EU AI Act

Hvad er Ai Act? En praktisk guide til danske virksomheder

Ai Act er ikke noget der kommer – det er gældende ret siden august 2024. Denne guide forklarer hvad EU's Ai-forordning betyder for din virksomhed, hvilke risikokategorier der gælder, og hvad du skal gøre nu. Uden jurasprog.

Lasse Biegala Siig//8 min

Du bruger sandsynligvis allerede Ai-systemer, der er omfattet af EU's nye lov – Ai Act Forordningen.

Spørgsmålet er bare om du ved det.

Ai Act er ikke noget der kommer. Det er ikke noget du kan vente med til efteråret. Det er gældende ret – siden august 2024 – og det gælder din virksomhed, uanset om du bygger Ai eller bare bruger det.

Lad mig forklare hvad det faktisk betyder. Uden jurasproget.

Af Lasse Siig, Ai Act-konsulent & Founder – ZELLERT Ai

Kort overblik (TL;DR)

  • Ai Act trådte i kraft august 2024 og gælder direkte i Danmark – ingen særskilt dansk lovgivning nødvendig.
  • Loven gælder ikke kun dem der bygger Ai. Den gælder alle der bruger det i deres virksomhed.
  • Som idriftsætter har du forpligtelser – uanset om du bruger ChatGPT, Copilot eller et Ai-system integreret i dit HR- eller CRM-system.
  • De store krav træder i kraft august 2026. Det lyder som god tid. Det er det ikke.
  • Bøden kan løbe op til 35 millioner euro eller 7% af global omsætning.

"Du skal forholde dig til Ai Act, hvis du bruger Ai. For reglerne gælder allerede."
– Lasse Siig, ZELLERT Ai

Det er ikke et tech-problem. Det er dit problem.

Den misforståelse jeg møder oftest:

"Ai Act gælder vel OpenAi og Google – ikke os?"

Nej.

Ai Act skelner mellem udbydere (dem der har bygget Ai-systemet) og idriftsættere (dem der tager det i brug). Bruger du ChatGPT Business, Microsoft Copilot eller et HR-system med en Ai-funktion der rangerer kandidater – er du idriftsætter. Og som idriftsætter har du forpligtelser under loven.

Det gælder langt de fleste danske virksomheder. Herunder med stor sandsynlighed din.

Danmark er faktisk det EU-land med den højeste Ai-adoption – 42% af virksomhederne bruger Ai, mod et EU-gennemsnit på 20%. Vi er relativt set mere berørt end noget andet EU-land. Og alligevel har de færreste en plan.

Hvornår bliver det et Ai Act-problem?

Ai Act opdeler Ai-systemer i fire risikokategorier. Niveauet bestemmer hvad du skal gøre.

Forbudt – gælder nu

Social scoring, manipulerende Ai rettet mod sårbare grupper, masseovervågning via ansigtsgenkendelse. Totalforbudt siden februar 2025.

Høj risiko – gælder fra august 2026

Ai der direkte påvirker menneskers liv og rettigheder. Rekruttering er det klassiske eksempel: sorterer dit system CV'er eller rangerer kandidater, er det højrisiko. Det samme gælder kreditvurdering, eksamensbedømmelse og Ai i sundhedsvæsenet. Her kræves risikovurdering, dokumentation og menneskeligt tilsyn.

Begrænset risiko – gælder fra august 2026

Chatbots og Ai-genereret indhold. Kravet er primært gennemsigtighed – brugerne skal vide de taler med Ai.

Minimal risiko – ingen særlige krav

Spam-filtre, auto-korrektur, Ai i computerspil. Langt de fleste Ai-systemer falder her.

Tommelfingerreglen: Bruger din Ai til at træffe eller understøtte beslutninger der påvirker et menneskes job, økonomi, uddannelse eller helbred – er det sandsynligvis højrisiko.

Det er dig, der er ansvarlig

Her er det de fleste ikke forstår.

Har du taget et Ai-system i brug i din virksomhed – købt, lejet eller bygget – er du deployeren. Og det betyder konkret at du er ansvarlig for:

  • Artikel 9 – Risikostyring: Du skal have et dokumenteret system til at identificere og håndtere risici. Løbende, ikke kun ved lancering.
  • Artikel 10 – Datakvalitet: De data systemet bruger og producerer skal være veldokumenterede.
  • Artikel 13 – Transparens: Systemet skal kunne forklare hvad det gør og hvorfor. Brugerne skal vide de interagerer med Ai.
  • Artikel 14 – Menneskelig kontrol: Der skal være reel menneskelig oversigt over systemets beslutninger – ikke som formalitet, men som faktisk mekanisme.

Det lyder som meget. Det er det også, hvis man starter fra nul i august 2026.

Skygge-Ai: det ingen taler om

Her er compliance-risikoen de fleste guides springer over.

En del af de Ai-systemer du er ansvarlig for, har du aldrig aktivt valgt.

De er allerede der. Integreret i software du bruger til daglig. Dit CRM der foreslår næste handling. Dit regnskabsprogram der flagger anomalier. Din HR-platform der rangerer ansøgere – måske uden nogen i ledelsen ved at funktionen findes.

