Skip to content
Book AI-strategimøde
Search icon
Book AI-strategimøde
AI Ordbog / Risk Management System (AI Act)

Risk Management System (AI Act)

Et risk management system er et krav under EU AI Act for højrisiko-AI. Forstå hvad systemet skal indeholde, og hvordan din virksomhed lever op til det.

Kontakt en konsulent
Risk Management System (AI Act)
Frame 4
Frame 3
Frame 2
Frame 1
Frame 5
Risk Management System (AI Act)
AI ORDBOG

Hvad kræver Artikel 9 konkret?

Artikel 9 i EU AI Act opstiller fire krav til et risk management system for højrisiko-AI. Det første er identifikation: virksomheden skal kortlægge alle kendte og rimeligt forudsigelige risici, både ved tilsigtet brug og ved rimeligt forudsigelig fejlanvendelse. Det inkluderer risici for sundhed, sikkerhed og grundlæggende rettigheder som privatlivsbeskyttelse og ikke-diskrimination.

Det andet krav er estimering og evaluering. Hver identificeret risiko skal vurderes i forhold til sandsynlighed, alvorsgrad og hvilke befolkningsgrupper der potentielt påvirkes. Det er her, virksomheden prioriterer, hvilke risici der kræver mest opmærksomhed.

Det tredje krav er risikohåndtering. Virksomheden skal vedtage målrettede foranstaltninger: først forsøge at eliminere risici gennem design, dernæst implementere kontroller for de risici, der ikke kan fjernes, og endelig informere og træne brugerne. Human-in-the-loop-mekanismer spiller ofte en central rolle her.

Det fjerde krav er løbende overvågning. Risk management-systemet skal opdateres baseret på data fra post-market monitoring, bruger-feedback og eventuelle hændelser. Det er en iterativ proces, ikke et dokument, der laves en gang og arkiveres.

Kontakt en konsulent

Risk Management System i praksis

For virksomheder, der allerede arbejder med ISO 31000 eller lignende risikostyringsrammer, vil dele af AI Act-kravet føles genkendeligt. Forskellen er, at AI Act stiller specifikke krav til AI-konteksten: risikovurderingen skal adressere bias, datakvalitet, robusthed og AI governance som selvstændige risikodimensioner.

I praksis betyder det, at compliance-afdelingen ikke kan arbejde isoleret. Risk management-systemet kræver input fra datavidenskab (hvilke fejlmønstre kan modellen udvise?), jura (hvilke rettigheder er i spil?), forretningen (hvordan bruges systemet reelt?) og IT-sikkerhed (hvilke angrebsflader eksisterer?).

Datatilsynet bliver den primære tilsynsmyndighed i Danmark for højrisiko-AI-systemer, der involverer persondata, mens Digitaliseringsstyrelsen har det overordnede ansvar for AI-forordningen. Virksomheder bør forberede sig på, at tilsynet kan anmode om dokumentation for risk management-systemet.

En konkret tilgang er at integrere AI-risikostyring i eksisterende Enterprise Risk Management-rammer og supplere med AI-specifikke kontroller. Det reducerer overhead og sikrer, at AI-risici behandles på samme ledelsesniveau som øvrige forretningsrisici.

Hvad et Risk Management System ikke er

Et risk management system under AI Act er ikke en checkliste, der udfyldes en gang ved lancering. Det er heller ikke en ren teknisk test af modellens præcision. Artikel 9 kræver en holistisk vurdering, der omfatter sociale, etiske og juridiske risici ud over de rent tekniske.

Det er heller ikke det samme som en Data Protection Impact Assessment (DPIA) under GDPR, selvom der er overlap. DPIA fokuserer på persondata, mens AI Act-risikostyringen har et bredere scope, der inkluderer sikkerhed, grundlæggende rettigheder og samfundsmæssig påvirkning. Mange virksomheder vil dog have gavn af at koordinere de to processer for at undgå dobbeltarbejde.

Endelig er det vigtigt at forstå, at kravet ikke kun gælder udviklere. Virksomheder, der deployer højrisiko-AI (såkaldte "deployers" i AI Act-terminologien), har også forpligtelser til at overvåge systemet og rapportere problemer til udbyderen. EU AI Act skaber et delt ansvar gennem hele værdikæden.

Relaterede termer

EU AI Act: Den europæiske forordning, der regulerer AI-systemer baseret på risikokategorier. Risk management-systemet er et centralt krav for højrisiko-systemer.

AI Governance: Den overordnede ramme for styring, kontrol og ansvarlig brug af AI i en organisation. Risk management er en delmængde af governance.

AI Compliance: Sikring af at AI-systemer overholder gældende love og regler, herunder AI Act.

Højrisiko AI-systemer: De AI-systemer, der falder under AI Acts strengeste krav, og som udløser kravet om et risk management system.

Ansvarlig AI: Det bredere princip om at udvikle og anvende AI etisk, transparent og retfærdigt.

AI Readiness: En organisations parathed til at adoptere og styre AI, herunder compliance-parathed.

Human Oversight: Kravet om menneskelig overvågning af AI-systemer, som er tæt forbundet med risikostyring.