AI Act - Europæisk AI regulering - hvad betyder det for jer?

27. okt. 2025
27. okt. 2025

EU's nye AI-forordning, kendt som AI Act, er ved at forme fremtidens regler for kunstig intelligens i Europa. Uanset om du arbejder med events, forlystelsesparker, museer eller andre oplevelser, vil AI Act få betydning for din virksomhed. I denne artikel får du en letforståelig gennemgang af reglerne og hvad du konkret skal forholde dig til.

Hvad er AI Act?

AI Act er en lovgivning vedtaget af EU, der har til formål at regulere brugen af kunstig intelligens (AI) på en sikker, gennemsigtig og etisk måde. Loven skal sikre, at AI anvendes til gavn for borgere og virksomheder uden at udgøre fare for rettigheder og sikkerhed.

Loven opdeler AI-systemer i risikoniveauer og stiller forskellige krav afhængigt af, hvor risikofyldt systemet vurderes at være. Fokus er på at beskytte mennesker, sikre gennemsigtighed og fremme innovation på ansvarlig vis.

Hvorfor skal du som europæisk virksomhed kende AI Act?

AI Act gælder for alle virksomheder, der opererer i EU eller leverer AI-løsninger til EU-markedet. Det betyder, at selv mindre virksomheder i oplevelsesbranchen kan blive omfattet, hvis de anvender eller integrerer AI-systemer eksempelvis i kundeservice, billetsystemer, personaliseret markedsføring eller adgangskontrol.

Ved at forstå reglerne og tilpasse jeres brug af AI, kan I minimere risikoen for bøder og sikre, at jeres løsninger er fremtidssikrede og i overensstemmelse med EU-lovgivningen.

Klassifikation af AI-systemer

AI Act opdeler systemer i fire risikoniveauer:

  • Minimal risiko: Fx AI i spamfiltre eller anbefalingssystemer.
  • Begrænset risiko: Fx chatbots og andre systemer, der skal oplyse brugeren om, at de taler med en AI.
  • Høj risiko: Fx AI i adgangskontrol, biometrisk identifikation eller sikkerhedssystemer.
  • Forbudt: Fx AI der manipulerer adfærd eller udnytter sårbare grupper.

De fleste AI-løsninger i oplevelsesbranchen vil befinde sig i kategorierne minimal eller begrænset risiko, men der kan også forekomme højrisko-systemer, fx hvis AI bruges til sikkerhed eller overvågning.

Hvad betyder det rent praktisk for jer?

I praksis betyder AI Act, at I som virksomhed skal vide, hvilke AI-systemer I bruger, og hvordan de klassificeres. Det kræver en vis kortlægning og vurdering af teknologierne, og for højrisko-systemer skal I kunne dokumentere overholdelse af en række krav.

For lav- og mellemrisiko-systemer er kravene mildere, men I skal stadig sikre gennemsigtighed og informere brugerne.

Krav til virksomheder

Afhængigt af systemets risikoniveau skal virksomheder leve op til forskellige krav, herunder:

  • Risikovurdering og dokumentation
  • Transparens over for brugere
  • Sikkerhedsforanstaltninger
  • Løbende overvågning og opdatering
  • Overholdelse af datasikkerhed og persondataregler (GDPR)

Ved at vælge velrenommerede SaaS-løsninger kan mange af disse krav allerede være indarbejdet i systemet, hvilket reducerer jeres byrde markant.

Hvornår gælder de forskellige krav fra?

Selvom loven blev vedtaget 1. aug. 2024, så træder størstedelen af AI Act i kraft gradvist fra 2025 til 2027, afhængigt af typen af AI-system. De første forbud mod visse AI-typer var dog allerede gældende allerede 6 måneder efter ikrafttrædelsen, mens krav til højrisko-systemer træder i kraft 2 år senere.

Herunder kan du se datoer

  • August 2024: AI Act træder officielt i kraft.  
  • Februar 2025: Reglerne for forbud og krav vedrørende AI-færdigheder træder i kraft.  
  • August 2025: Reglerne for generelle AI-modeller (GPAI) og forvaltningsregler træder i kraft.  
  • August 2026: De fleste regler, herunder dem for højrisiko-AI-systemer, træder i kraft.  
  • August 2027: En forlængelse af overgangsperioden for højrisiko-AI-systemer, der er indlejret i regulerede produkter, udløber. 

