EU’s AI-forordning: Hvad skal bestyrelsen være særligt opmærksom på?

Forordningen indeholder bl.a. krav til AI-færdigheder (”AI-literacy”), anvendelsen af højrisiko-AI-systemer samt gennemsigtighed. Derudover er visse former for AI direkte forbudt.

I denne artikel ser vi nærmere på udvalgte områder, som bestyrelsen bør være særligt opmærksomme på i forbindelse med virksomhedens implementering og anvendelse af AI i lyset af AI-forordningen.

1. Indledning

EU vedtog i 2024 en AI-forordning med det formål at regulere udviklingen, markedsføringen, ibrugtagningen og anvendelsen af kunstig intelligens. Formålet med reguleringen er på den ene side at understøtte udbredelsen af troværdig AI og på den anden side at sikre et højt beskyttelsesniveau for sundhed, sikkerhed og grundlæggende rettigheder, herunder demokrati og retsstatsprincipper.

Forordningen omfatter AI-systemer, der defineres som maskinbaserede systemer med en vis autonomi, som kan tilpasse sig efter brug. Det centrale kendetegn er evnen til selv at lære, ræsonnere eller danne modeller ud fra data for at generere output som fx anbefalinger eller beslutninger. Traditionel software, der udelukkende udfører faste regler defineret af mennesker, er ikke omfattet.

I det følgende vil vi se nærmere på sondringen mellem traditionel software og AI-systemer:

• Traditionel software (ikke omfattet): En virksomhed opsætter et simpelt filter, der automatisk sletter alle ansøgere, som ikke har “Board Certificate” skrevet i deres CV. Her følger maskinen blot en fast regel besluttet af et menneske. Den lærer intet nyt og udleder intet selv.
• AI-system (omfattet): En virksomhed bruger et system, der analyserer data fra de sidste ti års ansættelser for selv at udlede, hvilke sproglige mønstre eller erfaringer der kendetegner de mest succesfulde medarbejdere. Systemet rangerer herefter nye ansøgere baseret på denne selvlærte model. Da systemet selv lærer ud fra inputdata, er det et AI-system, og dermed omfattet af forordningen.

AI-forordningen indeholder ikke alene krav til udviklingen af AI-systemer. Forordningen fastsætter også en række forpligtelser for såkaldte “idriftsættere”, herunder virksomheder der anvender AI-systemer. For bestyrelsen er det centralt at have kendskab til disse regler, idet overtrædelser af forordningen, når den er fuldt ud implementeret, kan medføre betydelige bøder, som i niveau kan sammenlignes med og i visse tilfælde overstige bøderne efter databeskyttelsesforordningen.

2. Krav om AI-færdigheder (AI-literacy)

AI-forordningen indfører et krav om, at virksomheder skal sikre, at medarbejdere, som anvender AI-systemer, har et tilstrækkeligt niveau af AI-færdigheder. Kravet fandt anvendelse allerede fra den 2. februar 2025 og er dermed et aktuelt compliancekrav. Vurderingen, af om virksomhedens AI-færdigheder er tilstrækkelige, beror på en konkret helhedsvurdering, herunder medarbejdernes tekniske viden og erfaring, den sammenhæng hvori AI-systemerne anvendes, samt hvilke personer eller grupper systemerne påvirker.

Begrebet “AI-færdigheder” kan omfatte flere ting, herunder både teknologiske og praktiske færdigheder. Ved teknologiske færdigheder forstås blandt andet evnen til at forstå, hvordan et AI-system er udviklet, samt hvordan systemet fungerer på et overordnet teknisk niveau. Ved praktiske færdigheder forstås evnen til at anvende AI-systemet i overensstemmelse med dets tilsigtede formål, herunder kendskab til eventuelle begrænsninger for anvendelsen, såsom hvilke typer data systemet må anvendes på.

For bestyrelsen indebærer dette navnlig et ansvar for at sikre, at ledelsen har etableret passende rammer for kompetenceopbygning og anvendelse af AI i virksomheden. Det må forventes, at ledere med ansvar for AI-anvendelse besidder et højere kompetenceniveau end medarbejdere, der alene anvender AI-systemer som led i deres daglige arbejde.

AI-færdigheder omfatter både en grundlæggende forståelse af, hvordan AI-systemer fungerer og praktisk viden om systemernes tilsigtede anvendelse og begrænsninger. Bestyrelsen bør derfor sikre sig, at virksomheden har iværksat passende foranstaltninger, herunder fx differentierede og obligatoriske træningsforløb, der står mål med virksomhedens anvendelse af AI og de risici, som anvendelsen indebærer.

3. Krav om gennemsigtighed

Den 2. august 2026 træder en række krav om gennemsigtighed i kraft. Kravene betyder blandt andet, at der gælder en oplysningspligt ved anvendelse af AI-genererede billeder og videoer, herunder såkaldte “deepfakes”. Hvis en virksomhed bruger AI til at generere fx billedindhold, der ligner virkelige personer, steder eller begivenheder på en måde, hvor indholdet fejlagtigt kan opfattes som “autentisk”, skal virksomheden tydeligt markere, at indholdet er AI-genereret.

