AI Act er formentlig det mest omtalte og mest misforståede regelsæt, danske virksomheder skal forholde sig til lige nu. Vi hører den samme historie igen og igen: nogen i ledelsen har læst om bøder på 35 millioner euro, en leverandør har sendt en mail med "EU AI Act ready" i emnefeltet, og ingen ved rigtigt, om det overhovedet gælder for jer.
Forvirringen har en forklaring: forordningen rulles ud i etaper over fire år, EU har netop vedtaget en ændringspakke der flytter flere af fristerne, og den danske tilsynslov er kun halvt på plads.
Denne guide giver dig overblikket over EU AI Act: hvem der er omfattet, hvad der gælder hvornår, og hvad I konkret skal gøre. Opdateret 10. juli 2026.
AI Act, formelt forordning (EU) 2024/1689 om kunstig intelligens, er EU's samlede regelsæt for udvikling og brug af AI. Den blev offentliggjort i EU-Tidende den 12. juli 2024 og er en forordning, ikke et direktiv. Det betyder, at den gælder direkte i Danmark, uden at Folketinget først skal oversætte den til dansk lov.
Grundtanken er risikobaseret regulering.
Jo større skade et AI-system kan forvolde på mennesker, jo strengere er kravene. Konkret opererer forordningen med fire niveauer: forbudte praksisser, højrisikosystemer, systemer med gennemsigtighedskrav og alt det øvrige, hvor kravene er minimale.
To ting adskiller AI Act fra det meste anden regulering, danske virksomheder kender. For det første regulerer den anvendelser, ikke teknologier. Den samme sprogmodel kan være uproblematisk i én sammenhæng og højrisiko i en anden. For det andet fordeler den ansvaret gennem hele værdikæden: der er forskellige forpligtelser alt efter, om I udvikler AI, sælger den, importerer den eller bare bruger den. Jeres rolle afgør jeres pligter, og den kan skifte undervejs uden at I opdager det. Det vender vi tilbage til.
AI Act erstatter ikke GDPR. Den erstatter heller ikke arbejdsret, forbrugerret, produktsikkerhed eller ophavsret. De regelsæt gælder side om side, og et AI-system kan sagtens være i orden efter AI Act og samtidig ulovligt efter GDPR. Én ting med det samme: denne guide er vejledning, ikke juridisk rådgivning. Den endelige vurdering af jeres konkrete systemer afhænger af, hvad de gør, hvem de påvirker, og hvilken rolle I har.
Det korte svar: AI Act er aktivitetsbaseret, ikke virksomhedsbaseret. Der findes ingen liste over omfattede brancher og ingen omsætningsgrænse. Forordningen udløses af, at man udbyder eller anvender AI-systemer, der påvirker personer i EU. En virksomhed helt uden AI er ikke omfattet.
Det ærlige svar: den virksomhed findes næsten ikke længere. Bruger jeres medarbejdere Copilot i Office? Har jeres CRM fået AI-funktioner i en opdatering? Bruger nogen i marketing ChatGPT til tekstudkast? Så anvender virksomheden AI-systemer, og så er I omfattet af noget.
En detalje overrasker mange: en medarbejder, der bruger sin private ChatGPT-konto til arbejdsopgaver, tæller ikke som "personlig, ikke-erhvervsmæssig brug". Undtagelsen for privat brug gælder privatpersonen derhjemme, ikke arbejdet udført for virksomheden. Virksomheden kan altså være idriftsætter af et AI-system, som IT-afdelingen aldrig har godkendt eller hørt om. Det kaldes shadow AI, og det er et af de første problemer, en AI Act-gennemgang typisk finder.
Det rigtige spørgsmål er derfor ikke "er vi omfattet?", men "hvor dybt er vi omfattet?". I praksis fordeler danske virksomheder sig på fire niveauer:
Pointen med niveauerne: langt de fleste danske virksomheder ligger på niveau 1 eller 2, hvor forpligtelserne er til at håndtere med en struktureret indsats. Panikken er sjældent berettiget. Ligegyldigheden er det heller ikke.
