Når du som leder eller marketingchef skal implementere den nye EU AI Act, GDPR og dansk markedsføringslov, virker det ofte overvældende. Reglerne kommer fra forskellige kilder, bruger forskelligt sprog, og der bliver hurtigt til et juridisk rodekammer uden praktiske vejledninger. Men her er det vigtige: du skal ikke være jurist for at forstå og efterleve disse regler. Du skal bare vide, hvor grænserne går, hvad du må træne dine AI-systemer på, og hvordan du dokumenterer dine beslutninger uden at drukne i compliance-papirer.
I denne artikel oversætter vi EU's AI Act, GDPR og dansk markedsføringslov til konkrete retningslinjer du kan bruge på mandag morgen. Vi viser dig præcist, hvad der sker fra august 2026, hvilke straffe der venter hvis du ikke følger reglerne, og hvordan du bygger et simpelt compliance-system der faktisk virker. Uanset om du bruger AI i marketing, kundeservice, HR eller ledelse, vil du få svar på de spørgsmål, der skal stilles i dag.
I maj 2025 gjorde Danmark noget hidtil uset i EU. Vi blev det første medlemsland til at vedtage en national supplerende lov til AI Act. Det betyder, at Danmark ikke bare venter på EU's regler fra august 2026, vi er allerede gået i gang med at implementere. Digitaliseringsstyrelsen blev udpeget som vores tilsynsmyndighed, og siden februar 2025 har visse AI-praksisser været direkte forbudt. Du skal være helt klar på hvad der allerede gælder nu.
Lad os være konkret: hvis du bruger AI til beslutninger, der påvirker mennesker direkte, skal du starte med at spørge dig selv tre ting. Først: hvilken risikokategori falder min AI-anvendelse ind under? EU AI Act inddeler alt efter risiko i fire trin: uacceptabel (direkte forbudt), høj risiko (skal godkendes før lancering), begrænset risiko (skal være transparent), og minimal risiko (få krav). De fleste virksomheder arbejder i den høje risiko eller begrænsede risiko zone, og det er præcis dér reglerne bliver relevante for dine daglige beslutninger.
Anden ting: GDPR er ikke væk, det bliver dybere. Du skal måske ikke skrive en helt ny compliance-proces. I stedet kan du genbruge meget af det GDPR-arbejde du allerede har gjort. Din eksisterende Data Protection Impact Assessment (DPIA) kan udvides til at dække AI Act kravene også. Det betyder mindre dobbeltarbejde og mere fokuseret dokumentation.
Tredje ting: markedsføringsloven ændres fra august 2026. Fra den dato skal du eksplicit mærke AI-genereret billeder, lyd og video. Det handler ikke bare om at være juridisk korrekt. Det handler om at bevare tillid til dit brand. Hvis dine kunder opdager, at du har brugt generativ AI uden at sige det, kan det gøre mere skade end godt. Så lad os gå ned til de konkrete handlinger du skal tage nu.
Uacceptabel risiko er nemme: det er forbudt punkt. Hvis du bruger AI til social scoring, hvor systemet vurderer menneskers værdighed og tildeler dem forskellige rettigheder baseret på deres adfærd eller karakteristika, kan du glemme det. Ligeledes kan du ikke bruge maskinlæring til psykologisk manipulation der skadar mennesker. Du kan ikke træne AI på børns ansigter uden særlig godkendelse. Hvis du planlagde noget af disse ting, skal du sige stop nu. Den gode nyhed er: få virksomheder arbejder med uacceptabel risiko. Men mange arbejder med høj risiko.
Høj risiko omfatter systemer, der påvirker kritiske menneskerettigheder eller vigtige forretningsbeslutninger. Hvis du bruger AI til at screene jobkandidater, afgøre kredituddeling, kontrollere kritisk infrastruktur, eller træffe afgørelser i sundhedsvæsen, handler vi om høj risiko. I Danmark betyder det især HR og kundeservice. Du skal have en grundig risikovurdering, træning af dit team, løbende overvågning, dokumentation, og du skal have processer for at håndtere fejl. Det er ikke let, men det er heller ikke umuligt. Mange virksomheder bygger et system omkring deres HR-software, hvor compliance tjeklisten bliver del af procurement og rollout-processen.