Jeg talte for nylig med en produktionsvirksomhed på Sjælland. 65 ansatte, veldrevet. De brugte et HR-system med en Ai-funktion der automatisk rangerede jobansøgere. Ingen i ledelsen vidste den var der. Ingen dokumentation, ingen risikovurdering, ingen procedure for menneskeligt tilsyn.

Ikke fordi de var uansvarlige. Men fordi ingen havde spurgt.

Det er ikke et særtilfælde. Det er reglen.

"Vi bruger det bare internt" er ikke en fritagelse

Den næstmest udbredte misforståelse: "Vi er ikke et tech-firma – det gælder vel ikke os?"

Jo. Det gælder dig.

Ai Act gælder ikke kun for dem der sælger Ai-systemer. Det gælder alle der tager dem i brug – også til intern brug. Bruger du et Ai-system til at screene jobansøgere, vurdere medarbejdere eller træffe beslutninger om kunder, er du deployer. Punktum.

Hvad gælder allerede nu?

Her er tidslinjen mange tager fejl af:

  • Februar 2025 – Forbuddet mod uacceptabel risiko trådte i kraft. Og Ai literacy-kravet (artikel 4) gælder allerede: medarbejdere der arbejder med Ai skal have tilstrækkelige færdigheder til at bruge det ansvarligt.
  • August 2026 – Kravene til høj-risiko Ai og gennemsigtighed træder i kraft. Det er fire måneder væk. Og compliance er ikke noget man bygger på en weekend.

Du er allerede i gang med Ai. Reglerne gælder allerede.

Hvorfor det er forretningsstrategi – ikke jura

Jeg hører ofte: "Vi venter på at se hvad der sker."

Det er en dårlig strategi.

Ikke primært fordi bøderne er store – op til 35 millioner euro eller 7% af global omsætning for de alvorligste overtrædelser. Men fordi de virksomheder der handler nu, kender deres Ai-systemer. De ved hvad der kræves. Og de kan positionere sig som troværdige samarbejdspartnere i et marked hvor ansvarlig Ai-brug er ved at blive et konkurrenceparameter.

Ai Act er ikke jura. Det er forretningsstrategi.

Start med tre spørgsmål:

  1. Hvilke Ai-systemer bruger vi – inklusive dem der gemmer sig i eksisterende software?
  2. Hvilken risikokategori er de i?
  3. Har vores medarbejdere de Ai-færdigheder loven kræver?

Svarene fortæller dig præcis hvor du skal starte.

FAQ – de spørgsmål jeg får oftest

FAQ

Korte svar om emnet.

Gælder Ai Act også for små virksomheder?

Ja. Der er ingen omsætningsgrænse eller medarbejdergrænse. Loven gælder alle virksomheder der bruger, sælger eller implementerer Ai-systemer i EU – uanset størrelse. En SMV med 10 ansatte der bruger et Ai-baseret rekrutteringsværktøj er omfattet på præcis samme måde som en stor virksomhed.

Vi bruger kun ChatGPT til at skrive tekster. Er vi så også omfattet?

Sandsynligvis i begrænset grad. Generativ Ai til tekstproduktion falder typisk under kategorien begrænset risiko – her er kravet primært at brugerne skal vide de interagerer med Ai, og at Ai-genereret indhold mærkes korrekt. Men bruger I ChatGPT til at træffe eller understøtte beslutninger om mennesker, ændrer billedet sig.

Hvornår skal vi egentlig have styr på det?

Forbudskategorier og Ai literacy-kravet (artikel 4) gælder allerede siden februar 2025. Kravene til høj-risiko systemer og gennemsigtighed træder i kraft 2. august 2026. Det lyder som god tid – men compliance er ikke noget man bygger på en weekend.

Hvad er den største fejl danske virksomheder laver?

At tro de ikke er berørt. Den næststørste fejl er at vente. Mange virksomheder bruger Ai-systemer med potentielle høj-risiko funktioner – uden at vide det. Første skridt er altid at kortlægge hvad man faktisk bruger, inklusive de Ai-funktioner der gemmer sig i eksisterende software.

Kan jeg bare bede ChatGPT om at skrive min Ai-politik og så er jeg dækket ind?

Nej. Det vi kalder 'vibe compliance' – at generere dokumenter med Ai og tro man er compliant – er en af de farligste fælder. Det er ikke dokumentet der gør dig compliant. Det er det arbejde der ligger bag: risikovurderingen, de faktiske kontroller, den menneskelige oversigt.

Sidst opdateret

Læs også

EU AI Act

Vibe Coding og Ai Act: Det ansvar du ikke kan prompte dig ud af

Vibe Coding er hurtigt og tilgængeligt – men ansvaret under Ai Act er dit, uanset om du selv skrev koden.

EU AI Act

Ai-Act: Derfor skal virksomheder tage det seriøst (og hvordan det vendes til en fordel)

Bruger din virksomhed ChatGPT, HubSpot eller andre Ai-værktøjer? Så gælder Ai-Act også jer. Her er hvad det kræver – og hvordan du vender det til en fordel.

Vil du tale om hvad det betyder hos jer?

Vi kan tage en kort samtale om jeres brug af Ai og de næste praktiske skridt.