Teknologi

AI-forordningen 2026: Hvad EU AI Act betyder for danske SMV'er

EU's AI-forordning er trådt i kraft i etaper siden februar 2025. Her er hvad du skal vide som dansk SMV: risikokategorier, din rolle som deployer eller provider, dine konkrete pligter — og hvor høje bøderne er.

11 min læsning

EU's AI-forordning (Forordning 2024/1689 — også kendt som EU AI Act) er verdens første samlede regulering af kunstig intelligens. Den trådte i kraft 1. august 2024 og rulles ud i etaper frem til august 2027. Som dansk SMV bliver du berørt — uanset om du udvikler AI eller bare bruger ChatGPT, Microsoft Copilot eller et HR-screeningværktøj. Forskellen mellem stress og ro ligger i at vide, hvilken rolle du har, og hvilken risikokategori dine systemer falder i.

Vigtigste takeaway: AI-forordningen er en produktreguleringslov, ikke en samtykkelov. Den definerer pligter for udviklere (providers) og brugere (deployers) baseret på hvor risikabelt AI-systemet er. De fleste SMV'er er deployers af generelle værktøjer — det betyder få men vigtige pligter omkring gennemsigtighed og medarbejdertræning. Det er overkommeligt, hvis du starter nu.

Hvad er AI-forordningen?

AI-forordningen er en EU-forordning, der regulerer udvikling, markedsføring og brug af AI-systemer i hele EU. Den har direkte virkning i Danmark — den skal ikke implementeres gennem en dansk lov først, ligesom GDPR gælder direkte.

Reguleringen følger en risikobaseret tilgang: Jo mere skadelig anvendelsen kan være for grundlæggende rettigheder, sikkerhed eller demokrati, desto strengere er reglerne. Et chatbot-værktøj på din webshop og et AI-system, der screener jobansøgninger, behandles helt forskelligt — det første er stort set fri for pligter, det andet er klassificeret som høj risiko.

Forordningen er inspireret af klassisk produktsikkerhedsregulering (CE-mærkning, dokumentation, overensstemmelsesvurdering) og tilfører en række nye begreber: provider, deployer, general-purpose AI (GPAI), foundation models og systemiske risici.

Hvem håndhæver i Danmark?

Erhvervsstyrelsen er udpeget som den nationale koordineringsmyndighed for AI-forordningen i Danmark. Hertil kommer fagspecifikke tilsyn — Datatilsynet ved persondata-overlap, Finanstilsynet ved finansielle AI-systemer, og Sundhedsstyrelsen ved medicinsk AI. På EU-plan koordineres tilsynet af det nyoprettede AI Office i Bruxelles.

Tidsplan: Hvornår gælder hvad?

Forordningen rulles ud i fire etaper, så virksomheder har tid til at tilpasse sig. Markér disse datoer i kalenderen:

Dato Hvad træder i kraft Hvem bliver påvirket
2. februar 2025 Forbud mod uacceptable AI-praksisser (artikel 5) + krav om AI-kompetence (artikel 4) Alle — pligten gælder også, hvis du allerede har systemer kørende
2. august 2025 Pligter for udbydere af generelle AI-modeller (GPAI / kapitel V) + nationale tilsynsmyndigheder etableres OpenAI, Anthropic, Google, Mistral m.fl. — ikke direkte SMV'er
2. august 2026 Resten af forordningen anvendes — herunder pligter for høj-risiko-systemer (Bilag III) og gennemsigtighedskrav SMV'er der udvikler eller bruger AI til HR, kreditvurdering, uddannelse, sikkerhed m.m.
2. august 2027 Høj-risiko-systemer omfattet af artikel 6, stk. 1 (AI som sikkerhedskomponent i produkter dækket af EU-harmoniseringslovgivning) Producenter af regulerede produkter (medicinsk udstyr, biler, legetøj m.v.)

Praktisk eksempel: Hvor langt er du?

Bruger din HR-chef et AI-værktøj til at sortere CV'er? Så skal du være compliance-klar senest 2. august 2026. Bruger ledelsen ChatGPT til at brainstorme strategi? Så er det kun gennemsigtighedspligten (medarbejderne skal vide, at AI bruges) og AI-kompetencepligten i artikel 4, der rammer dig — og den sidste gælder allerede fra februar 2025.

