Blog
Kontakt os

EU AI Office (Det Europæiske AI-Kontor)

EU AI Office, på dansk Det Europæiske AI-Kontor, er den enhed i EU-Kommissionen der fører tilsyn med og håndhæver reglerne for general-purpose AI under EU AI Act. Kontoret blev oprettet ved Kommissionens afgørelse af 24. januar 2024 og har været i drift siden 16. juni 2024. Det tæller over 125 medarbejdere fordelt på seks enheder, blandt andet jurister, teknologer, økonomer og policy-eksperter. Hvor de nationale tilsyn holder øje med de fleste AI-systemer, er AI-kontoret det centrale organ for de store GPAI-modeller, altså de generelle modeller bag ChatGPT, Gemini, Claude og Mistral.

Et konkret billede: en udbyder som OpenAI eller Google træner en ny sprogmodel og vil gøre den tilgængelig i EU. AI-kontoret kan kræve den tekniske dokumentation udleveret, bede om adgang til at evaluere modellen, og hvis udbyderen ikke lever op til pligterne, udstede en bøde på op til 3 procent af den globale årsomsætning eller 15 millioner euro. Fra 2. august 2026 er det ikke længere en teoretisk mulighed. Fra den dato kan kontoret rent faktisk bruge de beføjelser, forordningen giver det.

For en dansk virksomhed er AI-kontoret relevant, selvom I sjældent selv bygger en GPAI-model. I bruger dem. Bygger I en kundeservice-bot oven på GPT eller Gemini, er I det, forordningen kalder en downstream-udbyder eller idriftsætter, og jeres compliance hviler på den dokumentation, modeludbyderen skal levere. AI-kontoret er det organ, der presser dokumentation og gennemsigtighed op gennem hele kæden, så I kan bruge modellerne uden selv at skulle reverse-engineere dem. Denne side gennemgår, hvad kontoret er, hvad det håndhæver og fra hvornår, hvordan det spiller sammen med Digitaliseringsstyrelsen, og hvad I konkret bør gøre inden fristerne.

Læsetid 9 minOpdateret juli 2026

Hvad AI-kontoret er, og hvor det henter sin magt

En enhed inde i selve Kommissionen. AI-kontoret er ikke et selvstændigt agentur som Det Europæiske Lægemiddelagentur. Det er en struktur inden for Europa-Kommissionen, administrativt forankret i generaldirektoratet for kommunikationsnet, indhold og teknologi, kaldet DG CNECT. Det betyder, at kontorets afgørelser i praksis er Kommissionens afgørelser, og at det trækker på Kommissionens juridiske og administrative apparat, når det skal håndhæve.

Hjemlen ligger to steder. Selve oprettelsen skete med Kommissionens afgørelse af 24. januar 2024. Beføjelserne kommer fra AI-forordningen, formelt Forordning (EU) 2024/1689, der trådte i kraft 1. august 2024. Det er især forordningens kapitel V om general-purpose AI og håndhævelsesbestemmelserne i artikel 88 til 94, der giver kontoret dets tænder. Uden forordningen ville kontoret være et koordinationssekretariat. Med den er det en tilsynsmyndighed.

Hvorfor et centralt organ overhovedet. GPAI-modeller er grænseoverskridende af natur. Den samme model fra Anthropic eller OpenAI bruges samtidig i Danmark, Tyskland og Portugal. Skulle 27 nationale tilsyn hver især vurdere den samme model, ville resultatet være 27 forskellige svar og en tung byrde for udbyderne. Derfor samlede lovgiverne kompetencen for GPAI ét sted. Artikel 88 giver Kommissionen, og dermed AI-kontoret, eksklusiv kompetence til at håndhæve GPAI-reglerne.

Bemandingen afspejler opgaven. Kontoret havde ved oprettelsen over 125 ansatte og er vokset siden. Staben er tværfaglig med jurister, dataloger, økonomer og policy-folk fordelt på seks enheder plus to rådgiverposter, en ledende videnskabelig rådgiver og en rådgiver for internationale forhold. Den sammensætning er nødvendig, fordi arbejdet kræver både at kunne læse en model teknisk og at kunne føre en juridisk sag.

Værktøjskassen over for udbyderne. AI-kontoret kan kræve teknisk dokumentation udleveret efter artikel 91, bede om adgang til at evaluere en model efter artikel 92, og pålægge en udbyder at træffe konkrete foranstaltninger eller trække en model tilbage efter artikel 93. Nægter en udbyder at samarbejde, kan det i sig selv udløse bøde. Kontoret venter ikke nødvendigvis på, at skaden er sket. Det kan gå proaktivt ind i en model, det anser for risikabel.

