Ai Act dokumentation i praksis: hvad skal virksomheden egentlig have styr på?

Ai Act lyder hurtigt som endnu en mappe med politikker, skemaer og dårlig samvittighed.

Men for de fleste SMV'er handler dokumentation ikke om at bygge et nyt administrativt monster.

Det handler om at kunne vise, hvordan I bruger Ai, hvem der må bruge hvad, og hvordan I holder øje med risikoen.

Kort overblik over Ai Act dokumentation

Ai Act dokumentation er virksomhedens praktiske bevis for, at Ai bruges ansvarligt, kontrolleret og med passende kompetencer.

For de fleste SMV'er starter arbejdet ikke med tunge juridiske rapporter. Det starter med overblik over Ai-værktøjer, godkendt brug, ansvar, træning og dokumentation for de vigtigste beslutninger.

Artikel 4 om Ai-færdigheder gælder allerede. Virksomheder, der bruger Ai-systemer, bør sikre, at medarbejdere har et passende niveau af viden om de værktøjer, de bruger. EU-Kommissionens Q&A siger også, at en virksomhed, hvor medarbejdere bruger ChatGPT til fx reklametekst eller oversættelse, skal forholde sig til Ai-færdigheder.

Omnibus VII ændrer ikke Ai Act's grundlogik. Den risikobaserede model består. Den foreløbige aftale fra 7. maj 2026 flytter især datoer for højrisiko-Ai, men den aflyser ikke behovet for styring, kompetencer og dokumentation.

Mit korte råd: Dokumentér det, der faktisk betyder noget. Ikke alt det, der bare ser flot ud i en mappe.

Ai Act dokumentation er ikke GDPR 2.0

Mange tænker: "Nå, så kom der bare en ny GDPR."

Det forstår jeg godt. For når EU siger "forordning", får de fleste virksomhedsejere lidt samme ansigtsudtryk, som når printeren siger "ukendt fejl".

Men Ai Act er noget andet.

GDPR handler især om persondata. Ai Act handler om Ai-systemer, roller, risici og brug. Altså: Hvilke Ai-systemer bruger I? Hvad bruger I dem til? Hvem har ansvaret? Hvilken risiko følger med? Og kan I vise, at brugen er fornuftig?

Det betyder også, at dokumentationen skal bygges anderledes. Ikke som en stor mappe, der bliver lavet én gang og derefter ligger død i SharePoint. Den skal være tæt på driften. Den skal kunne opdateres. Og den skal give mening for dem, der faktisk bruger Ai i virksomheden.

For en typisk SMV kan Ai Act dokumentation starte ret lavpraktisk:

• Hvilke Ai-værktøjer bruger vi?
• Hvem må bruge dem?
• Til hvilke opgaver?
• Hvilke data må vi putte ind?
• Hvornår skal et menneske kontrollere outputtet?
• Hvem har fået træning?
• Hvor gemmer vi vores beslutninger?

Det lyder mindre dramatisk end "compliance framework". Heldigvis. For det er også mere brugbart.

Det første I bør dokumentere: jeres Ai-overblik

Hvis jeg spørger en ejerleder: "Hvilke Ai-værktøjer bruger I i dag?", får jeg tit ét af to svar.

Enten: "Ikke ret mange." Eller: "Det ved jeg faktisk ikke helt."

Begge svar kan være farlige.

For i mange virksomheder bruger medarbejdere allerede ChatGPT, Copilot, billedværktøjer, oversættelsesværktøjer, mødenoter, analyseværktøjer og små Ai-funktioner inde i systemer, virksomheden allerede betaler for. Det er ikke nødvendigvis et problem. Problemet opstår, når ledelsen ikke ved det.

Derfor er et Ai-inventory ofte første skridt. Ikke som en kæmpe teknisk øvelse, men som en enkel liste over virksomhedens Ai-brug.