Derudover skal det markeres, hvis virksomheden offentliggør AI-genereret tekst vedrørende spørgsmål af offentlig interesse. Dette gælder dog ikke i de tilfælde, hvor et menneske anvender AI som værktøj til at affatte en tekst, og hvor der efterfølgende sker en menneskelig gennemgang eller kontrol. Hvis man derimod lader en AI generere en hel artikel uden menneskelig redigering og herefter udgiver den, skal det markeres tydeligt, såfremt emnet er af offentlig interesse.

For bestyrelsen indebærer dette navnlig et behov for at sikre interne retningslinjer for mærkning og offentliggørelse af AI-genereret indhold samt tilstrækkelige kontrolmekanismer på kommunikations- og marketingområdet.

4. Krav til anvendelsen af højrisiko-AI-systemer

Bestemte AI-systemer bliver i forordningen klassificeret som “højrisiko-AI-systemer”. Hvis en virksomhed anvender et sådant system, stilles der strengere krav til anvendelsen, dokumentationen og kontrollen.

AI-forordningen definerer en lang række systemer som værende i højrisikokategorien. For de fleste virksomheder vil de mest relevante eksempler være AI-systemer, der anvendes i forbindelse med rekrutteringsprocessen, fx til at indrykke målrettede jobannoncer, analysere og filtrere jobansøgninger eller evaluere kandidater, eller AI-systemer, der anvendes til vurdering af personers kreditværdighed.

Når en virksomhed anvender et højrisiko-AI-system, påtager den sig et ansvar for, at teknologien anvendes forsvarligt. Dette indebærer overholdelse af en række skærpede krav, hvoraf nogle er illustreret i nedenstående eksempel.

4.1 Eksempel: AI i ansættelsesprocessen

En mellemstor virksomhed ønsker at effektivisere ansættelsesprocessen og anskaffer et AI-værktøj til at scanne og rangordne 500 jobansøgninger. Da systemet bruges til udvælgelse af ansøgere, klassificeres det som et højrisiko-AI-system.

Dette medfører blandt andet følgende forpligtelser:

1. Brugsanvisning: Virksomheden skal træffe foranstaltninger for at sikre, at systemet anvendes i overensstemmelse med den medfølgende brugsanvisning fra leverandøren af systemet.
2. Kompetencer: Virksomheden skal sikre, at den HR-medarbejder, der betjener værktøjet, har de nødvendige AI-færdigheder til at anvende det korrekt.
3. Forståelse for fejlrisici: Medarbejderen skal forstå, at algoritmen kan have indbygget bias (fx en utilsigtet diskrimination af bestemte køn eller aldersgrupper).
4. Menneskeligt tilsyn: HR-medarbejderen må ikke blindt acceptere AI-systemets rangering, men skal foretage en form for aktiv kontrol af resultatet.

For bestyrelsen indebærer anvendelsen af højrisiko-AI-systemer et ansvar for at sikre, at der er etableret klare styringsrammer, interne kontroller og dokumentation, der understøtter lovlig og forsvarlig anvendelse af teknologien/systemerne.

5. Forbudte former for AI

Allerede den 2. februar 2025 trådte AI-forordningens regler om forbudte former for AI i kraft.

Af forbudte former for AI kan blandt andet nævnes:

• Brug af AI til at evaluere eller klassificere personer over tid baseret på deres sociale adfærd eller personlighedstræk (social scoring), hvis det fører til ugunstig behandling i sammenhænge, der er irrelevante for de data, som oprindeligt blev genereret eller indsamlet.
• Brug af AI-systemer til at kategorisere personer individuelt baseret på biometriske data for at udlede deres race, politiske anskuelser, religiøse overbevisning eller seksuelle orientering.
• Brug af AI til at udlede en persons følelser i en arbejdsmæssig sammenhæng (emotion-recognition).

Selvom disse eksempler kan virke fjerne fra den daglige drift, er det afgørende at kende til AI-forordningens absolutte grænser, da overtrædelser heraf kan udløse de maksimale bøderammer.

Bestyrelsen bør som følge heraf sikre, at virksomheden har et overordnet overblik over, hvilke AI-værktøjer der anvendes i organisationen, herunder også løsninger, der er indkøbt decentralt eller anvendes uformelt. Bestyrelsen bør endvidere påse, at der er etableret interne retningslinjer og godkendelsesprocesser, som forhindrer anvendelse af AI, der falder inden for forordningens forbudte kategorier.

6. Skal vi hjælpe dig?

Udviklingen inden for AI giver virksomheder nye slags værktøjer, der kan skabe værdi. Det er imidlertid vigtigt at være opmærksom på, hvordan man implementerer og anvender AI inden for virksomheden på en måde, der er i overensstemmelse med EU’s AI-forordning.

Har du spørgsmål til indholdet af denne artikel eller andet, er du meget velkommen til at kontakte Holst, Advokater.