Begrænset risiko dækker systemerne bag de fleste marketing- og kundeserviceapplikationer. Hvis du bruger en chatbot til at svar på hyppige spørgsmål, eller du træner en model til at anbefale produkter, er du typisk i begrænset risiko. Kravet her er transparens. Folk skal vide, at de taler med en bot. Hvis du bruger AI-genererede billeder i reklamer, skal det være mærket. Du skal også have gode praksisser for at håndtere feedback og klager. Det betyder at du skal kunne sige til dine kunder: "Ja, denne beslutning blev taget af AI, og her kan du få den gennemgået af en menneske."
Minimal risiko handler om alt, der ikke påvirker mennesker på en betydningsfuld måde. En AI, der sorterer indkommende emails efter emne, eller som hjælper dig med stavekontrol, handler ikke rigtig om regulering. Men her er det vigtige twist: hvis du ikke er sikker på hvor du falder henne, er det meget mere sikkert at antage høj risiko end at antage minimal risiko. Så start konservativt, og slip op når du får mere selvtillid.
Her er hvor mange virksomheder får det helt forkert. De mener, at hvis de bruger en cloud-baseret AI-service, har de overladt alle compliance-ansvaret til serviceudbyder. Det er ikke rigtigt. Du som virksomhed er stadig databehandler efter GDPR, og du er stadig ansvarlig for at sikre, at træningsdataene kommer fra lovlig kilder. Hvis du træner en kundeservice-bot på dine kunders feedback uden samtykke, kan du have brudt GDPR selvom leverandøren siger det er okay.
Lad os være praksis: hvad kan du faktisk træne på? Anonymiserede data er stort set gratis at bruge. Hvis du kan fjerne alle personidentifikative karaktertræk fra dine kundedata før du træner AI'en, er du relativt sikker. Men ægte anonymisering er svær. Hvis du har 1000 kundesamtaler og fjerner navne og email-adresser, kan du stadig genkende individuelle kunder ud fra deres købekort, deres placering, eller deres personlige præferencer. Det er ikke rigtig anonymiseret. GDPR-tilsynet i Danmark er blevet mere streng på dette punkt de seneste år.
En mere praktisk tilgang er at bruge dine egen data med eksplicit samtykke. Hvis du har en kundebase som allerede har accepteret, at du behandler deres data til AI og AI-transformation, kan du træne direkte på det. Du skal have dokumentation af samtykket, og du skal være i stand til at gøre det mængde af data tilgængeligt igen hvis en kunde beder om det. Det betyder typisk en simpel dokumentation: "Vi bruger kundesamtaler til at træne vores chatbot til at blive bedre til at løse problemer."
Den tredje tilgang er at købe eller få adgang til træningsdata fra tredje mand. Det skal være data hvor kilden allerede har givet tilladelse, eller hvor dataene er åbent licenseret under en åben licens som Creative Commons. Du skal kunne redegøre for kilden af dine træningsdata, især hvis din model bliver brugt til høj-risiko beslutninger. EU's AI Act bliver mere specifik om det fra august 2026. Du skal kunne sige til en tilsynsmand: "Her er hvor træningsdataene kom fra, her er licensen, og her er hvordan vi har sikret datakvalitet."
Nu kommer det helt vigtige: du behøver ikke en helt ny DPIA for AI Act hvis du allerede har lavet en for GDPR. Du kan udvide din eksisterende DPIA. Det betyder at du gennemgår dine nuværende data-behandlinger, identificerer hvor AI'en kommer ind i billede, og laver ét sammenhængende dokument. Det sparer tid og gør processen meget mindre administrativ. Mange danske virksomheder gør dette allerede, og det virker godt.