Et godt Ai-inventory bør som minimum vise:

• Navn på værktøj eller system
• Hvad det bruges til
• Hvem der bruger det
• Om det behandler persondata, fortrolige data eller kundedata
• Om brugen er godkendt
• Hvem der ejer beslutningen internt
• Om der kræves særlig træning eller kontrol

Det er her, mange opdager, at Ai allerede er i drift — bare uden struktur. Og når noget er i drift uden struktur, så har man ikke innovation. Så har man bare fart på uden rat.

Godkendt brug er bedre end forbud og løse mavefornemmelser

Nogle virksomheder går i panik og siger: "Vi forbyder bare Ai."

Det virker sjældent. For medarbejdere bruger det alligevel, hvis det sparer tid. Ikke fordi de vil snyde. Men fordi de har en opgave, en deadline og en hverdag, der ikke bliver mindre travl af, at ledelsen sender en PDF-politik på 14 sider.

Derfor bør virksomheden dokumentere godkendt brug. Det betyder, at I skelner mellem grøn, gul og rød brug.

Grøn brug kan være opgaver som idégenerering, omskrivning af ikke-fortroligt materiale, strukturering af noter eller generelle tekstudkast.

Gul brug kan være opgaver, hvor der indgår kundedata, interne tal, HR-relateret information eller forretningskritiske vurderinger. Her skal der være klare regler og menneskelig kontrol.

Rød brug kan være opgaver, hvor Ai ikke må bruges — fx indtastning af følsomme oplysninger i åbne værktøjer, automatiserede beslutninger om personer uden vurdering, eller brug af Ai til noget, der klart overskrider lov, etik eller sund fornuft.

Det vigtige er ikke farverne. Det vigtige er, at medarbejderne ved, hvad de må. Og at virksomheden kan vise, at den har taget stilling. Det er dokumentation i praksis.

Kompetencetræning skal kunne vises — ikke bare nævnes

Artikel 4 i Ai Act handler om Ai-færdigheder. Kort sagt skal virksomheder, der udbyder eller bruger Ai-systemer, tage forholdsregler for at sikre et passende niveau af Ai-kompetence hos medarbejdere og andre, der bruger systemerne på deres vegne.

Det betyder ikke, at alle skal på en tre-dages teknisk masterclass. Gud fri os.

Men det betyder, at virksomheden bør kunne vise, at folk er klædt fornuftigt på. For en SMV kan det være en enkel træningslog med svar på:

• Hvem har fået introduktion?
• Hvilke værktøjer må de bruge?
• Hvilke risici er de blevet gjort opmærksomme på?
• Har de lært om hallucinationer, datadeling, kildekritik og menneskelig kontrol?
• Har de forstået virksomhedens regler for godkendt brug?

EU-Kommissionen siger direkte, at der ikke kræves et bestemt certifikat for artikel 4. Virksomheder kan føre interne optegnelser over træning og vejledning.

Det er en vigtig pointe. For det betyder, at SMV'er ikke behøver at købe sig fattige i symbolsk compliance. Men de skal kunne vise, at de har gjort noget. Der er forskel på "vi har styr på det" og "her kan du se, hvordan vi har styr på det". Det sidste er dokumentation.

Vil du have hjælp til at strukturere kompetencetræningen? Se vores Operationel Ai PRO-kursus — der er designet til at klæde teams på i praksis.

Dokumentationssamling: saml beviserne ét sted

En af de største fejl, jeg ser, er at dokumentationen ligger spredt overalt. En politik i Teams. Et kursusbevis i mailen. En liste over værktøjer i Excel. En beslutning fra ledelsen i et mødereferat. En leverandørmail i indbakken hos en medarbejder, der stopper om tre måneder.

Det er ikke overblik. Det er digital rodekasse. Og ja, vi har alle sammen været der.

En praktisk dokumentationssamling bør samle det vigtigste ét sted:

• Ai-inventory
• Godkendt brug
• Interne retningslinjer
• Træningslog
• Leverandørdokumentation
• Beslutningsnotater
• Risikovurderinger for særlige brugssager
• Eventuelle instruktioner til medarbejdere

Det behøver ikke være tungt. Men det skal være levende.