"Vi er en SMV, så reglerne gælder ikke os." Forkert. Der er ingen størrelsesgrænse for, hvem forordningen gælder for. Små og mellemstore virksomheder får lempelser på bødeniveauet og forenklet dokumentation for højrisikosystemer, og med Omnibus-ændringerne udvides de lempelser til såkaldte small mid-caps. Men pligterne som sådan gælder uanset størrelse.
"Vi laver ikke AI, vi bruger den bare." Så er I idriftsætter, og idriftsættere har egne forpligtelser. De er mildere end udbyderens, men de findes, og de er allerede delvist i kraft.
"AI Act er blevet udskudt, så vi kan vente." Delvist forkert, og misforståelsen er farlig. Omnibus-pakken udskyder fristerne for højrisikokravene, men rører ikke ved det, der allerede gælder: forbuddene og kravet om AI-færdigheder har været i kraft siden februar 2025, GPAI-reglerne siden august 2025, og gennemsigtighedskravene i artikel 50 gælder fra 2. august 2026. Det sidste er om få uger.
Her skal vi have en juridisk nuance på plads, for den forklarer det meste af forvirringen i medierne lige nu.
Den oprindelige AI-forordning fra 2024 er gældende ret. EU har derefter vedtaget en ændringspakke, Digital Omnibus om AI, som blandt andet flytter fristerne for højrisikokravene. Europa-Parlamentet stemte den igennem 16. juni 2026, og Rådet gav den endelige godkendelse 29. juni 2026. Men Omnibus er i skrivende stund endnu ikke offentliggjort i EU-Tidende og derfor endnu ikke i kraft. Offentliggørelsen ventes i anden halvdel af juli 2026, og pakken træder i kraft på tredjedagen efter.
Indtil da gælder 2024-teksten. I praksis betyder det, at datoerne herunder mærket "efter Omnibus" er vedtagne, men formelt afventer offentliggørelse. Vi opdaterer guiden, når det sker.
| Dato | Hvad gælder | Status |
|---|---|---|
| 2. februar 2025 | Forbudte AI-praksisser (artikel 5) og AI-færdigheder (artikel 4) | I kraft |
| 2. august 2025 | Regler for GPAI-modeller, governance og hovedparten af sanktionskapitlet | I kraft |
| 2. august 2026 | Gennemsigtighed (artikel 50) og hovedparten af de øvrige regler; Kommissionens håndhævelse over for GPAI-udbydere begynder | Gælder fra datoen |
| 2. december 2026 | Nye forbud mod seksualiserende deepfakes og CSAM-genererende systemer; frist for maskinlæsbar mærkning i ældre indholdsgenererende systemer | Efter Omnibus |
| 2. august 2027 | Frist for at ældre GPAI-modeller (på markedet før 2. august 2025) er compliant; medlemsstaternes frist for national regulatorisk sandkasse | I kraft / efter Omnibus |
| 2. december 2027 | Kravene til højrisikosystemer efter bilag III | Efter Omnibus (før: 2. august 2026) |
| 2. august 2028 | Højrisikokrav til AI integreret i regulerede produkter (bilag I) | Efter Omnibus (før: 2. august 2027) |
Den vigtigste konklusion af tabellen er ikke en dato, men en rækkefølge: det, der gælder nu, er netop de regler, mange virksomheder har sprunget over, fordi de virkede bløde. Forbud, AI-færdigheder og om få uger gennemsigtighed. Højrisikokravene har I til gengæld fået længere tid til, og den tid skal bruges, for klassifikation, leverandørdokumentation, kontrakter og testprocedurer tager erfaringsmæssigt 12 til 24 måneder for komplekse systemer.
Før man klassificerer noget som helst, skal man vide, om løsningen falder under forordningens definition. Den lyder i kort form: et maskinbaseret system, der fungerer med en vis grad af autonomi, som udleder af sit input, hvordan det genererer output (forudsigelser, indhold, anbefalinger, beslutninger), og hvor det output kan påvirke fysiske eller virtuelle omgivelser. Systemer, der kan tilpasse sig efter idriftsættelse, er også nævnt, men tilpasningsevne er ikke et krav.