Compliance skal ikke være et projekt der tager hele året. Dine og dit teams ressourcer er kostbare, og hvis du bruger dem på at skrive 200-siders compliance-dokumenter som ingen læser, har du brugt dem dårligt. I stedet skal du bygge en enkel rutine. Start med en hjemmebagt Excel-matrix hvor hver AI-anvendelse i din virksomhed bliver registreret med tre informationer: navn, formål, risikokategori. Hvis du har 10 AI-systemer, skal du have 10 rækker. Hvis du har 100, skal du være mere struktureret, men principlet er det samme.
For hver AI-anvendelse skal du så notere ned: hvor kommer træningsdataene fra, hvem skal godkende før det går live, hvordan tester vi for bias og fejl, hvordan håndterer vi klager fra brugere, og hvem er ansvarlig for vedligeholdelse. Du behøver ikke skrive lange fortælling om hver. "Kundeservice-chatbot träning: kundeklips med samtykke, test med 500 eksempler, godkendelse af kundeservicechef før lancering, bias-test ugentligt, bias-tjekliste fra Digitaliseringsstyrelsen" er helt rigtigt.
Fra august 2026 skal høj-risiko systemer desuden have en AI-impact assessment hvor du vurderer påvirkningen på mennesker, miljø, og samfund. Det lyder stort, men det er ikke. Du er blot nødt til at stille dig selv spørgsmål som: "Hvis denne AI-model tager en forkert beslutning, hvad sker der så? Kan det skade mennesker? Kan det påvirke ligeret eller børn?" og så dokumentere dine svar. En 2-3 side dokument pr. AI-system er typisk nok. Du skal heller ikke gentage det samme dokument hver gang du opdaterer modellen. Du opdaterer blot når væsentlige ting ændrer sig.
Her er det helt vigtige: Digitaliseringsstyrelsen i Danmark giver vejledning og værktøjer gratis. Du kan download deres AI Act sjekliste direkte fra digst.dk. Det er på dansk, og det er lavet til danske virksomheder. Brug det. Du skal ikke opfinde det hele selv.
Lad os være helt konkret om markedsføringsloven. Fra 22. august 2026 skal alle billeder, videoer og lydindhold der er skabt eller væsentligt manipuleret af AI, mærkes som sådan. Det gælder ikke blot hvis du selv har genereret det, men også hvis du køber det fra andre kilder. Hvis du køber en AI-genereret fotoshooting fra en stockfoto-side, skal du selv mærke det når du bruger det i din kampagne. Det betyder at du skal have rutiner i dine teams hvor denne mærkning bliver en automatisk del af processen.
Mange markedsføringschefar og kommunikatører har allerede begyndt at bruge generativ AI til at lave billeder, videoer, og copywriting. Fra august 2026 handler det ikke længere om at være innovative før konkurrenterne,det handler om at være lovlige. Hvis du bruger OpenAI's DALL-E, Midjourney, eller Stable Diffusion til at generere billeder til dine annoncer, skal hver enkelt billede kunne markeres. Det betyder typisk en liten note som "Billede skabt med kunstig intelligens" eller "AI-genereret billede" i billedtekst eller billedkredit.
Her er hvordan du implementerer det praktisk. Først skal du have en policy for dit team. En simpel sætning holder: "Al AI-genereret eller AI-manipuleret indhold skal mærkes som sådan før det udgives." Anden: søg inden du designer. Hvis du har en stor indholdsmælring, lav en liste hvor hver post noteres ned med hvilken AI der blev brugt til at skabe/redigere den. Det hjælper dig at undgå at glemme mærkninger. Tredje: tjek dine templates og systemer. Hvis du bruger et content management system eller markedsautomatiseringssystem, skal du kunne tilføje en felt for "AI-mærkning" så det ikke bliver glemt.
En vigtig nuance: hvis du bruger AI til helt almindelige opgaver som stavekontrol, e-mail-forslag, eller selv copy-writing hjælp, behøves ikke at markeres hvis sluttresultatet ikke indeholder AI-genereret billedmateriale. Men hvis du bruger en AI til at skrive en hel artikel og udgiver det uden anden redigering, er der gode argumenter for at være transparent om det. Danske medier og brancher bygger nu en kultur hvor AI-hjælp bliver noteret. Det kan være godt for dit brand at være foran kurven her.