Derfor giver det mening at bruge et system som Zitado, hvor virksomheden kan samle Ai-inventory, godkendt brug, dokumentation, kompetencetræningslog og det generelle overblik. Ikke for at gøre compliance smart. Men for at gøre den håndterbar. For det er her, mange virksomheder knækker halsen. Ikke på reglerne. Men på rodet.

Højrisiko-Ai kræver mere — men de fleste SMV'er skal starte et andet sted

Ai Act arbejder risikobaseret. Nogle former for Ai er forbudte. Nogle er højrisiko. Nogle har særlige transparenskrav. Og meget almindelig brug ligger lavere i risikobilledet.

Hvis din virksomhed bruger Ai til HR-screening, kreditvurdering, adgang til væsentlige ydelser, biometriske løsninger eller lignende, skal der mere til. Så taler vi ikke bare om en enkel træningslog og en værktøjsliste. Så skal der arbejdes langt mere grundigt med risikostyring, teknisk dokumentation, instruktioner, menneskeligt tilsyn, logning og leverandørstyring.

Omnibus VII-aftalen fra 7. maj 2026 lægger op til, at visse højrisikoregler får nye datoer: 2. december 2027 for stand-alone højrisiko-Ai og 2. august 2028 for højrisiko-Ai indbygget i produkter. Men aftalen skal formelt vedtages, og den ændrer ikke ved, at højrisiko-brug kræver alvorlig forberedelse.

Min pointe er enkel: Brug ikke udskudte datoer som sovepude. Brug dem som arbejdsro.

Har I højrisiko-Ai i jeres organisation? Læs om vores Ai Act-rådgivning — vi hjælper med hele forløbet fra klassificering til dokumentation.

Den dokumentation, de fleste SMV'er bør starte med

Hvis du sidder som ejerleder og tænker: "Fint, men hvor starter jeg mandag morgen?" — her er den korte version.

Ét: Lav et Ai-inventory. Få overblik over alle Ai-værktøjer og den faktiske brug.

To: Definér godkendt brug. Hvad må medarbejderne bruge Ai til — og hvad må de ikke?

Tre: Lav en enkel Ai-politik. Ikke 30 sider. Bare klare regler, som folk kan forstå og faktisk følge.

Fire: Dokumentér kompetencetræning. Hvem er trænet, i hvad, og hvornår?

Fem: Saml dokumentationen ét sted. Med ansvarlig person. Med faste opdateringer.

Det er ikke perfekt. Men det er et stærkt fundament. Og langt bedre end at vente på den store compliance-øvelse, som alligevel aldrig får plads i kalenderen.

Min holdning

Jeg mener, at mange SMV'er griber Ai Act forkert an. De tror, de skal vælge mellem to ting: enten ignorere det hele — eller bygge et tungt administrativt apparat med mapper, politikker, jurister og møder nok til at slå enhver arbejdsglæde ihjel.

Der findes en tredje vej. Start praktisk. Få overblik. Træn folk. Sæt rammer. Dokumentér det vigtigste. Og byg videre, hvis jeres brug kræver det.

Ai Act dokumentation skal ikke være en byrde, der kvæler brugen af Ai. Den skal være det stillads, der gør, at virksomheden kan bruge Ai med mere ro i maven. For det er faktisk hele pointen. Ikke at bremse Ai. Men at bruge Ai ordentligt.

Og hvis dokumentationen bliver lavet rigtigt, hjælper den ikke kun med compliance. Den hjælper også ledelsen med at se, hvor Ai allerede skaber værdi, hvor der er risiko, og hvor virksomheden bør sætte næste skridt ind. Det er ikke papirarbejde. Det er ledelsesoverblik.

Vil du have hjælp til at komme i gang? Se hvad vi tilbyder som Ai Act-konsulent — eller læs vores overblik over hele Ai Act-forordningen.