Ai vibe coding kan koste dig 35.000.000 €
Du har hørt om Vibe Coding.
Måske har du prøvet det.
Måske har du allerede brugt det til at bygge noget i din virksomhed.
Det er hurtigt. Det er tilgængeligt. Og det giver pludselig alle mulighed for at bygge software - uden at kunne kode.
Men EU's Ai Act er ligeglad med hvem der skrev koden. Det er dig, der bærer ansvaret.
Skrevet af Lasse Siig, Ai-rådgiver & Founder – ZELLERT Ai
Kort overblik
• Vibe Coding er, når man prompter sig til færdig kode uden nødvendigvis at forstå hvad koden gør. Hurtigt og tilgængeligt - men ikke ansvarsfrit.
• Ai Act stiller krav til systemer der bruges til rekruttering, kreditvurdering, uddannelse og biometrisk identifikation - uanset hvordan de er bygget.
• Som deployer er det dig, ikke OpenAi eller Cursor, der har ansvaret.
• Vibe-codet software mangler typisk den dokumentation, risikovurdering og menneskelige kontrol Ai Act kræver.
• Bøden kan løbe op til 35 millioner euro eller 7% af global omsætning.
"Vibe Coding er ikke i sig selv ulovligt. Men det du bygger med det - kan være det. Og ansvaret er dit."
Hvad er Vibe Coding - og hvorfor er det eksploderet?
Andrej Karpathy - en af OpenAi's grundlæggere - møntede begrebet i februar 2025. Idéen er enkel: du beskriver hvad du vil have på almindeligt dansk, og Ai'en bygger det. Du ser ikke rigtig på koden. Du tester, justerer prompten, shipper.
Det er ikke længere nyt. I 2026 er Vibe Coding den måde tusindvis af nye udviklere lærer at bygge software på - og erfarne udviklere har integreret det i deres daglige workflow. LinkedIn udsteder nu certifikater i det. Der afholdes konferencer om det. Teknologisk Institut, Grakom og Finansforbundet tilbyder kurser.
Det er mainstream. Og det er her problemet starter.
For når Vibe Coding går fra at være et legetøj for tech-folk til at være det værktøj ejerlederen bruger til at bygge et rekrutteringsystem, en chatbot til kundeservice eller et screeningsværktøj til kreditvurdering - så er vi inde i Ai Act-territorium.
Hvornår bliver det et Ai Act-problem?
Ai Act klassificerer Ai-systemer efter risiko. Det meste af det I bygger med Vibe Coding falder sandsynligvis i kategorien 'begrænset risiko' eller 'minimal risiko' - og der er ikke de store krav.
Men der er en kategori, der ændrer alt: høj-risiko systemer.
Bilag III i Ai Act lister de områder, hvor kravene er skrappe. Det er ikke kun systemer bygget af tech-giganter. Det er systemer som mange SMV'er allerede bruger eller overvejer at bygge:
• Rekruttering og HR - screening af CV'er, rangering af ansøgere, beslutning om ansættelse
• Kreditvurdering - vurdering af kreditværdighed for privatpersoner og virksomheder
• Uddannelse - systemer der evaluerer elever eller bestemmer adgang til uddannelse
• Biometrisk identifikation - ansigts- eller stemmeidentifikation
Har du brugt Vibe Coding til at bygge noget der ligner ovenstående? Så er du inde i høj-risiko territorium - uanset at det var Cursor der skrev koden og ikke dig.
Det er dig, der er deployeren
Her er det, de fleste ikke forstår.
Ai Act opererer med to centrale roller: providere (dem der laver Ai-systemet - fx OpenAi, Google, Anthropic) og deployere (dem der tager det i brug i deres virksomhed).
Som SMV-ejerleder der bygger et internt rekrutteringsværktøj med Lovable eller ChatGPT og sætter det i drift - er du deployeren.
Det betyder, at du er ansvarlig for:
Artikel 9 - Risikostyring: Du skal have et dokumenteret system til at identificere og håndtere risici ved dit Ai-system. Løbende, ikke kun ved lancering.
Artikel 10 - Datakvalitet: De data systemet bruger og producerer skal være veldokumenterede. Hvad træner det på? Hvad outputter det? Hvem ser det?
Artikel 13 - Transparens: Systemet skal kunne forklare, hvad det gør og hvorfor. Brugerne skal vide de interagerer med et Ai-system, og beslutninger skal kunne begrundes.
Artikel 14 - Menneskelig kontrol: Der skal være reel menneskelig oversigt over systemets beslutninger. Ikke som formalitet, men som faktisk mekanisme.
Vibe-codet software lever sjældent op til disse krav. Ikke fordi Ai'en er dårlig - men fordi ingen har tænkt dokumentation, risikovurdering og oversight ind fra starten.
Den farlige falske tryghed
Der er et begreb der cirkulerer i internationale juridiske kredse: "vibe compliance". Det dækker over det at bruge Ai til at generere en risikovurdering, en compliance-rapport eller en politik - og så tro man er dækket ind.
Vibe compliance er Ai Act-svarende til at bede ChatGPT om at skrive en GDPR-politik og så tro man er GDPR-compliant. Dokumentet eksisterer. Indholdet er genereret. Realiteten er ikke ændret.