De 4 risikokategorier

AI-forordningen opdeler alle AI-systemer i fire kategorier. Din pligt-mængde afhænger 100% af, hvilken kategori dit system falder i:

1. Uacceptabel risiko — forbudt

Disse systemer er forbudt at udvikle eller bruge i EU. Forbuddet trådte i kraft 2. februar 2025. Eksempler: social scoring (offentlige systemer der vurderer borgere), realtids-biometrisk overvågning på offentlige steder, AI der manipulerer børn eller udnytter sårbarheder, ansigtsgenkendelses-databaser indsamlet ved scraping, og emotion recognition på arbejdspladsen eller i uddannelsessystemet (med få undtagelser).

2. Høj risiko — strenge krav

Bilag III i forordningen lister 8 områder, hvor AI er høj-risiko: kritisk infrastruktur, uddannelse og eksamen, beskæftigelse (rekruttering, forfremmelse, opsigelse), adgang til offentlige ydelser, kreditvurdering, retshåndhævelse, migration og asyl, og retsvæsen. Pligterne er omfattende: risikostyringssystem, datakvalitetskrav, dokumentation, logning, gennemsigtighed for brugere, menneskeligt tilsyn, robusthed og cybersikkerhed, og CE-mærkning før systemet må sælges.

3. Begrænset risiko — gennemsigtighed

Chatbots, deepfakes og AI-genereret indhold falder her. Pligten er at oplyse brugeren: "Du chatter med en AI", "Dette billede er genereret af AI". Reglen gælder fra 2. august 2026 og rammer mange SMV'er, der har en chatbot på hjemmesiden eller bruger AI til at generere marketingbilleder.

4. Minimal risiko — ingen pligter

Spamfiltre, AI i computerspil, lagerstyringssystemer og lignende falder i denne kategori. Forordningen anbefaler frivillige adfærdskodekser, men der er ingen retlige pligter ud over de generelle krav til AI-kompetence (artikel 4).

Realitetstjek for SMV'er: Langt de fleste systemer, du bruger til daglig — chatbots, oversættelsesværktøjer, kalenderassistenter — falder i kategori 3 eller 4. Den eneste tunge kategori, du sandsynligvis støder på, er rekrutteringsværktøjer som AI-CV-screening eller automatiserede kreditvurderinger.

Provider vs. deployer — din rolle som virksomhed

AI-forordningen skelner skarpt mellem to roller, og du skal kende din. Pligterne er meget forskellige:

Provider (udbyder) Deployer (implementator)
Definition Udvikler, træner eller markedsfører et AI-system under eget navn eller varemærke Bruger et AI-system fra en provider i egen virksomhed
Eksempler OpenAI (ChatGPT), Microsoft (Copilot), en dansk startup der bygger et AI-CV-screeningsværktøj SMV der bruger ChatGPT, et HR-team der bruger et AI-rekrutteringsværktøj
Kerneansvar Risikostyring, dokumentation, CE-mærkning, kvalitetsstyring — er bygget korrekt Bruger systemet som anvist, sikrer menneskeligt tilsyn, informerer slutbrugere
Antal pligter ~30+ artikler i forordningen ~5 artikler — primært gennemsigtighed og tilsyn

Vigtig faldgrube: Hvis du finjusterer (fine-tuner) en open source-model og markedsfører den under dit eget navn, eller hvis du bygger et færdigt AI-produkt på toppen af en GPAI-model, kan du blive klassificeret som provider — selv hvis du tænker, at "modellen kommer jo fra OpenAI". Læs forordningens artikel 25 grundigt, eller spørg en advokat.

Praktisk eksempel: Bygger du eller bruger du?

En dansk konsulentvirksomhed integrerer Microsoft Copilot i deres interne workflows. De er deployers. En anden dansk virksomhed bygger en specialiseret AI-model til at klassificere fakturaer og sælger den som "FakturaAI" til andre virksomheder. De er providers — også selvom selve maskinlæringen sker på Microsoft Azure med en Microsoft-model i bunden.

