidig varierer AI-forordningens forpligtelser alt efter, hvilken rolle man som organisation har i forhold til AI-systemet. Størstedelen af kravene er rettet mod ”udbydere” – typisk de virksomheder eller myndigheder, der udvikler AI-systemerne og bringer dem i omsætning på markedet eller bruger dem selv i eget navn. Organisationer, der køber og anvender færdigudviklede AI-systemer, er idriftsættere og har selvstændige forpligtelser, som mange endnu ikke er opmærksomme på.

”Det første skridt er derfor at få et overblik ved at kortlægge, hvilke AI-systemer der allerede bruges eller ønskes anskaffet og fastlægge, hvilken risikokategori de tilhører og hvilken rolle man har som organisation i forhold til systemet. Først da har man et overblik over sine forpligtelser efter AI-forordningen”, siger Martin Sønnersgaard.

Det kan dog i praksis ofte være vanskeligt at fastlægge sin rolle i forhold til et AI-system; det gælder navnlig, når en organisation ændrer et AI-system, f.eks. ved at fine-tune AI-modellen eller optimere modellen på anden måde. Tilsvarende gælder, når organisationen selv inkorporerer en AI-model i sit eget system eller bruger generelle AI-systemer til nye formål, som de ikke er tilsigtet til.

Hvad skal organisationer gøre nu?

Mange af de vigtigste krav i forordningen gælder først fra august 2026. Men to forpligtelser er allerede aktuelle: Forbuddet mod AI-systemer med uacceptabel risiko blev gældende fra 2. februar 2025. Det samme gør sig gældende for kravet om AI-færdigheder hos medarbejdere. Kravet om AI-færdigheder (”AI literacy”) indebærer, at organisationer, der anvender eller udbyder AI-systemer, i videst muligt omfang skal sikre, at de relevante medarbejdere besidder tilstrækkelige AI-færdigheder til at ud vikle og anvende systemerne. Det er ikke et krav om, at alle skal have en dybdegående teknisk forståelse, men at medarbejdere, der arbejder med AI-løsninger, forstår teknologiens muligheder, begrænsninger og risici.

De største juridiske udfordringer

Ud over selve AI-forordningen trækker implementeringen af AI-løsninger på en række øvrige retsområder, som fagfolk må have for øje. Databeskyttelsesforordningen (GDPR) spiller en central rolle, når AI-systemer behandler personoplysninger – og det gælder langt de fleste systemer i praksis. Lidt forenklet sagt kan man sige, at GDPR omhandler hele datasiden af udvikling og drift af AI-løsninger, der i praksis ofte behandler personoplysninger. Samspillet mellem AI-forordningen og GDPR er hverken enkelt eller fuldstændigt afklaret. Kravene overlapper og supplerer i vidt omfang hinanden, f.eks. inden for temaer såsom menneskelig kontrol, krav til datakvalitet, cybersikkerhed, forbud mod ulovlig forskelsbehandling og risikostyring. Begge regelsæt indeholder også regler om rettigheder for fysiske personer i en AI-kontekst. Hertil kommer spørgsmål om ophavsret, kontraktret og ansvar, når AI-genereret indhold bruges i professionelle sammenhænge.

”For offentlige myndigheder er den største juridiske udfordring for brug af AI til borgerrettet sagsbehandling lige nu faktisk manglende hjemmel hertil efter GDPR. Flere pro jekter er stoppet eller døde i fødslen af denne grund”, siger Martin Sønnersgaard.

Han forklarer, at Datatilsynet har offentliggjort en række afgørelser og udtalelser, hvor tilsynet kræver en ganske klar hjemmel til brugen af AI – både når AI anvendes som beslutningsstøtte til afgørelser, men også hvor AI anvendes til f.eks. sagsoplysning eller transskribering af samtaler. Problemet er, at en sådan klar hjemmel sjældent er at finde, fordi lovgivningen har bygget på et princip om teknologineutralitet. Der er dog hjælp på vej i form af for ventelig ny lovgivning, der enten specifikt eller generelt sikrer hjemmel, forklarer han.

Ét område, der fortjener særlig opmærksomhed er pligten efter GDPR til at foretage en konsekvensanalyse ved rørende databeskyttelse (DPIA). Når virksomheder eller myndigheder behandler personoplysninger i AI-systemer, vil de meget ofte skulle foretage en sådan DPIA, der er et helt centralt instrument til risikohåndtering og databeskyttelsesretlig compliance. Og denne pligt gælder allerede nu. Samtidig indeholder AI-forordningen et nyt krav om, at brugere (idriftsættere) af visse højrisiko-AI-systemer skal udarbejde særlige konsekvensanalyser vedrørende grundlæggende rettigheder (såkaldte FRIAer).

”De to konsekvensanalyser efter GDPR og AI-forordningen er helt centrale. De er forskellige, men overlapper hinanden på væsentlige områder. Det vil derfor ofte være relevant i praksis at lave de to analyser i den samme proces for at sikre effektivitet og smidighed”, siger Martin Sønnersgaard.

AI Governance: Mere end en tjekliste

Det kan virke overvældende at forholde sig til en teknologi, der kan udvikle sig hurtigere, end lovgivningen kan følge med. Men ifølge eksperterne er det muligt – og nødvendigt – at etablere en struktureret tilgang til AI Governance, der ikke blot sikrer compliance, men også skaber tillid og gør det muligt at høste gevinsterne ved teknologien.

AI Governance handler om at have styr på, hvilke AI-systemer der anvendes, til hvilket formål, på hvilket data grundlag – og med hvilke foranstaltninger for at beskytte mod fejl og misbrug. Det inkluderer udarbejdelse af in terne politikker, risikovurderinger (herunder konsekvensanalyser) og løbende dokumentation.

Martin Sønnersgaard forklarer, at mange organisationer er ved at opbygge et AI-governance-program. Her skal de overveje, hvem der skal varetage denne rolle – skal opgaven ligge hos databeskyttelsescompliance, informationssikkerhed eller en helt tredje enhed dedikeret AI med tværfaglige kompetencer. Selv om AI-compliance er særegen, er der gode muligheder for at bygge videre på et fundament for organisationer, der allerede har opbygget gode processer og politikker for databeskyttelse og informationssikkerhed.

En vigtig pointe er, at AI-forordningen ikke blot er et compliance-krav – den kan også bruges som inspiration til god praksis, selv for organisationer, der ikke direkte er omfattet af de skrappeste krav. Grundlæggende elementer som risikovurdering, datastyring, transparens og menneskelig kontrol er sund praksis uanset risikokategori.

Fremtiden tilhører dem, der forbereder sig

AI-forordningen er historisk. For første gang i verden sættes der et samlet, bindende juridisk rammeværk op for kunstig intelligens. Sammen med GDPR stiller AI-forordningen krav – men det skaber også klarhed. For de organisationer, der forbereder sig i tide, er reglerne ikke en byrde, men en mulighed for at bruge AI på en måde, der skaber tillid og værdi.

Martin Sønnersgaard underviser bl.a. på kurserne ’AI-forordningen’ og ’Kunstig intelligens og databeskyttelse’, hvor han giver et overblik over de juridiske rammer for udviklingen og brugen af AI-løsninger samt de væsentligste forpligtelser ved AI-systemer.