ZELLERT Ai's Ai Act-specialist Kamilla:
"Det er ikke dokumentet der gør dig compliant. Det er det arbejde der ligger bag dokumentet - risikovurderingen, de faktiske kontroller, den menneskelige oversigt. Ai kan hjælpe med at skrive det ned. Men det erstatter ikke processen."
"Vi bruger det bare internt" er ikke en fritagelse
Den mest udbredte misforståelse jeg møder: "Vi er ikke et tech-firma, vi bruger det bare internt - det gælder vel ikke os?"
Jo. Det gælder dig.
Ai Act gælder ikke kun for dem der sælger Ai-systemer. Det gælder for alle der tager dem i brug - også til intern brug. Bruger du et Vibe-codet system til at screene jobansøgere, vurdere medarbejdere eller træffe beslutninger om kunder, er du deployer. Punktum.
Og som deployer er bødeniveauet op til 35 millioner euro eller 7% af din globale omsætning for de alvorligste overtrædelser.
Hvad gør du nu?
Det er ikke en opfordring til at stoppe med Vibe Coding. Det er et stærkt værktøj, og det er kommet for at blive.
Men du skal vide, hvad du bygger. Og du skal vide, hvad det kræver.
1. Kortlæg hvad I har bygget - eller er ved at bygge
Hvilke interne Ai-systemer bruger I? Hvem har bygget dem? Hvad gør de? Falder nogen af dem ind under høj-risiko kategorierne i Ai Act?
2. Find ud af om du er deployer
Tager I et Ai-system i brug i din virksomheds drift? Så er svaret sandsynligvis ja. Det gælder uanset om systemet er købt, lejet eller Vibe-codet.
3. Få en vurdering
Hvis du er i tvivl, er det billigst at finde ud af det nu - ikke når tilsynsmyndigheden banker på.
Se ZELLERT Ai's Ai Act-ydelser eller læs mere om Ai-rådgivning.
Min holdning
Vibe Coding er ikke problemet. Det er et fantastisk værktøj der demokratiserer softwareudvikling og giver ejerledere og teams muligheder, de ikke havde for to år siden.
Problemet er, at ingen af de kurser og workshops der lærer dig Vibe Coding - og der er mange af dem - fortæller dig om ansvaret der følger med. Det er ikke deres job. Men det burde være en del af samtalen.
EU er ikke ude efter Vibe Coding. EU er ude efter at beskytte folk der bliver vurderet, screenet eller sorteret af Ai-systemer de ikke ved eksisterer - og som ingen har ansvaret for.
Det ansvar kan du ikke prompte dig ud af.
Og så er vi slet ikke begyndt at snakke om den anden Eu forordning du kan blive ramt af... Cyber Resilience Act (Også kaldet CRA). Mere om den senere.
Er du usikker på, om dine Ai-systemer kræver noget af dig under Ai Act?
Book et gratis afklaringsmøde, så kigger vi på det sammen.
Book her.
Eller besøg vores dedikerede Ai Act side for at læse mere om operationel Ai-rådgivning og EU Ai Act compliance.
FAQ: Vibe coding og Ai Act.
Hvad er Vibe Coding?
Vibe Coding er, når du bruger Ai til at skrive kode ved at beskrive hvad du vil have på almindeligt sprog - uden nødvendigvis at forstå hvad koden gør. Værktøjer som Cursor, Lovable og ChatGPT er populære til det. Det er hurtigt og tilgængeligt, men det fritager dig ikke for ansvar under EU's Ai Act.
Er Vibe Coding ulovligt?
Nej - Vibe Coding er ikke i sig selv ulovligt. Men det du bygger med det kan være det. Hvis du vibe-coder et system der falder under Ai Acts høj-risiko kategorier - fx til rekruttering, kreditvurdering eller biometrisk identifikation - er du forpligtet til at overholde en række krav til dokumentation, risikovurdering og menneskelig kontrol. Dem lever vibe-codet software sjældent op til fra starten.
Hvem har ansvaret - dig eller Ai-værktøjet?
Dig. Ai Act skelner mellem providere (dem der laver Ai-systemet, fx OpenAI) og deployere (dem der tager det i brug). Når du sætter et Ai-system i drift i din virksomhed, er du deployeren - uanset om du selv har skrevet koden, fået en udvikler til det, eller vibe-codet det på en eftermiddag. Ansvaret følger med brugen, ikke med ophavet til koden.
Gælder AI Act også for interne systemer?
Ja. Det er en udbredt misforståelse at Ai Act kun gælder for tech-virksomheder der sælger Ai-produkter. Forordningen gælder alle der tager Ai-systemer i brug - også til intern brug. Bruger du et system til at screene ansøgere, evaluere medarbejdere eller vurdere kunder, er du deployer og underlagt de relevante krav.
Hvad skal jeg konkret gøre nu?
Start med tre ting: kortlæg hvilke Ai-systemer I bruger eller er ved at bygge, find ud af om de falder under høj-risiko kategorierne i Ai Act, og få en vurdering inden det er nødvendigt. Bøden for de alvorligste overtrædelser kan løbe op til 35 millioner euro eller 7% af global omsætning - det er billigere at afklare det tidligt. Er du i tvivl, kan du tage vores test på Ai-act.dk og se om du/I ligger i højrisiko og den generelle Ai modenhed.
