AI Act - Europæisk AI regulering - hvad betyder det for jer?
EU’s AI Act er nu gået fra politisk vision til konkret virkelighed. I marts 2026 er flere centrale dele af forordningen enten allerede gældende eller tæt på fuld anvendelse. Det betyder, at virksomheder i hele EU – også i oplevelsesbranchen – skal kunne dokumentere, hvordan deres AI-systemer anvendes, styres og kontrolleres.
Status på AI Act i marts 2026
AI Act trådte formelt i kraft den 1. august 2024, men reglerne implementeres gradvist. Forbudte AI-praksisser blev gældende fra februar 2025. Regler om AI-kompetencer (AI literacy) og krav til generelle AI-modeller (GPAI) begyndte at finde anvendelse i 2025, mens hovedparten af kravene til højrisiko-systemer finder fuld anvendelse fra august 2026.
I praksis betyder det, at 2026 er året, hvor virksomheder skal være klar med dokumentation, risikostyring, leverandørstyring og interne processer – særligt hvis de udvikler, markedsfører eller anvender højrisiko-AI.
Hvad er AI Act?
AI Act er en direkte gældende EU-forordning, der regulerer udvikling, markedsføring og anvendelse af kunstig intelligens. Formålet er at skabe en fælles europæisk ramme for sikker, gennemsigtig og ansvarlig brug af AI.
Forordningen bygger på en risikobaseret tilgang. Jo større potentiel påvirkning et AI-system har på mennesker og samfund, desto strengere krav stilles der.
Risikokategorier i AI Act
AI-systemer opdeles i fire overordnede kategorier:
- Forbudt AI: Systemer der anses for at udgøre en uacceptabel risiko, fx social scoring fra myndigheder eller visse former for manipulerende adfærdsstyring.
- Højrisiko-AI: Systemer der anvendes i kritiske områder som ansættelse, kreditvurdering, adgang til uddannelse, biometrisk identifikation eller som sikkerhedskomponenter i regulerede produkter.
- Begrænset risiko: Fx chatbots og generativ AI, hvor der primært gælder transparenskrav.
- Minimal risiko: Interne produktivitetsværktøjer og simple anbefalingssystemer.
De fleste virksomheder vil primært befinde sig i kategorierne minimal eller begrænset risiko, men grænsen til højrisiko kan overskrides, hvis AI påvirker rettigheder, adgang eller væsentlige beslutninger om personer.
Generelle AI-modeller (GPAI) og systemiske risici
En væsentlig ny dimension i AI Act er reguleringen af generelle AI-modeller – også kaldet GPAI (General Purpose AI). Det gælder store sprogmodeller og fundamentmodeller, der kan anvendes bredt på tværs af sektorer.
Udbydere af sådanne modeller er underlagt særlige krav om:
- Teknisk dokumentation
- Gennemsigtighed om træningsdata
- Respekt for ophavsret
- Risikohåndtering
- Ekstra krav ved “systemisk risiko”
Systemisk risiko vurderes blandt andet ud fra modelstørrelse, kapacitet og udbredelse. Her spiller EU’s AI Office en central rolle i tilsyn og koordinering.
Transparens og mærkning af AI-genereret indhold
AI Act indeholder konkrete krav til gennemsigtighed, særligt når virksomheder anvender generativ AI eller stiller AI-systemer til rådighed for brugere. Formålet er, at borgere og kunder tydeligt skal kunne forstå, hvornår de interagerer med kunstig intelligens, og hvornår indhold er kunstigt genereret eller manipuleret.
AI Act trådte i kraft 1. august 2024, og de fleste bestemmelser – herunder transparenskravene i artikel 50 – finder anvendelse 24 måneder efter ikrafttrædelsen. Det betyder, at følgende transparens- og mærkningskrav gælder fra: 2. august 2026.
Oplysning ved direkte AI-interaktion
Hvis en bruger interagerer med en AI – fx via en chatbot, virtuel assistent eller automatisk kundeservice – skal det som udgangspunkt oplyses klart og tydeligt, at der er tale om en AI. Oplysningen skal gives på en måde, der er let at forstå, og brugeren bør samtidig have mulighed for at kontakte et menneske.
I praksis betyder det typisk en kort besked i chatvinduet eller i appen, eksempelvis: “Du kommunikerer med en AI-assistent. Den kan tage fejl. Har du brug for en medarbejder, kan du kontakte os her.”
Mærkning af AI-genereret billede, lyd og video
Virksomheder, der offentliggør AI-genereret eller AI-manipuleret billede, lyd eller video, skal sikre, at indholdet kan identificeres som kunstigt. Det gælder især materiale, der realistisk kan forveksles med ægte optagelser – ofte omtalt som deepfakes.
Det kan ske gennem en synlig markering i forbindelse med indholdet, fx “AI-genereret billede” eller “AI-manipuleret video”. Samtidig stiller AI Act krav om, at udbydere af generative systemer så vidt muligt anvender tekniske løsninger, der gør indholdet maskinlæsbart identificerbart, eksempelvis via metadata eller digitale vandmærker.
AI-genereret tekst og offentlig information
Hvis AI anvendes til at generere tekst, der offentliggøres med det formål at informere offentligheden om forhold af samfundsmæssig interesse, skal det som udgangspunkt oplyses, at teksten er helt eller delvist AI-genereret.
Har teksten været underlagt reel menneskelig redaktionel kontrol, og bærer virksomheden et klart redaktionelt ansvar for indholdet, kan oplysningskravet i visse tilfælde være mindre indgribende. Det afgørende er, at læseren ikke vildledes om indholdets oprindelse.
