Conformity assessment i erhvervslivet
For danske virksomheder, der udvikler eller deployer højrisiko-AI, er conformity assessment en konkret compliance-opgave med en fast deadline. Virksomheder inden for sundhed, HR, finans, retshåndhævelse og kritisk infrastruktur vil typisk have AI-systemer, der falder i højrisikokategorien og dermed kræver vurdering.
Processen starter med at kortlægge, hvilke AI-systemer virksomheden bruger, og om de falder ind under højrisiko-kategorien. Dernæst skal der etableres et kvalitetsstyringssystem, udarbejdes teknisk dokumentation og sikres, at kravene til AI governance er opfyldt.
Mange virksomheder undervurderer tidsforbruget. En conformity assessment kræver samarbejde mellem tekniske teams, juridiske afdelinger og ledelse. Det er ikke en ren papirøvelse, men en systematisk gennemgang af, hvordan AI-systemet er designet, trænet, testet og overvåget.
Virksomheder, der allerede har investeret i ansvarlig AI-praksis og dokumentation, vil have en betydelig fordel. De har typisk allerede store dele af den tekniske dokumentation og de governance-strukturer, som conformity assessment kræver.
Hvad conformity assessment ikke er
Conformity assessment er ikke en engangsforeteelse. Det er en løbende forpligtelse, der genaktiveres ved væsentlige ændringer i AI-systemet. Virksomheder, der opfatter det som et engangsstempel, risikerer at falde ud af compliance.
Det er heller ikke det samme som en frivillig AI-audit eller en etisk vurdering. Conformity assessment er en lovmæssig procedure med specifikke krav defineret i EU AI Act. En intern AI-evaluering eller en ISO-certificering kan understøtte processen, men erstatter den ikke.
Endelig er conformity assessment ikke kun for AI-udviklere. Distributører, importører og i visse tilfælde deployere kan også blive ansvarlige for at sikre, at vurderingen er gennemført korrekt, særligt hvis de markedsfører AI-systemet under eget navn.