Det dækker langt mere end generativ AI. Klassiske machine learning-modeller, scoringsmodeller, anbefalingsalgoritmer og computer vision kan alle være omfattet. Omvendt er almindelig regelbaseret software ikke automatisk AI, bare fordi leverandøren har sat "AI" i produktnavnet. Et regneark med en IF-formel udleder ikke noget af sit input; det følger en fast regel.
Kommissionen har udgivet en vejledning om definitionen, og den er værd at kende af én grund: gråzonerne. Ældre statistiske modeller, simple optimeringsalgoritmer og deterministiske systemer kræver en konkret vurdering.
To praktiske råd. Skriv vurderingen ned for hvert system: input, bearbejdning, output, autonomi, påvirkning og konklusion, med dato og version. Og stol aldrig på leverandørens egen etiket. "Vores produkt er ikke AI" fra en sælger er ikke en juridisk vurdering, og det samme gælder den modsatte påstand.
AI Act fordeler forpligtelserne efter roller, og det første, I skal fastlægge for hvert system, er jeres egen. Der er fire.
Udbyder er den, der udvikler et AI-system (eller får det udviklet) og bringer det på markedet eller tager det i brug under eget navn eller varemærke. Bemærk formuleringen "tager det i brug": udvikler I selv et internt system og bruger det, er I udbyder, selvom I aldrig sælger det til nogen. En virksomhed, der selv bygger en model til medarbejderscoring, er både udbyder og idriftsætter af den.
Idriftsætter er den, der anvender et AI-system under sin myndighed som led i sin virksomhed. Det er langt den mest almindelige rolle for danske virksomheder: I køber eller abonnerer på en løsning og bruger den. Copilot, en ekstern chatbot-platform, en HR-løsning med AI-screening.
Importør bringer et system fra en udbyder uden for EU ind på EU-markedet. Distributør gør et system tilgængeligt i forsyningskæden uden at være udbyder eller importør. De to roller er mest relevante for forhandlere og softwaredistributører.
Geografien snyder i øvrigt mange: forordningen gælder også udbydere og idriftsættere uden for EU, når systemets output anvendes i EU. At modellen kører på en server i USA, fritager hverken den amerikanske leverandør eller jer.
Artikel 25 indeholder den regel, der oftest overrasker i praksis. En idriftsætter, importør eller distributør bliver behandlet som udbyder, med hele udbyderens forpligtelseskatalog, hvis den: sætter eget navn eller varemærke på et højrisikosystem, foretager en væsentlig ændring af et højrisikosystem, eller ændrer et systems tilsigtede formål, så det bliver højrisiko.
Oversat til hverdag: fine-tuner I en model på egne data, ændrer I beslutningsgrænser, kobler I nye datakilder på, eller tager I et værktøj købt til ét formål og bruger det til noget andet, så skal ændringen vurderes formelt, inden den rulles ud. Whitelabler I en leverandørs AI-løsning over for jeres kunder, er I sandsynligvis udbyder af den. Det er ikke et argument mod at gøre de ting. Det er et argument for at have en ændringsproces, der fanger dem.
Forbuddene har været i kraft siden 2. februar 2025, og det er her, de høje bøder ligger. Listen er kortere og mere specifik, end mediedækningen antyder, men enkelte punkter rammer helt almindelige forretningsidéer. Gennemgå den for alt, hvad I bruger eller overvejer. Forbudt er blandt andet:
Når Omnibus træder i kraft, kommer to nye forbud til med virkning fra 2. december 2026: systemer til at generere seksualiserende deepfakes af identificerbare personer og systemer til at generere materiale med seksuelt misbrug af børn. Forbuddet rammer også markedsføring af generative systemer uden rimelige, tidssvarende sikkerhedsforanstaltninger mod den slags misbrug, så det er samtidig et leverandørkrav, I kan skrive ind i kontrakterne.
Det praktiske råd: indfør en fast artikel 5-screening af enhver ny AI-anvendelse, især i HR, overvågning, biometri og marketing. Screeningen tager en time pr. system og fjerner den kategori af risiko, der koster mest.
Artikel 4 er den mest oversete bestemmelse i hele forordningen, formentlig fordi den lyder blød. Det er den ikke. Den har været i kraft siden februar 2025, og den gælder alle udbydere og idriftsættere, uanset om jeres AI er højrisiko eller det rene legetøj.