Emotion recognition og biometriske systemer
Hvis en virksomhed anvender AI til at analysere eller udlede følelser eller til biometrisk kategorisering, skal de berørte personer informeres om, at systemet er i brug. Dette gælder uanset om løsningen anvendes fysisk på en lokation eller digitalt i en applikation.
Samlet set betyder transparenskravene, at virksomheder bør have klare interne retningslinjer for mærkning, synlig information og teknisk sporbarhed ved brug af generativ AI. Det er et område, hvor både juridisk compliance og tillid hos kunder og samarbejdspartnere spiller en central rolle.
Nye krav om AI-kompetencer (AI literacy)
Fra 2025 er organisationer forpligtet til at sikre, at medarbejdere, der arbejder med AI, har passende kompetencer. Kravet gælder både udbydere og brugere af AI-systemer.
Det betyder, at virksomheder skal kunne dokumentere, at relevante medarbejdere forstår:
- Grundlæggende funktion og begrænsninger ved AI
- Risikoforhold og fejlkilder
- Gældende interne politikker
- Relevante lovkrav
Krav til højrisiko-AI
Fra august 2026 skal højrisiko-systemer opfylde omfattende krav, herunder:
- Etableret risikostyringssystem
- Dokumenteret datagovernance og datakvalitet
- Teknisk dokumentation
- Logning og sporbarhed
- Menneskelig overvågning
- Krav til robusthed, nøjagtighed og cybersikkerhed
- Post-market overvågning og hændelsesrapportering
Ved markedsføring skal visse systemer gennemføre overensstemmelsesvurdering og CE-mærkning.
Håndhævelse og bøder
AI Act indeholder betydelige bøderammer. Overtrædelser kan medføre bøder på op til:
- 35 mio. euro eller 7 % af global årlig omsætning (forbudte praksisser)
- 15 mio. euro eller 3 % (overtrædelse af øvrige krav)
- 7,5 mio. euro eller 1 % (urigtige oplysninger)
Bødeniveauet afhænger af virksomhedens størrelse og overtrædelsens karakter. SMV’er kan i praksis blive mødt med proportional håndhævelse, men er ikke undtaget fra reglerne.
Forholdet til GDPR
AI Act erstatter ikke GDPR. Hvis et AI-system behandler persondata, gælder databeskyttelsesreglerne parallelt. I mange tilfælde vil en DPIA være relevant, særligt ved højrisiko-systemer.
AI Act fokuserer på systemets sikkerhed og risikostyring, mens GDPR beskytter individets persondata. De to regelsæt supplerer hinanden.
Hvad bør virksomheder gøre i 2026?
Virksomheder bør som minimum:
- Kortlægge alle AI-systemer
- Klassificere dem efter risikoniveau
- Indgå struktureret leverandørdialog
- Etablere AI-politik og governance
- Implementere logning og dokumentation
- Sikre AI-kompetencer hos relevante medarbejdere
For mange virksomheder kan moderne SaaS-løsninger være en praktisk vej til compliance, da dokumentation, sikkerhed og opdateringer ofte er indbygget i platformen. Det reducerer den interne kompleksitet og gør det lettere at leve op til de løbende krav.
Betydning for oplevelsesbranchen
I oplevelsesbranchen anvendes AI typisk til kundeservice, billetoptimering, personalisering og sikkerhed. De fleste løsninger vil være begrænset risiko, men brug af biometrisk adgang eller automatiseret beslutningstagning kan medføre højrisikoklassifikation.
Branchen får med AI Act en klar juridisk ramme. Det skaber tryghed for gæster og samarbejdspartnere, men stiller også krav om dokumenteret ansvarlighed. Virksomheder, der arbejder struktureret med AI-compliance, vil stå stærkere i både udbud og partnerskaber.
AI Act frem mod 2027
Selvom mange krav finder anvendelse i 2026, fortsætter implementeringen. I august 2027 udløber overgangsordninger for visse højrisiko-systemer, der er indlejret i regulerede produkter.
AI Act er dermed ikke en engangsopgave, men en løbende compliance-disciplin. Virksomheder, der allerede nu arbejder systematisk med dokumentation, governance og leverandørstyring, vil være bedst rustet i de kommende år.
Spørgsmål/svar om AI Act 2026
Er AI Act fuldt gældende i 2026?
AI Act er implementeret gradvist. I 2026 gælder forbudte praksisser, krav til generelle AI-modeller og AI-kompetencer, mens hovedkravene til højrisiko-AI finder fuld anvendelse fra august 2026.
Hvad er en generel AI-model (GPAI)?
En generel AI-model er en bredt anvendelig model, fx en stor sprogmodel, der kan bruges til mange formål. Udbydere er underlagt særlige dokumentations- og transparenskrav.
Hvornår skal højrisiko-AI være fuldt compliant?
De fleste krav til højrisiko-AI finder anvendelse fra august 2026. Virksomheder bør have risikostyring, dokumentation og governance på plads inden denne dato.
Gælder AI Act også små virksomheder?
Ja. AI Act gælder alle virksomheder, der udvikler, markedsfører eller anvender AI i EU. Der kan være proportional håndhævelse, men ikke generelle undtagelser.
Hvordan hænger AI Act sammen med GDPR?
AI Act regulerer selve AI-systemets sikkerhed og risikostyring, mens GDPR regulerer behandling af persondata. Hvis AI behandler persondata, gælder begge regelsæt parallelt.