En anden vigtig del af markedsføringsloven handler om manipulation. Du må ikke bruge AI til at lure mennesker. Hvis du laver deepfakes af kendisser eller politikere for at få folk til at købe dine produkter, er det direkte forbudt. Hvis du bruger AI til at lave falske anmeldelser eller falske testimonials, er det også forbudt. Det var forbudt før AI Act også, men nu er det helt eksplicit skrevet ind at AI ikke må bruges til denne type bedrag.
De fleste virksomheder som implementerer høj-risiko AI først møder det gennem HR-systemer. Et automatisk CV-screening system som skal sige hvilke ansøgere der skal til samtale, eller et performance management system som bruger AI til at vurdere medarbejderes produktivitet. Fra august 2026 skal disse systemer gennem godkendelse før de lanceres, og der skal være kontinuerlig overvågning. Det betyder at du ikke bare kan implementere en HR-AI uden et omfattende forberedelsesforløb.
Lad os tage CV-screening som eksempel. Det typiske setup er: du har tusinder af ansøgere, du bruger en AI-model til at score dem og vise de bedste 200 til en human recruiter. Det lyder fornuftigt. Men hvis AI'en er trænet på jeres historiske CV'er, og jeres historiske CV'er kommer fra en demografisk homogen gruppe, vil AI'en diskriminere mod diverse kandidater. Det er ikke intentionelt, men det sker. EU AI Act siger at du skal teste for præcist dette før du lancerer. Du skal mindst teste på 500 representative CV'er, og du skal dokumentere at resultatet ikke diskriminerer på grund af køn, alder, etnicitet, eller andre beskyttede karakteristika.
For kundeservice handles det typisk om chatbots som skal håndtere kundereklamationer eller lave servicebeslutninger. En chatbot som skal afgøre om en kunde skal få refusion for et defekt produkt, handler om høj risiko. Den skal være trænet på de rigtige eksempler, den skal være testet til at handle grænsetilfælde korrekt, og der skal være en overfalde til menneskelig behandling hvis kunden er uenig. Hvis chatbotten bare siger "nej" uden en mulighed for at apeallere til et menneske, er det ikke lovligt fra august 2026.
Implementering af høj-risiko AI starter med at være helt klar på hvem som har ansvar. Det er typisk ikke HR-chefen alene og ikke IT-chefen alene. Det skal være en samlet indsats hvor leder (som tager den forretningspolitiske beslutning), HR eller IT (som implementerer), og compliance (som dokumenterer) arbejder sammen. Du skal have møder minimum månedligt hvor I gennemgår: hvordan fungerer AI'en nu, har der været fejl eller bias, hvad har vi lært, og hvad skal vi ændre. Det klinges som meget, men når det er implementeret virker det rimelig naturligt.
En helt vigtig del som mange overser: du skal kunne dokumentere at mennesker har været involveret i designet af systemet, ikke blot implementeringen. Hvis du bare køber en stand-alone HR-AI fra en leverandør, uden at spørge dine medarbejderes opinioner, eller uden at teste den på jeres data først, har du ikke gjort nok. Du skal kunne sige: "Vi taler med vores HR-team og nægtligt arbejdsmiljørepræsentanter før vi valgte denne løsning." Og du skal kunne sige det med dokumentation.
AI-governance lyder som noget stort, men det skal ikke være det. Det handler blot om at have klare processer for hvem der tager beslutninger omkring AI, og hvordan i dokumenterer det. I de fleste danske virksomheder betyder det ét møde pr. måned med ledelsen hvor i gennemgår: hvilken nye AI-projekter bliver startet, hvilke eksisterende AI-systemer har der være problemer med, hvad skal vi gøre i Q3. Og en enkelt Excel-fil hvor alle AI-systemer er ført op med ejere og status. Det er det.