Kravet: virksomheden skal træffe passende foranstaltninger for at sikre et tilstrækkeligt niveau af AI-færdigheder hos de medarbejdere og andre, der bruger AI på virksomhedens vegne. Der skal tages hensyn til folks tekniske baggrund, erfaring og den konkrete anvendelse. At sende en brugsvejledning rundt på mail er efter Kommissionens egen Q&A ikke nok.
Med Omnibus justeres formuleringen fra en resultatforpligtelse til en indsatsforpligtelse: I skal træffe passende foranstaltninger, der støtter udviklingen af AI-færdigheder, ikke garantere et bestemt niveau. Det er en reel lempelse i ordlyden, men den ændrer ikke det praktiske arbejde. Et dokumenteret program er stadig både det, der opfylder kravet, og det, der gør jeres menneskelige tilsyn med AI reelt i stedet for proforma.
Et fornuftigt minimumsprogram, differentieret efter rolle:
Gem deltagerlister, materiale og datoer. Ved en myndighedskontakt er dokumenteret træning noget af det første, der spørges efter, og det tæller ved bødeudmåling, at foranstaltningerne faktisk var på plads.
Artikel 50 gælder fra 2. august 2026 og er den del af forordningen, der rammer flest danske virksomheder direkte, fordi den handler om kundevendt AI. Kravene er konkrete og til at implementere, men de kræver, at nogen faktisk gør det inden datoen.
Chatbots og anden direkte AI-interaktion. Mennesker skal informeres om, at de interagerer med AI, medmindre det er åbenbart for en almindeligt opmærksom person i situationen. Sæt teksten ved chattens start, ikke begravet i en privatlivspolitik. En formulering i stil med denne opfylder kravet: "Du chatter med en AI-assistent. Svar kan indeholde fejl. Du kan altid bede om at blive stillet videre til en medarbejder."
Maskinlæsbar mærkning af AI-genereret indhold. Udbydere af systemer, der genererer syntetisk lyd, billede, video eller tekst, skal sørge for, at outputtet er mærket i et maskinlæsbart format, så det kan detekteres som kunstigt genereret. Det er en udbyderforpligtelse, altså primært OpenAI, Google, Anthropic og de øvrige leverandørers ansvar. Jeres opgave som idriftsætter er kontraktuel: kræv dokumentation for, at leverandøren opfylder den. Ældre systemer, der var på markedet før 2. august 2026, får med Omnibus frist til 2. december 2026.
Deepfakes. Genererer eller manipulerer I billede, lyd eller video, der ligner virkelige personer, steder eller begivenheder, skal I oplyse, at indholdet er kunstigt genereret eller manipuleret. Til marketingbrug betyder det en synlig deklaration. For åbenlyst kunstneriske eller satiriske værker kan oplysningen gives mere diskret.
AI-genereret tekst om emner af offentlig interesse. Offentliggør I AI-genereret eller AI-manipuleret tekst for at informere offentligheden om emner af offentlig interesse, skal det oplyses. Og her kommer den undtagelse, enhver marketingafdeling bør kende: pligten bortfalder, hvis teksten har gennemgået menneskelig redaktionel kontrol, og en fysisk eller juridisk person har det redaktionelle ansvar for den. En blogtekst, som AI har lavet første udkast til, og som et menneske derefter har gennemgået, redigeret og publiceret under virksomhedens ansvar, kræver altså ikke mærkning. Et ugennemset AI-output sat direkte på nettet gør. Forskellen er jeres redaktionelle proces, og den bør være skriftlig, så I kan dokumentere den.
Fælles for det hele: oplysningerne skal være klare, synlige og gives senest ved første interaktion eller eksponering.
Højrisikoklassifikationen er forordningens tyngdepunkt.
Den udløser de omfattende krav, og den afgør, om I skal bruge uger eller måneder på compliance for et givet system. Der er to veje ind i kategorien.