Det er derfor vigtigt allerede nu at begynde forberedelserne, så I er klar til at overholde lovgivningen, når den træder i kraft.

Hvilken betydning har det for oplevelsesbranchen?

Oplevelsesbranchen bevæger sig i stigende grad mod digitalisering, og AI spiller allerede en rolle i mange aspekter – fra automatiseret kundeservice til personaliseret kommunikation og sikkerhedsløsninger.

Med AI Act får branchen en klar ramme at navigere i. Det skaber mere tryghed for kunder og virksomheder, men kræver også ansvarlighed. SaaS-løsninger, der er opdateret i forhold til AI Act, kan være en effektiv måde at sikre compliance uden at gøre tingene unødigt komplekse. Det er ofte nemmere med Europæiske SaaS systemer som lever op til reglerne, fremfor systemer der kommer ude fra EU eller endnu værre - open source systemer hvor det er jeres ansvar 100%.

Ved at handle proaktivt kan jeres virksomhed bruge AI som en konkurrencefordel – på en etisk og lovlig måde.

AI Act – Guide til SMV’er og virksomheder med begrænset brug af AI

Denne guide er for mindre virksomheder og teams, der bruger få, afgrænsede AI-løsninger (fx chatbot, tekst-/billedhjælp, kodeassistent). Den kan typisk udføres på 30–60 minutter pr. løsning.

Trin 1: Opret et mini-AI-register

Lav ét ark (eller én række i jeres eksisterende register) pr. AI-løsning. Felter:

  • Navn på løsning · Formål · Datatyper (persondata ja/nej) · Leverandør
  • Brugere (kunder/ansatte) · Kritikalitet (lav/middel/høj)
  • Risikoklasse (Minimal/Begrænset/Høj) · Ansvarlig (navn/rolle)
  • Transparens (krævet? ja/nej) · Logning (kort beskrivelse)

Download skabelon (CSV): AI_Act_AI_register_da.csv

Hvis I bruger eksterne leverandører og 3. parts løsninger kan I også bruge dette skema til jeres leverandører
AI_Act_leverandoer_spoergsmaal_da.csv

Trin 2: Sæt risikoniveau (hurtigtriage)

  • Minimal: intern hjælp (kodeassistent, tekstkladder) → brug politik + sund fornuft.
  • Begrænset: kundevendt chatbot/generativt indhold → transparensnotice + simpel logning.
  • Høj: påvirker afgørelser om mennesker (ansættelse, kredit m.m.) → følg “stor guide”.

Trin 3: Gør 2 ting rigtigt (det vigtigste)

  1. Transparens (for Begrænset): Vis i UI: “Du chatter med en AI-assistent. Den kan tage fejl. Del ikke følsomme oplysninger. Har du brug for et menneske? Klik her.”
  2. Logning (alle – light): Gem dato/tid, bruger, input, output (og “overdraget til menneske”). Retention fx 12 mdr.

Trin 4: Gem beviser ét sted

Mappe pr. løsning: /AI-Act// med Register.csv, Beviser/ (skærmbilleder af notice/indstillinger), Logs/ og evt. Leverandør/.

Hvis I benytter en ekstern leverandør eller en SaaS løsning så gemmes det typisk i systemet i f.eks. en dataabse.

Trin 5: Udpeg én ansvarlig og lav årligt mini-review

  • Ansvarlig: én kontakt (teamleder/produktansvarlig) er nok.
  • Årligt review (30–60 min): Kig fejl/klager igennem, justér notice/logning, opdater register.

 

AI Act – Guide til større virksomheder eller virksomheder med omfattende AI-brug

For større organisationer med flere AI-løsninger, komplekse datalandskaber eller anvendelser med væsentlig påvirkning. Nedenfor følger den fulde, fasedelte model med leverancer, ansvar og eksempler.

