AI Act er ikke et IT-problem

Bruger du AI til at screene ansøgere, vurdere performance eller forberede ansættelsesbeslutninger? Så er du i EU AI Acts høj-risiko-kategori — uanset hvad du hedder på dit visitkort.

Denne guide forklarer hvad det kræver af dig i praksis. Del 1 er til dig der vil vide om det gælder dig og hvad du skal gøre. Del 2 er til dig der vil have hele det juridiske fundament.

Bemærk: Denne guide er et praktisk overblik og er ikke juridisk rådgivning. Din virksomheds konkrete situation kan kræve individuel juridisk vurdering.

Del 1: Gælder det mig?

Sandsynligvis ja. Ikke fordi du er tekniker eller arbejder med AI professionelt — men fordi du sikkert allerede bruger det uden at tænke videre over det.

Tre situationer der udløser lovens høj-risiko-krav:

Du sorterer ansøgere med AI: Du kopiérer CV’er ind i ChatGPT og beder den fortælle dig hvem der er bedst egnet. Eller dit rekrutteringssystem rangerer kandidater automatisk. Begge dele tæller.

Du bruger AI i medarbejdervurderinger: Du beder AI opsummere en medarbejders performance-data, forbereder en MUS-samtale med AI-hjælp, eller bruger et system der tracker produktivitet og genererer vurderinger.

Du bruger AI til beslutninger om forfremmelse eller afskedigelse: AI’en anbefaler. Du nikker. Det er ikke tilstrækkeligt menneskelig kontrol ifølge loven.

Gælder det dig? Så er du omfattet — uanset om du hedder ejer, direktør, afdelingsleder eller projektleder. Loven skelner ikke på titler. Den skelner på hvad du bruger AI til.

Hvad kræver loven af dig — den korte version

Reel menneskelig kontrol: Den endelige beslutning skal træffes af et menneske der faktisk har vurderet sagen selvstændigt. Et nik til AI’ens anbefaling tæller ikke.

Fortæl de berørte: Kandidater og medarbejdere skal vide at AI indgår i processer der angår dem. Det skal fremgå tydeligt — ikke gemt i en privatlivspolitik.

Dokumentér det: Du skal kunne vise at I har menneskelig kontrol, at de berørte er informeret, og at systemet bruges til det det er beregnet til.

Den hurtige tjekliste

Brug den i dit næste ledermode. Det tager 20 minutter.

KORTLÆGNING: Vi ved hvilke AI-systemer og AI-funktioner vi bruger i HR. Vi ved hvem der er ansvarlig for hvert system.

MENNESKELIG KONTROL: Vores HR-beslutninger træffes af mennesker der har vurderet selvstændigt — ikke bare godkendt AI-output. De ansvarlige kender systemernes begrænsninger.

TRANSPARENS: Kandidater ved at vi bruger AI i rekruttering. Medarbejdere ved at vi bruger AI i evalueringer.

DOKUMENTATION: Vi kan dokumentere ovenstående hvis myndighederne spørger.

Mangler I flueben? Så er Del 2 for jer.

Del 2: Hvad loven faktisk siger

EU AI Act — det korte overblik

EU AI Act (Forordning 2024/1689) er EU’s bindende lovgivning om kunstig intelligens. Den trådte i kraft 1. august 2024 og indfases gradvist:

2. februar 2025: Forbud mod uacceptable AI-praksisser — allerede gældende.

2. august 2025: Krav til udbydere af generelle AI-modeller som ChatGPT og Gemini — allerede gældende.

2. december 2027: De fulde krav for høj-risiko AI-systemer — herunder HR.

Om tidslinjen: Fristen var oprindeligt august 2026, men Europa-Parlamentet og Rådet nåede den 7. maj 2026 en foreløbig politisk aftale om at udskyde den til december 2027. Aftalen er endnu ikke formelt vedtaget. Rådet er det samme uanset præcis dato: begynd forberedelserne nu.

Hvornår er AI i HR høj-risiko?

Annex III i AI Act definerer otte kategorier af høj-risiko AI-systemer. Kategori 4 dækker beskæftigelse og HR. Et AI-system er høj-risiko når det bruges til:

Rekruttering og udvælgelse: Systemer der analyserer CV’er, filtrerer ansøgninger, scorer kandidater, gennemfører automatiserede interviews eller forudsiger egnethed til en stilling.

Adgang til beskæftigelse og karriereudvikling: Systemer der understøtter beslutninger om forfremmelse, opgavetildeling, kompetenceudvikling eller afskedigelse.

Overvågning og performance-evaluering: Systemer der overvåger produktivitet, adfærd eller præstation på arbejdspladsen med henblik på vurdering.

Tommelfingerreglen: bruges systemet til at påvirke en beslutning der direkte angår en enkeltpersons ansættelsesforhold, er det sandsynligvis høj-risiko. Er du i tvivl, anbefales en juridisk vurdering.

Hvad kræver loven af dig som deployer?