Vej 1: AI i regulerede produkter (bilag I). Systemet er højrisiko, hvis det er et produkt eller en sikkerhedskomponent i et produkt, der er omfattet af EU's produktlovgivning og kræver tredjepartsvurdering. Medicinsk udstyr, køretøjer, elevatorer, luftfart. Relevant for producenter; mindre relevant for de fleste servicevirksomheder. Omnibus undtager i øvrigt produkter under maskinforordningen fra direkte anvendelse af AI Act; kravene indføres i stedet via maskinforordningens eget spor. Og en nyttig præcisering følger med: AI-funktioner, der alene assisterer brugeren eller optimerer ydeevne, gør ikke automatisk produktet højrisiko, hvis fejl i funktionen ikke skaber sundheds- eller sikkerhedsrisiko.
Vej 2: Anvendelsesområderne i bilag III. Listen omfatter otte områder. De, der oftest rammer private danske virksomheder:
Undtagelsen i artikel 6, stk. 3. Et system på bilag III-listen kan undtagelsesvist være ikke-højrisiko, hvis det ikke udgør en væsentlig risiko for sundhed, sikkerhed eller grundlæggende rettigheder og ikke i væsentlig grad påvirker beslutningsudfald. Det gælder typisk systemer, der kun udfører en snæver proceduremæssig opgave eller en forberedende opgave, for eksempel et værktøj, der konverterer indkomne ansøgninger til et ensartet format uden at vurdere dem. Men to hårde grænser: systemer, der profilerer fysiske personer i de nævnte sammenhænge, er altid højrisiko, og bruger I undtagelsen, skal vurderingen dokumenteres og systemet registreres. Undtagelsen er en dokumenteret konklusion, ikke en mavefornemmelse.
Det er den situation, flest danske virksomheder ender i, typisk via et HR- eller kreditvurderingsværktøj købt udefra. Kravene er til at overskue, men de kræver organisering:
Offentlige organer, private leverandører af offentlige tjenester og idriftsættere af kreditvurderingssystemer samt livs- og sygeforsikringssystemer skal derudover gennemføre en konsekvensanalyse for grundlæggende rettigheder (FRIA), inden systemet tages i brug. For andre private virksomheder er FRIA ikke et lovkrav, men metodikken er fornuftig praksis for al AI, der påvirker mennesker.
Udviklere og softwarevirksomheder får det fulde katalog: risikostyringssystem over hele livscyklussen, datastyring med biasdetektion, teknisk dokumentation efter bilag IV, automatisk logning, brugsanvisning til idriftsætterne, indbygget menneskeligt tilsyn, dokumenteret nøjagtighed, robusthed og cybersikkerhed, et kvalitetsstyringssystem, overensstemmelsesvurdering, EU-overensstemmelseserklæring, CE-mærkning og registrering i EU-databasen. Erklæringen skal opbevares i ti år.
Det er for omfattende at folde ud i en guide som denne, men to ting er værd at vide, også hvis I bare køber ind: SMV'er og small mid-caps får adgang til forenklet teknisk dokumentation. Og falder systemet både under AI Act og sektorlovgivning med egen overensstemmelsesvurdering, for eksempel medicinsk udstyr, følges sektorlovens procedure med AI-kravene integreret, når Omnibus er i kraft.
Reglerne om generelle AI-modeller (GPAI) har fyldt meget i pressen, fordi de rammer OpenAI, Google, Meta og Anthropic. For en dansk virksomhed er det vigtigste at vide, hvornår de IKKE rammer jer.
En GPAI-model er en model med bred generalitet, der kan løse mange forskellige opgaver, altså grundmodellerne bag ChatGPT, Gemini, Claude og lignende. Modellen og det system, den indgår i, er to forskellige juridiske objekter med hver sin udbyder. At bruge GPT-5 via API i jeres kundeserviceløsning gør jer ikke til GPAI-modeludbyder. Det gør jer til udbyder eller idriftsætter af et AI-system, der er baseret på en GPAI-model, og så gælder de almindelige regler ovenfor.
Modeludbyder bliver I først, hvis I udvikler og markedsfører en grundmodel, eller hvis I foretager en så betydelig modifikation af en eksisterende model, at I reelt overtager udbyderrollen, typisk ved omfattende videretræning markedsført under eget navn. Almindelig prompt-tuning, RAG-opsætninger og let fine-tuning til eget brug ligger normalt under den grænse, men vurdér det konkret ved større projekter.