Klassificering på 10 minutter: LovBot's AI-inventar guider dig gennem dine AI-værktøjer ét ad gangen, klassificerer hver enkelt efter risikokategori (forbudt / høj / begrænset / minimal) og angiver dine konkrete pligter som deployer eller provider. Resultat: en samlet compliance-rapport du kan vise til ledelsen og GDPR-tilsynet.

Dine pligter når du bruger AI (deployer)

Lad os fokusere på dét, der rammer 95% af danske SMV'er: pligterne som deployer. De er ikke uoverkommelige, men de skal være på plads:

1. AI-kompetence (artikel 4) — gælder allerede

Siden 2. februar 2025 har du pligt til at sikre, at medarbejdere, der bruger AI på dine vegne, har tilstrækkelig AI-kompetence. Det betyder ikke en formel eksamen — men en pragmatisk forståelse af, hvad AI kan og ikke kan, hvilke risici der er, og hvornår man skal stille spørgsmål til outputtet. Dokumenter dette med korte interne kurser, e-læring eller møder.

2. Brug systemet som anvist

Provideren udsender en brugsanvisning (instructions for use). Du skal følge den. Bruger du et HR-AI-system, der ifølge anvisningen kun må bruges som ét element blandt flere i en rekrutteringsproces, må du ikke lade det træffe afgørelsen alene.

3. Menneskeligt tilsyn (kun ved høj-risiko)

Bruger du et høj-risiko-system, skal du sikre, at en kompetent medarbejder kan overvåge systemet, forstå dets output, gribe ind ved fejl og om nødvendigt tilsidesætte beslutningen. "Computeren sagde nej" er ikke længere en gyldig forklaring.

4. Underret medarbejdere og repræsentanter

Bruger du et høj-risiko-AI-system, der påvirker arbejdstagere, skal du informere dem og deres repræsentanter (tillidsfolk, samarbejdsudvalg) før systemet tages i brug. Dette gælder fx hvis du indfører AI-baseret performancetracking eller -evaluering.

5. Fortæl slutbrugere, det er AI

Har du en chatbot på din hjemmeside? Bruger du AI-genereret marketingindhold? Slutbrugeren skal informeres. Det kan være en simpel besked: "Du chatter med en virtuel assistent — ved komplekse spørgsmål viderestilles du til et menneske."

6. Logfør hvis det er høj-risiko

Bruger du et høj-risiko-system, skal du opbevare automatisk genererede logs i mindst 6 måneder, så outputtet kan rekonstrueres ved klager eller tvister.

Pligter hvis du udvikler AI (provider)

Bygger du selv et AI-produkt? Så er pligterne tunge — særligt hvis det falder i høj-risiko-kategorien:

  • ☐ Risikostyringssystem implementeret og dokumenteret gennem hele systemets levetid
  • ☐ Træningsdata, valideringsdata og testdata opfylder kvalitets- og governance-krav
  • ☐ Teknisk dokumentation udarbejdet før markedsføring (Bilag IV)
  • ☐ Logning automatisk indbygget — output kan rekonstrueres
  • ☐ Brugsanvisning udsendt til alle deployers
  • ☐ Designet til menneskeligt tilsyn — der skal være "off-switches" og forklarbarhed
  • ☐ Robusthed, præcision og cybersikkerhed dokumenteret
  • ☐ Kvalitetsstyringssystem (artikel 17) — typisk ISO/IEC 42001 eller tilsvarende
  • ☐ Overensstemmelsesvurdering gennemført — internt eller via et bemyndiget organ
  • ☐ CE-mærkning anbragt og EU-overensstemmelseserklæring underskrevet
  • ☐ Registrering i den fælles EU-database for høj-risiko-systemer
  • ☐ Post-market monitoring — du følger systemets adfærd efter lancering
  • ☐ Hændelsesrapportering inden for 72 timer ved alvorlige fejl

Det lyder som meget, fordi det er meget. SMV'er får dog en række lempelser i forordningen — fx forenklede sandkasser (regulatory sandboxes), reducerede gebyrer og prioriteret adgang til vejledning. Erhvervsstyrelsen koordinerer den danske sandkasse.