Systemisk risiko er en særlig kategori. Forordningen skelner mellem almindelige GPAI-modeller og GPAI-modeller med systemisk risiko. Tærsklen går efter artikel 51 ved modeller, der er trænet med mere end 10 opløftet i 25. potens (10^25) flydende kommaoperationer, forkortet FLOP, hvilket i praksis rammer de allerstørste frontier-modeller. For dem gælder skærpede krav om risikovurdering, hændelsesrapportering og cybersikkerhed. AI-kontoret er det organ, der udpeger en model som systemisk og fører det skærpede tilsyn.

Den videnskabelige komponent. Kontoret står ikke alene med de tekniske vurderinger. Et uafhængigt videnskabeligt panel af eksperter kan efter forordningen udsende såkaldte kvalificerede alarmer, hvis det ser en model, der udgør en risiko på EU-plan. Den mekanisme er bygget ind, fordi teknologien flytter sig hurtigere, end en klassisk tilsynsmyndighed kan følge med til alene.

Hvad kontoret ikke er. AI-kontoret er ikke den myndighed, der holder øje med det CV-screeningsværktøj, jeres HR-afdeling bruger, eller den kredit-scoringsmodel, banken kører. De systemer falder under de nationale tilsyn. Kontorets fokus er de generelle modeller i bunden af værdikæden. Den arbejdsdeling afgør, hvem I skal forholde jer til hvornår.

Er I i tvivl om, hvad AI-kontoret og AI Act betyder for netop jeres brug af AI, hjælper vi jer med at få overblik. Vi kortlægger jeres AI-systemer og de modeller, der ligger under dem, afklarer om I er idriftsætter eller downstream-udbyder, og opstiller de frister og pligter, der reelt gælder for jer. I får en konkret handleplan frem mod 2. august 2026 med de skridt, der gælder for jer. Skal vi tage en uforpligtende snak om, hvor jeres setup står i dag?

Hvad AI-kontoret håndhæver, og de datoer der gælder

Reglerne gjaldt før håndhævelsen. Det er en skelnen, der forvirrer mange. GPAI-forpligtelserne trådte i kraft 2. august 2025. Fra den dato skulle nye GPAI-modeller på det europæiske marked leve op til kravene om dokumentation, gennemsigtighed og ophavsret. Men AI-kontorets beføjelse til at håndhæve reglerne over for udbyderne, altså til at udstede bøder, aktiveres først 2. august 2026. Udbyderne fik med andre ord et års tilpasningsperiode, hvor pligterne gjaldt, men sanktionerne endnu ikke kunne falde.

2. august 2026 er den dato, der tæller. Fra den dag kan AI-kontoret bruge sanktionsapparatet. Rammen står i artikel 101: en bøde på op til 3 procent af udbyderens samlede globale årsomsætning i det foregående regnskabsår eller 15 millioner euro, alt efter hvad der er højest. For en modeludbyder med milliardomsætning er det 3-procents-loftet, der bider. Det er en bevidst konstruktion, så bøden mærkes uanset virksomhedens størrelse.

Fire ting kan udløse en bøde. Efter artikel 101 kan kontoret bøde en GPAI-udbyder for at overtræde forordningens pligter, for ikke at efterkomme en anmodning om dokumentation efter artikel 91, for ikke at gennemføre foranstaltninger krævet efter artikel 93, og for ikke at give adgang til evaluering af modellen efter artikel 92. Selve det at nægte samarbejde er altså sanktioneret. Det lukker den oplagte flugtvej, hvor en udbyder bare kunne lade være med at svare.

Gamle modeller har en længere snor. Modeller, der allerede var bragt på markedet før 2. august 2025, skal være i overensstemmelse med reglerne senest 2. august 2027. Det giver udbyderne tid til at eftermontere dokumentation og gennemsigtighed på modeller, der blev trænet, før forordningen var en realitet. Nye modeller havde ikke den luksus.

Gennemsigtighed for brugerne fra samme dato. Parallelt med GPAI-håndhævelsen aktiveres artikel 50 den 2. august 2026. Den kræver, at brugere får at vide, når de taler med en AI, og at AI-genereret indhold mærkes, så det kan identificeres maskinelt. Her leverer standarder som C2PA Content Credentials den tekniske måde at vandmærke og spore indhold på. Bygger I en chatbot eller genererer I billeder og tekst med AI, rammer artikel 50 jer direkte.

Mærkning har en kort ekstra frist. For indhold, der allerede var i produktion, gælder en overgangsperiode, der udløber 2. december 2026. Efter den dato skal AI-genereret lyd, billede, video og tekst være mærket efter reglerne. Fire måneder er ikke lang tid til at få mærkning ind i en eksisterende produktionskæde, så det er en frist, I bør have i kalenderen nu.

Digital Omnibus flyttede det tunge, ikke GPAI. I foråret 2026 blev EU enige om en forenklingspakke, Digital Omnibus, politisk aftalt 7. maj og endeligt vedtaget i Rådet 29. juni 2026. Den udskød de tunge forpligtelser for højrisiko AI-systemer. Fritstående højrisiko-systemer under bilag III fik udskudt anvendelsesdatoen fra 2. august 2026 til 2. december 2027, og systemer indlejret i produkter under bilag I til 2. august 2028. Det gav virksomheder mere tid til den mest krævende del af forordningen.