For fuldstændighedens skyld: GPAI-udbydere skal føre teknisk modeldokumentation, informere downstream-udviklere, have en ophavsretspolitik og offentliggøre et resumé af træningsindholdet. Modeller trænet med en samlet regnekraft over 10²⁵ FLOPs formodes at have systemisk risiko og får skærpede krav om test, risikohåndtering og hændelsesrapportering. Reglerne har været gældende siden 2. august 2025; Kommissionens bødebeføjelser følger 2. august 2026, og ældre modeller på markedet før august 2025 skal være compliant senest 2. august 2027. Det er i praksis leverandørviden, I skal bruge til næste afsnit.
Det hyppigste ræsonnement, vi møder, lyder: "Vi køber det bare som en tjeneste, så det er leverandørens problem."
Sådan fungerer forordningen ikke. Køber I AI som SaaS, er I stadig idriftsætter med idriftsætterens pligter, og flere af dem kan I kun opfylde, hvis leverandøren leverer dokumentation og samarbejde.
Artikel 25 forpligter værdikædens aktører til netop det, men det praktiske værktøj er jeres kontrakt. Minimum at kræve dokumenteret fra enhver AI-leverandør:
En linje i et salgsbrev om at være "EU AI Act ready" dokumenterer ingenting. Bed om bilagene. Seriøse leverandører har dem klar; tøvende svar er i sig selv et resultat af undersøgelsen.
Bødeniveauerne er høje, fordi de er skrevet til at kunne ramme globale techvirksomheder. Rammerne: overtrædelse af forbuddene i artikel 5 kan koste op til 35 mio. euro eller 7 % af global årsomsætning, det højeste af de to. Overtrædelse af de fleste øvrige forpligtelser, herunder udbyder-, idriftsætter- og gennemsigtighedspligter, kan koste op til 15 mio. euro eller 3 %. Urigtige eller vildledende oplysninger til myndigheder: op til 7,5 mio. euro eller 1 %.
For SMV'er og startups (og efter Omnibus også small mid-caps) gælder ved disse bøder det laveste af procentsatsen og det faste beløb, ikke det højeste. Og bøder udmåles konkret efter alvor, varighed, skade, virksomhedens størrelse, samarbejdsvilje og, vigtigt, de tekniske og organisatoriske foranstaltninger, der faktisk var på plads. Et dokumenteret compliance-program er med andre ord ikke kun forebyggelse; det er også formildende, hvis noget alligevel går galt.
Myndighederne kan desuden kræve afhjælpning, begrænse eller forbyde et system og kræve det trukket tilbage. For mange virksomheder er dét den reelle risiko: ikke bøden, men at et forretningskritisk system skal lukkes med kort varsel, fordi dokumentationen mangler.
Danmark vedtog i maj 2025 en suppleringslov, lov nr. 467 af 14. maj 2025, der dækker de dele af forordningen, der først trådte i anvendelse. Den udpeger Digitaliseringsstyrelsen som centralt kontaktpunkt og fordeler tilsynskompetencer mellem Digitaliseringsstyrelsen, Datatilsynet og Domstolsstyrelsen. Datatilsynet fører blandt andet tilsyn med flere af artikel 5-forbuddene.
Det bredere lovforslag L 111, der skulle etablere den samlede danske tilsyns- og sanktionsramme for resten af forordningen, bortfaldt ved folketingsvalget i marts 2026 og er endnu ikke genfremsat. Det skaber en pudsig mellemtilstand: EU-forpligtelserne gælder direkte og fuldt ud, men den endelige danske fordeling af, hvem der håndhæver hvad, er ikke på plads for de senere dele. Vent ikke på den. Forpligtelserne forsvinder ikke, fordi tilsynsstrukturen er forsinket, og bøderammerne står i selve forordningen.