Fase 1 — Kortlægning

  1. AI-register (systemoverblik):
    • Felter: Løsningsnavn, Formål, Datatyper (persondata/særlige kategorier), Intern/leverandør, Integrationer, Brugere, Kritikalitet, Foreløbig risikoklasse, Ansvarlig ejer.
    • Eksempel: “Support-chatbot” — Formål: besvarer FAQ og ruter sager; Data: kunde-e-mails, ordre-ID (persondata); Leverandør: X; Integration: CRM; Brugere: kunder; Kritikalitet: middel.
  2. Dokumentation pr. løsning: Kontrakter/DPA, tekniske beskrivelser, modelkort (hvis selvudviklet), logning/telemetri, brugervejledninger.

Fase 2 — Klassificér risikoniveau

Kategorier: Forbudt · Høj risiko · Begrænset risiko (transparens) · Minimal risiko.

  • Forbudt: fx manipulation/uretmæssig biometrisk kategorisering.
  • Høj risiko: afgørelser om mennesker (HR-screening, kredit, uddannelsesudvælgelse) eller sikkerhedskomponenter.
  • Begrænset risiko: kundevendt chatbot/generativt indhold → transparenskrav.
  • Minimal risiko: interne produktivitetsværktøjer.

Hurtigtriage: Træffer systemet betydende afgørelser om personer? → sandsynligvis “Høj”. Kundevendt chatbot? → “Begrænset”. Intern assistent? → “Minimal”.

Fase 3 — Krav og gap-analyse

  1. Krav pr. kategori:
    • Høj: risikostyring, datakvalitet, teknisk dokumentation, logning, transparens, menneskelig overvågning, robusthed/nøjagtighed/cybersikkerhed, post-market overvågning, hændelsesrapportering. Ved markedsføring: CE-mærkning/overensstemmelsesvurdering.
    • Begrænset: oplys brugere om AI; markér syntetisk/deepfake indhold; giv klare instruktioner.
    • Minimal: basale politikker/uddannelse anbefales.

  2. Gap-matrix (pr. løsning): 
    Kontrol | Status | Bevis | Aktion Risikostyring (høj) | Mangler | - | Opret risikoregister v. Q2 Data governance (høj) | Delvist | DPA, datastrømme | Etabler datakvalitetskrav Transparens (begr.) | Delvist | Hjælpetekster i UI | Tilføj AI-disclaimer i chat Logning (høj) | Mangler | - | Aktivér audit-logs i produkt Menneskelig oversight | Delvist | 4-øjne i HR-flow | Udvid med eskalationsvej

Fase 4 — Samarbejd med leverandører

Send spørgeskema (kan være fane “Vendor” i registeret): model/version, træningsdata (overordnet), bruger kundedata til træning (ja/nej), dokumentation (model card/whitepaper/evaluering), kontrolmuligheder (temperatur/filtre), logning/audit-eksport, SLA/uptime, certificeringer (ISO/ISAE), datalokation (EU/EØS), red-teaming/pen-tests. Gem svar som bevis (PDF/e-mail).

Fase 5 — Interne retningslinjer

Korte, anvendelige politikker (2–4 sider):

  • AI-brugspolitik: formål; tilladt (ideer/opsummeringer/kodeforslag/kladder); forbudt (følsomme data/hemmeligheder i ikke-godkendte værktøjer); kildeangivelse/menneskelig kontrol; datasikkerhed (firmakonti, DPA); ansvar (AI-ansvarlig pr. projekt).
  • Transparensnotice (chatbot): “Du chatter med en AI-assistent…”.
  • Menneskelig overvågning (høj): hvem godkender, hvordan dokumenteres ændringer/afvisninger, eskalationstid.

Fase 6 — Datastyring og kvalitet

  • Datastrømskort: kilder → behandling → lagring → adgang → sletning.
  • Datakvalitetskriterier: minimumsfelter, validering, stikprøver (fx 5%/md), mål for fejlrate.
  • Persondata/GDPR: opdater fortegnelse; vurder DPIA ved væsentlig påvirkning; gem AI-impact note.

Fase 7 — Teknisk dokumentation & logning

  1. Teknisk dokumentation (pr. løsning): arkitekturdiagram (1 side), modelbeskrivelse (type/version/styrker/svagheder), evalueringsmetoder og resultater, kendte begrænsninger/failure modes, override/kill-switch.
  2. Logning (audit): gem mindst timestamp, bruger/system-ID, input, output, beslutning/score, menneskelig godkendelse (hvis brugt); retention fx 12 mdr.; adgangskontrol; regelmæssig eksport.