Men GPAI-datoen stod fast. Det vigtige for AI-kontoret er, at Omnibus ikke rørte 2. august 2026 for GPAI og for artikel 50. Mens højrisiko-forpligtelserne blev skubbet til 2027 og 2028, kører GPAI-håndhævelsen og gennemsigtighedskravene efter den oprindelige plan. Fortolker du udskydelsen som en generel udsættelse af hele AI Act, tager du fejl på præcis det punkt, der rammer brugen af de store modeller. Vil I hurtigt afklare, hvilke frister der gælder for jeres eget system, kan I bruge vores EU AI Act-tjek.

Samspillet med nationale tilsyn og de andre EU-organer

Ingen myndighed står alene. AI Act bygger på en lagdelt styringsmodel, hvor AI-kontoret er ét af flere organer. Rundt om kontoret sidder Det Europæiske AI-Board, et videnskabeligt ekspertpanel, et rådgivende forum og de nationale tilsynsmyndigheder i hvert medlemsland. Tanken er, at beføjelsen over GPAI er samlet ét sted, mens de andre AI-systemer håndhæves lokalt.

AI-Boardet binder landene sammen. Det Europæiske AI-Board består af en repræsentant fra hvert medlemsland og er koordinationsorgan mellem de nationale tilsyn og Kommissionen. Boardet sikrer, at forordningen fortolkes nogenlunde ens fra Helsinki til Lissabon, udveksler teknisk viden og rådgiver om AI-politik. Det er her, Danmark har sin formelle stemme i den løbende udvikling af praksis.

Det videnskabelige panel er alarmklokken. Et uafhængigt panel af eksperter understøtter både AI-kontoret og de nationale myndigheder. Panelet kan advare kontoret om en GPAI-model, det vurderer udgør en systemisk risiko, og det bidrager med metoder til at evaluere modeller. Fordi panelmedlemmerne er uafhængige af udbyderne, er mekanismen tænkt som en modvægt til, at vurderingen af de største modeller ellers ville hvile på udbydernes egne oplysninger.

Det rådgivende forum giver industrien en kanal. Ud over panelet findes et rådgivende forum, hvor erhvervsliv, civilsamfund og akademia kan give input til gennemførelsen. Det er den formelle vej, en brancheorganisation eller en virksomhed kan påvirke, hvordan reglerne udmøntes i praksis, uden at det bliver lobbyisme i baglokalet.

De nationale tilsyn tager resten. Alt det, der ikke er GPAI, håndteres nationalt. Et højrisiko-system, et gennemsigtighedskrav til en chatbot eller en overtrædelse af de forbudte former for AI under artikel 5 håndhæves af myndighederne i det land, hvor systemet bruges. De nationale markedsøvervågningsmyndigheder kan udstede bøder efter artikel 99, der for de forbudte former for AI når op til 35 millioner euro eller 7 procent af omsætningen. Her er det altså ikke AI-kontoret, men det lokale tilsyn, I møder.

I Danmark koordinerer Digitaliseringsstyrelsen. Danmark udpegede allerede i april 2024 Digitaliseringsstyrelsen som national koordinerende tilsynsmyndighed for AI-forordningen. Styrelsen koordinerer på tværs af de danske sektortilsyn, kommunikerer kravene til virksomhederne og er Danmarks kontaktpunkt over for Kommissionen og AI-kontoret. God AI governance i en dansk virksomhed betyder i praksis at kende både den europæiske og den danske del af det her billede.

Arbejdsdelingen kan overlappe. Grænsen mellem GPAI og resten er ikke altid knivskarp. Digital Omnibus præciserede, at AI-kontoret fører tilsyn med en GPAI-model, når modellen og det system, den indgår i, kommer fra samme udbyder, mens nationale myndigheder forbliver kompetente for eksempel inden for retshåndhævelse, grænsekontrol og finansielle anvendelser. For jer betyder det, at I kan ende med at skulle forholde jer til både kontoret og et nationalt tilsyn for det samme produkt.

Den private parallel. Ved siden af den offentlige styring findes brancheinitiativer, hvor udbyderne selv sætter standarder. Frontier Model Forum, stiftet af blandt andre Anthropic, Google, Microsoft og OpenAI, er det tydeligste eksempel. Sådan selvregulering kan supplere AI-kontorets arbejde, men den erstatter det ikke. Forskellen er enkel: kontoret kan udstede bøder, et brancheforum kan ikke. For jer som virksomhed er det de bindende krav fra kontoret og de nationale tilsyn, der afgør jeres pligter.

Ofte stillede spørgsmål om EU AI Office