Risk Management System (AI Act)

Hvad kræver Artikel 9 konkret?

Artikel 9 i EU AI Act opstiller fire krav til et risk management system for højrisiko-AI. Det første er identifikation: virksomheden skal kortlægge alle kendte og rimeligt forudsigelige risici, både ved tilsigtet brug og ved rimeligt forudsigelig fejlanvendelse. Det inkluderer risici for sundhed, sikkerhed og grundlæggende rettigheder som privatlivsbeskyttelse og ikke-diskrimination.

Det andet krav er estimering og evaluering. Hver identificeret risiko skal vurderes i forhold til sandsynlighed, alvorsgrad og hvilke befolkningsgrupper der potentielt påvirkes. Det er her, virksomheden prioriterer, hvilke risici der kræver mest opmærksomhed.

Det tredje krav er risikohåndtering. Virksomheden skal vedtage målrettede foranstaltninger: først forsøge at eliminere risici gennem design, dernæst implementere kontroller for de risici, der ikke kan fjernes, og endelig informere og træne brugerne. Human-in-the-loop-mekanismer spiller ofte en central rolle her.

Det fjerde krav er løbende overvågning. Risk management-systemet skal opdateres baseret på data fra post-market monitoring, bruger-feedback og eventuelle hændelser. Det er en iterativ proces, ikke et dokument, der laves en gang og arkiveres.

Consile hjælper danske virksomheder med at opbygge risk management systems, der lever op til EU AI Act. Kontakt os for en uforpligtende vurdering af jeres AI-compliance-parathed.

Risk Management System i praksis

For virksomheder, der allerede arbejder med ISO 31000 eller lignende risikostyringsrammer, vil dele af AI Act-kravet føles genkendeligt. Forskellen er, at AI Act stiller specifikke krav til AI-konteksten: risikovurderingen skal adressere bias, datakvalitet, robusthed og AI governance som selvstændige risikodimensioner.

I praksis betyder det, at compliance-afdelingen ikke kan arbejde isoleret. Risk management-systemet kræver input fra datavidenskab (hvilke fejlmønstre kan modellen udvise?), jura (hvilke rettigheder er i spil?), forretningen (hvordan bruges systemet reelt?) og IT-sikkerhed (hvilke angrebsflader eksisterer?).

Datatilsynet bliver den primære tilsynsmyndighed i Danmark for højrisiko-AI-systemer, der involverer persondata, mens Digitaliseringsstyrelsen har det overordnede ansvar for AI-forordningen. Virksomheder bør forberede sig på, at tilsynet kan anmode om dokumentation for risk management-systemet.

En konkret tilgang er at integrere AI-risikostyring i eksisterende Enterprise Risk Management-rammer og supplere med AI-specifikke kontroller. Det reducerer overhead og sikrer, at AI-risici behandles på samme ledelsesniveau som øvrige forretningsrisici.

Hvad et Risk Management System ikke er

Et risk management system under AI Act er ikke en checkliste, der udfyldes en gang ved lancering. Det er heller ikke en ren teknisk test af modellens præcision. Artikel 9 kræver en holistisk vurdering, der omfatter sociale, etiske og juridiske risici ud over de rent tekniske.

Det er heller ikke det samme som en Data Protection Impact Assessment (DPIA) under GDPR, selvom der er overlap. DPIA fokuserer på persondata, mens AI Act-risikostyringen har et bredere scope, der inkluderer sikkerhed, grundlæggende rettigheder og samfundsmæssig påvirkning. Mange virksomheder vil dog have gavn af at koordinere de to processer for at undgå dobbeltarbejde.

Endelig er det vigtigt at forstå, at kravet ikke kun gælder udviklere. Virksomheder, der deployer højrisiko-AI (såkaldte "deployers" i AI Act-terminologien), har også forpligtelser til at overvåge systemet og rapportere problemer til udbyderen. EU AI Act skaber et delt ansvar gennem hele værdikæden.