Den vigtigste del af AI-governance er at have én person der har ansvar for compliance inden for hvert område. I marketing er det markedsføringschefen, i HR er det HR-chefen, i kundeservice er det kundeservicelederen. De skal ikke være AI-eksperter. De skal blot være klar på: hvad er reglerne for vores område, hvad skal vi teste før vi lancerer, og hvem skal vi høre hvis vi er usikre. Det betyder typisk at de får en 2-timers introduktionskursus, og derefter en checklist de skal følge hver gang de starter et nyt AI-projekt.
Lav en intern kommunikation om AI-reglerne. Det virker dumt, men mange teams i større virksomheder ved ikke at reglerne er kommet, eller de tror at compliance-afdelingen håndtere det hele. Det handler de ikke. Send en mail til alle ledere som siger: "Fra august 2026 gælder nye regler for kunstig intelligens. Her er hvad det betyder for dit område, her er hvem du skal høre hvis du har spørgsmål, og her er tidsplanen." En enkel mail, en tydeligt emne, og tro mig, budskabet går hjem.
Brug Digitaliseringsstyrelsens materiale. De har lavet guides, checklister, og eksempler helt gratis. Hvis du ikke har læst dem, er det første sted du skal gå. De kommer fra en dansk myndighed som skal håndhæve reglerne, så deres vejledning er den mest pålidelige du kan få.
Lad os være helt direkte: bøderne er store. EU AI Act tillader Digitaliseringsstyrelsen at ilegne bøder på op til 35 millioner euro eller 7 procent af global omsætning, hvad der er størst. For en mellemstort dansk virksomhed med 100 millioner i omsætning betyder det op til 7 millioner euro i bøde. For store virksomheder kan det blive til flere hundrede millioner. Men her er det vigtige: de højeste bøder rammer virksomheder som helt bevidst bryder reglerne eller negligerer dem. Hvis du handler nu, hvis du laver en god-tro indsats på at være i overensstemmelse, og hvis der kommer fejl vil Digitaliseringsstyrelsen typisk hjælpe dig med at fikse dem først.
De kategorier som rammer højeste bøder er: at bruge direkte forbudt AI (uacceptabel risiko), at manipulere mennesker bevidst, at bruge diskriminerende systemer uden at prøve at fikse dem, og at ikke samarbejde med tilsyn når de kontakter dig. Du undgår alle disse ved at være proaktiv. Start processen nu. Tag kontakt til Digitaliseringsstyrelsen hvis du er usikker. Dokumenter hvad du gør og hvorfor. Det helt enkelt betyder du holder dig ud af fare.
De første år fra 2026-2028 forventer eksperter at Digitaliseringsstyrelsen fokuserer på vejledning og samarbejde frem for at ud sanktioner. Der kommer til at være mange virksomheder som ikke er helt klar, og myndighederne ved at det tager tid at implementere. Men fra 2028-2029 og frem vil kontrollen blive skarpere. Virksomheder som IKKE kan dokumentere at de har prøvet at følge reglerne, vil få påbud og eventuelle bøder. Virksomheder som KAN dokumentere en god-tro indsats vil typisk få vejledning og tid til at fikse problemer.
Så hvad kan der sker hvis du ikke handler nu? Best case: intet på kort sigt, men du ligger bagud. Du bruger tiden fra april 2026 til august 2026 på at få styr på reglerne i stedet for at være allerede klargjort. Værste case: Digitaliseringsstyrelsen finder ud af at du bruger høj-risiko AI uden ordentlig godkendelse, de sender et påbud, du skal stoppe systemet, implementere compliance, og derefter starte igen. Det koster tid, resurser, og troværdighed. Worst case: du pådrager dig faktisk en bøde. Det skal der helt til at være mange overlæg at gøre sig skyldig i for at det sker, men det kan ske.
Den helt vigtige ting: start nu. August 2026 virker langt væk, men det er kun fem måneder fra juni 2026. Hvis du starter i april, maj, juni, har du tid til at sortere det ud. Hvis du starter i august, er du i panik.