„Deployer“ er lovens term for den virksomhed der tager et AI-system i brug. Det er dig.

Menneskelig kontrol: Der skal udpeges ansvarlige personer med kompetence til at forstå systemets kapaciteter og begrænsninger — og til at gribe ind eller stoppe det. Kontrollen skal være reel, ikke formel.

Brug i overensstemmelse med formålet: Systemet må kun bruges til det formål det er dokumenteret til. Bruger I det til andet, overtager I et ansvar der normalt ligger hos leverandøren.

Transparens over for berørte personer: Medarbejdere og kandidater skal informeres om AI-brug i processer der angår dem. Det følger af AI Acts artikel 26, stk. 7.

Overvågning og indberetning: I skal overvåge systemets drift og indberette alvorlige hændelser til myndighederne.

Leverandørens compliance er ikke nok: Selvom jeres AI-leverandør er compliant, fritager det ikke jer. I har selvstændige forpligtelser under artikel 26 som ikke kan outsources.

Hvad med ChatGPT og andre generelle AI-værktøjer?

Det er et genuint uafklaret område i lovgivningen, og der er ikke entydig vejledning endnu.

Det der er klart: bruger I systematisk et generelt AI-værktøj til at screene, rangere eller vurdere kandidater eller medarbejdere, bevæger I jer ind i høj-risiko-territoriet — uanset at modellen ikke er designet specifikt til HR.

Det praktiske råd: kortlæg al AI-brug i HR — også den uformelle — og tag stilling til om den involverer vurdering af enkeltpersoner.

Tilsyn i Danmark

Digitaliseringsstyrelsen er udpeget som national koordinerende tilsynsmyndighed for AI-forordningen i Danmark. Find vejledning og opdateringer på digst.dk.

Datatilsynet er udpeget som tilsynsmyndighed for specifikke bestemmelser i forordningen. For HR-AI der involverer behandling af persondata vil der være overlap med Datatilsynets GDPR-tilsyn.

Hvad gør I nu — trin for trin

Trin 1: Kortlæg jeres AI-brug i HR. Lav en liste over alle AI-systemer og AI-funktioner der bruges i HR-processer. Inkluder navngivne HR-systemer med AI-funktioner, generelle AI-værktøjer brugt af HR-medarbejdere og ledere, og automatiseringer der inkluderer AI-komponenter. Spørg ikke kun HR — spørg de ledere der ansætter og evaluerer.

Brug dette prompt i ChatGPT Team eller Gemini Business/Enterprise — begge er GDPR-konforme og bruger ikke jeres data til træning: „Vi er en virksomhed med [antal] ansætte. Her er en liste over de AI-systemer og AI-funktioner vi bruger i HR: [liste]. Hjælp mig med at vurdere hvilke der sandsynligvis falder under høj-risiko-kategorien i EU AI Act Annex III punkt 4, og hvad vi som deployer bør undersøge nærmere.“ Brug svaret som startpunkt — ikke som juridisk afgjørelse.

Trin 2: Identificer hullerne. For hvert system eller AI-brug du har identificeret som mulig høj-risiko: er der menneskelig kontrol dokumenteret? Er de berørte informeret? Har I leverandørens dokumentation?

Trin 3: Book mødet. Hold et møde med ledelse og juridisk ansvarlig. Dagsorden: hvilke processer kræver handling, hvem ejer det, hvad er tidsplanen?

Trin 4: Følg de officielle kilder. Hold øje med digst.dk (Digitaliseringsstyrelsen), datatilsynet.dk og ai-act.eu (EU AI Offices officielle ressourcer).

Tjekliste

KORTLÆGNING: Vi har en komplet liste over AI-systemer brugt i HR. Vi ved hvilke der er høj-risiko. Vi ved hvem der er ansvarlig for hvert system.

MENNESKELIG KONTROL: Vi har en dokumenteret proces for menneskelig godkendelse af AI-output i HR. Ledere der bruger AI i beslutninger er instrueret i deres ansvar. Vi kan dokumentere at den menneskelige beslutning er selvstændig.

TRANSPARENS: Kandidater informeres om AI-brug i rekrutteringsprocessen. Medarbejdere informeres om AI-brug i performance-processer. Informationen er forståelig og fremgår tydeligt.

DOKUMENTATION: Vi har teknisk dokumentation for vores høj-risiko AI-systemer. Vi logger output fra AI-systemer brugt i HR-beslutninger. Vi har bedt relevante leverandører om AI Act-dokumentation.

LØBENDE: Vi følger opdateringer fra Digitaliseringsstyrelsen og Datatilsynet.

Skrevet af Pernille Sten Kjerumgaard, CSO hos E-skilte og grundlægger af HeyAI.dk. Sidst opdateret maj 2026. Denne guide opdateres i takt med at der kommer officiel vejledning fra Digitaliseringsstyrelsen og EU AI Office. Har du brug for juridisk vurdering af din konkrete situation, anbefaler vi at kontakte en advokat med speciale i databeskyttelse og AI-regulering.