Fase 8 — Drift, overvågning og hændelser

  • Post-market overvågning: månedsrapport med KPI’er (nøjagtighed, afvigelser, klager, eskalationer, modelopdateringer).
  • Hændelser: 1-side playbook: definition, hvem vurderer, svartider, kontaktliste, rapporteringsvej.
  • Forbedring: retrain/justér prompts/regler eller øg menneskelig kontrol ved gentagne fejl.

Fase 9 — Uddannelse og awareness

  • Alle (1 time): AI Act-intro, hvornår man spørger om hjælp, brug af godkendte værktøjer.
  • Løsningsejere (2 timer): logning, kvalitetskontrol, transparens, eskalation.
  • Årligt brush-up: kort quiz; gem resultater som bevis.

Fase 10 — Governance, roller og beviser

  • Roller: AI-ansvarlig (koordination/godkendelser), Dataejer (pr. løsning), Systemejer (teknik), Compliance-kontakt (evt. DPO).
  • RACI (uddrag): 
    Opgave | R | A | C | I AI-register | S | AI | IT | Ledelse Risikoklassificering | S | AI | DPO | Ledelse Leverandørspørgeskema | IT| AI | Indkøb | DPO Transparens-tekster | MKT| AI | Juridisk| Support Logning/audit | IT| AI | DPO | Ledelse
  • Bevisstruktur:
    • /AI-Act/01-Register/
    • /AI-Act/02-Klassificering/
    • /AI-Act/03-Politikker/
    • /AI-Act/04-TekniskDok/
    • /AI-Act/05-Logs/
    • /AI-Act/06-OvervågningRapporter/
    • /AI-Act/07-Hændelser/
    • /AI-Act/08-Leverandørdok/

Tjeklister

AI-register

  • [ ] Alle AI-løsninger identificeret
  • [ ] Datatyper noteret (inkl. persondata)
  • [ ] Leverandør og kontrakter linket
  • [ ] Foreløbig risikoklasse angivet
  • [ ] Ansvarlig ejer sat

Transparens (Begrænset)

  • [ ] Brugere informeres om AI-interaktion
  • [ ] Mulighed for menneskelig hjælp
  • [ ] Syntetisk indhold/deepfakes er tydeligt markeret

Høj risiko

  • [ ] Risikostyringsproces dokumenteret
  • [ ] Data governance og kvalitet beskrevet
  • [ ] Tekniske tests/evalueringer udført
  • [ ] Logning og audit aktive
  • [ ] Menneskelig oversight etableret
  • [ ] Post-market overvågning + hændelsesrapportering

Tips til smidig implementering

  • Start med 3–5 vigtigste løsninger; udvid senere.
  • Genbrug GDPR-artefakter (fortegnelse, DPA’er, DPIA).
  • Hold dokumenter korte og konkrete (skærmbilleder/tabeller tæller).
  • Kvartalsvis mini-review (30 min pr. løsning).

Spørgsmål og svar

Hvad er AI Act?

AI Act er en EU-forordning, der regulerer brugen af kunstig intelligens for at sikre sikkerhed, etik og gennemsigtighed i AI-systemer i EU.

Gælder AI Act for små virksomheder i oplevelsesbranchen?

Ja, hvis virksomheden anvender AI-systemer – f.eks. i kundeservice, billetsalg eller adgangskontrol – kan AI Act være relevant.

Hvordan klassificeres AI-systemer under AI Act?

Systemerne opdeles i minimal, begrænset, høj og forbudt risiko, med forskellige krav afhængigt af niveau.

Hvad skal vi som virksomhed gøre for at overholde AI Act?

Kortlæg jeres AI-brug, vurder risikoniveauer, indfør gennemsigtighed, og samarbejd med leverandører om dokumentation og compliance.

Hvornår træder AI Act i kraft?

AI Act implementeres gradvist fra 2025 til 2027, afhængigt af systemtype og risikoniveau.

Findes der en guide eller skabelon til AI Act

I slutningen af vores artikel finder du en guide både til mindre SMV virksomheder og en anden guide til større virksomheder. I vores SMV guide finder du desuden CSV skabeloner som kan åbnes i Excel.

AI actAI act guideAI Act skabelon
AI Act - Europæisk AI regulering - hvad betyder det for jer?