To ting mere er værd at kende. Digitaliseringsstyrelsen og Datatilsynet driver en regulatorisk sandkasse, hvor virksomheder kan få vejledning om AI-forordningen og GDPR i konkrete projekter; det er et reelt tilbud, ikke et skuffeprojekt. Og for GPAI-baserede systemer, hvor model og system kommer fra samme udbyder, samt for de største onlineplatforme, lægger Omnibus tilsynet eksklusivt hos Kommissionens AI Office i Bruxelles. For en almindelig dansk virksomhed er kontaktpunktet dog Digitaliseringsstyrelsen.
Alt ovenstående koger ned til en arbejdsliste. Rækkefølgen er bevidst: først det forbudte, så overblikket, så kontrollerne.
Punkterne 1 til 7 kan en mellemstor virksomhed typisk nå på 60 til 90 dage. Punkt 8 til 10 er løbende drift. Og har I systemer i højrisikokategorien, så begynd nu, selvom fristen efter Omnibus først er december 2027: leverandørafklaring, datastyring og testprocedurer er erfaringsmæssigt det, der tager længst.
En ærlig guide skal også fortælle, hvor retstilstanden fortsat bevæger sig. Fem ting bør I holde øje med:
Ingen af delene er en grund til at vente. Alt i handlingslisten ovenfor er robust over for de åbne punkter.
Hvad er forskellen på AI Act og GDPR?
GDPR regulerer behandling af personoplysninger; AI Act regulerer AI-systemer og deres anvendelser. De overlapper, når AI behandler personoplysninger, hvilket den ofte gør, og så skal begge overholdes. En AI Act-godkendelse er aldrig en GDPR-godkendelse, og omvendt.
Skal vores chatbot oplyse, at den er AI?
Ja, fra 2. august 2026, medmindre det er åbenbart for brugeren. Sæt en klar tekst ved chattens start og en mulighed for at komme videre til et menneske.
Skal AI-genererede blogindlæg mærkes?
Ikke hvis et menneske har gennemgået og redigeret teksten, og virksomheden har det redaktionelle ansvar. Ugennemset AI-tekst om emner af offentlig interesse skal derimod deklareres. Hav en skriftlig redaktionel proces, så I kan dokumentere gennemgangen.
Vi fine-tuner en model på egne data. Er vi så udbyder?
Måske. Væsentlige ændringer af et højrisikosystem eller ændring af dets formål kan flytte udbyderansvaret til jer, og en betydelig modifikation af en GPAI-model kan gøre jer til modeludbyder. Let tilpasning til eget brug gør det normalt ikke. Vurdér det konkret, og skriv vurderingen ned, inden I ruller ændringen ud.
Hvad koster det at overtræde reglerne?
Op til 35 mio. euro eller 7 % af global omsætning for de forbudte praksisser, op til 15 mio. euro eller 3 % for de fleste øvrige pligter. SMV'er og small mid-caps betaler det laveste af beløbene. Dokumenterede foranstaltninger indgår formildende i udmålingen.
Hvem fører tilsyn i Danmark?
For de regler, der gælder nu: Digitaliseringsstyrelsen som centralt kontaktpunkt, med Datatilsynet på flere af forbuddene. Den samlede danske tilsynsramme afventer ny lovgivning efter folketingsvalget.
Hvad skal vi gøre først?
Tre ting: udpeg en ansvarlig, byg AI-registret, og screen for forbudte praksisser. Derefter artikel 50-teksterne inden august og AI-færdighedsprogrammet. Resten følger af klassifikationen.
Guiden her bygger på forordning (EU) 2024/1689, den vedtagne Omnibus-tekst, Europa-Kommissionens vejledninger og danske myndighedskilder, alle linket undervejs, samt vores eget arbejde med AI Act-screeninger hos danske B2B-virksomheder. Den er vejledende og erstatter ikke juridisk rådgivning; klassifikationen af jeres konkrete systemer kræver en konkret vurdering.
Og det meste af den vurdering er faktisk ikke jura. Det er kortlægning, klassifikation og dokumentation, og det kan gøres systematisk. Vi har bygget en struktureret AI Act-screening, der gennemgår jeres systemer ét ad gangen og ender med det, revisionen og ledelsen efterspørger: rolle, risikoklasse, konkrete pligter og frister pr. system, sort på hvidt.
Vil du vide, hvor jeres virksomhed står, så book en uforpligtende gennemgang.