Snitfladen til GDPR

AI-forordningen og GDPR overlapper, men erstatter ikke hinanden. Forenklet:

  • GDPR regulerer behandling af personoplysninger — uanset om der er AI involveret. Kræver lovligt grundlag, samtykke i visse tilfælde, oplysningspligt, dataminimering osv.
  • AI-forordningen regulerer AI-systemer som produkt — uanset om der behandles personoplysninger. Kræver risikostyring, dokumentation, gennemsigtighed.

Bruger du AI til at behandle CV'er, gælder begge: GDPR for selve persondatabehandlingen (lovligt grundlag, oplysningspligt, sletning) og AI-forordningen for selve AI-systemet (høj-risiko, menneskeligt tilsyn, dokumentation). Husk også privatlivspolitikken — slutbrugere skal kunne læse, at AI er involveret, og hvilke konsekvenser det har for deres rettigheder.

Faldgrube — automatiserede afgørelser: GDPR artikel 22 giver folk ret til ikke at være underlagt afgørelser truffet udelukkende på grundlag af automatiseret behandling. Bruger du et AI-system til kreditvurdering eller jobafvisning uden menneskelig involvering, kan du overtræde både GDPR og AI-forordningen samtidigt.

Bøder og håndhævelse

Bødeloftet er bevidst sat højt for at signalere alvor — særligt for forbudte praksisser. Tre niveauer:

Overtrædelse Maks. bøde
Forbudt AI-praksis (artikel 5) 35 mio. EUR eller 7 % af global årsomsætning — det højeste
Andre overtrædelser (provider- eller deployer-pligter) 15 mio. EUR eller 3 % — det højeste
Forkert eller vildledende information til myndigheder 7,5 mio. EUR eller 1 % — det højeste

For SMV'er gælder en specialregel: Bøden skal være det laveste af enten det absolutte beløb eller procenten af omsætning — så for små virksomheder bliver bøden ikke udregnet på en måde, der udsletter forretningen. Men 7 % af 5 mio. kr. omsætning er stadig 350.000 kr., så pas på.

Bøderne er ikke det eneste pres. Markedstilsynet kan kræve, at et AI-system trækkes tilbage fra markedet, og andre virksomheder kan kræve erstatning, hvis de har lidt tab på grund af et ikke-compliant system.

8-trins compliance-tjekliste for SMV'er

Brug denne tjekliste til at komme i gang. Den dækker minimumskravene for en typisk dansk SMV, der bruger AI:

  • Inventar: Lav en liste over alle AI-systemer der bruges i virksomheden — også Copilot, ChatGPT, oversættelsesværktøjer og chatbots
  • Klassificering: Vurder hvert system efter risikokategori (forbudt / høj / begrænset / minimal)
  • Rolle: Afgør for hvert system, om I er provider eller deployer
  • AI-kompetence: Etabler intern træning eller e-læring; dokumenter det
  • Politikker: Skriv en intern AI-brugspolitik — hvad må medarbejderne bruge AI til, og hvad må de ikke?
  • Gennemsigtighed: Opdater privatlivspolitik, chatbot-disclaimers og marketing-credits
  • Leverandøraftaler: Sikr at AI-leverandørerne leverer compliance-dokumentation, brugsanvisninger og databehandleraftaler
  • Tidsplan: Sæt 2. august 2026 i kalenderen som hård deadline for høj-risiko-systemer
Tip — start med inventaret: 90% af kompleksiteten ved AI-compliance ligger i ikke at vide, hvilke AI-systemer man faktisk bruger. Når du har inventaret, har du også svaret på, om du overhovedet er i høj-risiko-kategori. Mange SMV'er finder, at de slipper med blot kategori 3-4 og minimal indsats.

Kom i gang med AI-compliance hos LovBot

LovBot kortlægger dine AI-værktøjer, klassificerer dem efter risikokategori og leverer en compliance-tjekliste plus de dokumenter, der skal på plads — AI-brugspolitik, opdaterede privatlivspolitikker og databehandleraftaler, der dækker både GDPR og AI-forordningen.

Forordning 2024/1689 GDPR-snitflade dækket SMV-tilpasset
Start gratis →

Relaterede guides

Denne artikel er informativ og bør ikke erstatte juridisk rådgivning. Ved vigtige juridiske spørgsmål, kontakt en advokat.