Hvis du skal handle må du have en plan. Her er hvad der bør ske de næste tre måneder for at være klar til august 2026. Måned 1 (april): Tag ledergruppen sammen og lav en kort liste over alle jeres AI-systemer. Hvis I ikke ved præcis hvilke, start med at spørg IT, marketing, HR og kundeservice om hvad de bruger. Marker hvad der allerede kører og hvad der er planlagt. Tag aldrig længere end 2 timer på det. Anden del af måned 1: tildel ansvar. Hvem i jeres ledelse skal ejere AI-governance? Det skal være en person som har tiden og magten til at tage beslutninger. Det er typisk ikke en anden rolle, det er en dedikeret person.
Måned 2 (maj): Download Digitaliseringsstyrelsens guides og checklister. Læs dem. Send dem videre til relevante teams. Afhold møder med hver team som bruger AI og spørg: hvad laver denne AI, hvad trænes den på, hvem godkender før lancering, og hvad kan gå galt? Du behøver ikke at have alle svarene. Du skal blot have stillet spørgsmålene. I anden halvdel af måned 2: start på den første DPIA eller AI-impact assessment for jeres vigtigste AI-system. Hvis I har høj-risiko HR-AI, start der. Hvis I har høj-risiko kundeservice-AI, start der. Ikke alle systemer, blot de vigtigste.
Måned 3 (juni): Afslut den første DPIA eller impact assessment. Gør det dokumentationen klar. Afhold møde med hele ledergruppen og gennemgå status. Hvad er der på plads, hvad mangler der, hvad skal ske før august. Tag beslutning på hvor i skal have hjælp udefra. De fleste virksomheder finder at de skal have eksternt hjælp til enten HR-AI governance, kundeservice-AI testing, eller compliance-dokumentation. Det er helt okay. Engager consulting eller juridisk hjælp hvis det giver mening for jer. I sidste uge af juni skal i kunne sige: "Vi har et planer, vi ved hvad der mangler, og vi ved hvad der skal ske i juli og august."
Juli og august: sørg for at alt bliver implementeret. Test høj-risiko systemer. Implementer mærkninger på AI-genereret indhold. Sørg for at alle teamledere ved hvad der gælder. Hvis noget ikke virker, juster den. Men du burde være meget langt af vægen på dette punkt.
Det vigtigste du kan gøre er at sikre at AI-governance ikke bliver en HR-ting eller compliance-ting som folk udsætter fordi de har mere vigtige ting at lave. AI-governance skal være en del af hvordan I tager forretningsbeslutninger. Det betyder at det skal være normalt at stille spørgsmål som "hvordan har vi testet denne AI for bias?" eller "hvem har vi hørt før vi valgte denne løsning?" på dine ordinære møder. Det betyder at du som leder taler om det med dit team. Det betyder at når en ansat foreslår en ny AI-løsning, er første spørgsmål "hvad er risikokategorien?" ikke noget der skal sendes til compliance-afdelingen.
Lav AI-literacy til en prioritet. Når mennesker forstår hvorfor reglerne er kommet, og hvad de betyder, bliver de selv compliance-politi. De tænker ikke bare "jeg skal følge reglerne fordi det er required", de tænker "jeg skal følge reglerne fordi det giver mening og det er godt for vores kunder og vores brand." Det mindset er meget kraftfuldt.
Sluttelig: du skal ikke være perfekt. Du skal blot være i god tro og være villig til at rette op når du finder fejl. Alle virksomheder vil have noget der ikke helt er på plads når august 2026 kommer. Alle vil have systemer som ikke helt lever op til reglerne uden nogle mindre justeringer. Det er helt okay. Det vigtste er at du kan vise at du har prøvet, at du har hørt eksperter, at du har dokumenteret og at du har en plan for at fikse problemer.
De virksomheder som kommer til at få størst problemer er de som gør ingenting nu og håber problemet løser sig selv. Gør ikke det. Start i dag.