AI Act: De fire risikokategorier – og hvad de betyder for dig

EU’s AI Act

Den nye AI Act fra EU sætter rammen for, hvordan virksomheder må udvikle og anvende kunstig intelligens med skærpede krav til transparens, risikostyring og compliance - uanset om du udvikler eller bruger AI-systemer.

Det betyder en række nye pligter, afhængigt af hvor risikofyldt dit AI-system vurderes at være.

AI Act’s fire risikokategorier: Hvor placerer din AI sig?

AI Act klassificerer AI-systemer efter deres potentielle risiko for samfundet. Det er afgørende at forstå, hvor dit system hører hjemme:

1. Forbudte AI-systemer

Denne kategori omfatter AI-systemer, som EU vurderer som en alvorlig trussel mod grundlæggende rettigheder og demokratiske værdier. Disse systemer er ulovlige i hele EU.

Eksempler på forbudte AI-systemer:

• Social scoring-systemer, inspireret af Kinas model, hvor individer vurderes og belønnes/sanktioneres baseret på deres adfærd.
• Manipulativ AI, der ubevidst påvirker menneskers beslutninger på en måde, der skader dem (f.eks. skjulte nudging-mekanismer i apps, der får brugere til at træffe økonomisk eller sundhedsmæssigt dårlige valg).
• Biometrisk overvågning i realtid i det offentlige rum (f.eks. ansigtsgenkendelse brugt til masseovervågning). Der kan dog være undtagelser i forbindelse med retshåndhævelse.

Kun meget få virksomheder i Danmark er direkte berørt af dette forbud, da social scoring og manipulerende AI sjældent bruges i en europæisk kontekst.

Dog bør tech-virksomheder, der udvikler AI til adfærdsanalyse, personaliseret markedsføring eller biometrisk identifikation, være særligt opmærksomme, da systemer, der ubevidst manipulerer brugere eller anvender biometriske data uden eksplicit samtykke, kan falde ind under de forbudte kategorier.

2. Højrisiko-AI

Her finder vi de AI-systemer, der har væsentlig indflydelse på samfundet, særligt inden for kritiske sektorer. Virksomheder, der udvikler eller anvender højrisiko-AI, skal leve op til strenge krav om risikovurdering, transparens, menneskelig overvågning og dokumentation.

Eksempler på højrisiko-AI:

• Sundhedssektoren: AI til diagnoseværktøjer eller beslutningsstøtte i lægemiddelgodkendelse og behandlinger.
• HR og rekruttering: AI-systemer, der screener CV’er, vurderer kandidater eller automatisk træffer ansættelsesbeslutninger.
• Juridisk og offentlig administration: AI, der bruges til at vurdere sager i sociale ydelser, skat eller domstolspraksis.
• Kritisk infrastruktur: AI, der bruges i forsyningssektoren (energi, vand, transport) til at styre driftskritiske systemer.
• Bank og finans: Kreditvurderingssystemer, der afgør, hvem der kan få lån eller forsikringer.

Denne kategori påvirker en betydelig andel af virksomheder i Danmark – særligt inden for sundhed, finans, HR, offentlig sektor og teknologivirksomheder, der leverer AI-løsninger til disse brancher.

Hvis din virksomhed udvikler eller bruger højrisiko-AI, er det vigtigt at sikre compliance via dokumentation, risikovurdering og gennemsigtighedsforanstaltninger.

3. Begrænset risiko-AI

Denne kategori dækker AI-systemer, der ikke udgør en samfundsmæssig risiko, men stadig kræver nogle gennemsigtighedskrav – fx oplysning til brugeren om, at de interagerer med en AI.

Eksempler på begrænset risiko-AI:

• Chatbots og stemmeassistenter: Kundeservice-bots, hvor brugeren skal informeres om, at de taler med en AI (f.eks. chatbots på hjemmesider, AI-baserede stemmesystemer).
• Generativ AI: AI-modeller som ChatGPT, DALL·E eller andre systemer, der genererer tekst, billeder eller video.
• Anbefalingssystemer: Personlige anbefalinger på e-handelsplatforme eller streamingtjenester.

Langt de fleste virksomheder, der anvender AI, vil falde i denne kategori. Særligt virksomheder inden for e-handel, medier, marketing, kundeservice og softwareudvikling vil skulle overholde kravene om gennemsigtighed.
Der er ingen tunge compliance-krav for denne kategori, men virksomheder skal sikre, at brugerne er klar over, at de interagerer med AI, og i nogle tilfælde kunne forklare, hvordan AI'en træffer beslutninger.

4. Minimal risiko-AI

AI-systemer i denne kategori udgør ingen væsentlig risiko og er derfor ikke omfattet af særlige reguleringskrav.

Eksempler på minimal risiko-AI:

• Spamfiltre og antivirusprogrammer.
• AI til procesoptimering i produktion og logistik.
• Automatisk oversættelse (f.eks. Google Translate).
• Søgemaskinealgoritmer og trafikstyringssystemer.

Den overvejende del af danske virksomheder bruger AI på dette niveau. Fordi AI Act ikke stiller specifikke krav til disse systemer, kan de fleste virksomheder fortsætte deres AI-brug uden væsentlige ændringer.

Hvem skal forberede sig – og hvordan?

Virksomheder, der arbejder med højrisiko-AI (sundhed, finans, HR, infrastruktur) bør allerede nu kortlægge deres AI-systemer, foretage risikovurderinger og dokumentere compliance.

De vigtigste skridt for dig er:

1. Risikovurdering: Analyser og minimer de risici, dine AI-systemer kan udgøre.
2. Gennemsigtighed og forklarbarhed – AI-systemer skal kunne dokumentere beslutningsprocesser og gøre output forståeligt for mennesker.
3. Datasikkerhed og bias-kontrol – AI må ikke diskriminere eller skabe uigennemsigtige beslutningsmodeller.
4. Overvågning og menneskelig kontrol – AI må ikke træffe kritiske beslutninger uden menneskelig indgriben.

Brugere af begrænset risiko-AI (marketing, e-handel, chatbots) skal blot sikre sig gennemsigtighed og informere brugerne.

De fleste virksomheder, der bruger AI til drift og procesoptimering, vil ikke blive berørt af AI Act i større grad.