Den 2. august 2026 træder størstedelen af EU’s AI-forordning i kraft. Det er om fem måneder. Og de fleste danske virksomheder har ikke gjort noget ved det.
Det er ikke fordi forordningen er ny. Den trådte i kraft 1. august 2024. Det har bare ikke føles aktuelt, fordi de første regler kun forbød de mest åbenlyse misbrug – social scoring, manipulation, biometrisk overvågning i det offentlige rum. De ting lavede din virksomhed sandsynligvis ikke alligevel.
Men august 2026 er en anden kategori.
Hvem er du i forordningens øjne?
Det centrale begreb du skal forstå er “deployer” – det ord artikel 3 i AI Act bruger om “en fysisk eller juridisk person der anvender et AI-system under sit ansvar, undtagen når AI-systemet anvendes i forbindelse med en personlig ikke-erhvervsmæssig aktivitet.”
Kort sagt: hvis din virksomhed bruger AI i professionel sammenhæng, er du deployer. Det er ikke kun softwareudviklere og tech-virksomheder. Det er alle, der bruger AI-værktøjer i arbejdsprocesser der påvirker andre mennesker.
Det interessante er hvad der kvalificerer som høj risiko. AI-systemernes risikoniveauer afgøres ikke af teknologien, men af hvad den bruges til. CV-sortering og rekrutteringsværktøjer er eksplicit nævnt som høj-risiko. Det er kreditvurdering. Det er uddannelsesvurderinger der påvirker adgangen til kurser og uddannelsesforløb. Alle disse systemer vil fra august 2026 kræve risikovurderinger, dokumentation, menneskelig oversight og logging.
Transparenskravene gælder de fleste
Selv hvis din virksomhed ikke rør ved nogen af høj-risiko-kategorierne, gælder transparenskravene dig. Fra august 2026 skal AI-genereret indhold mærkes. Chatbots skal oplyse at brugeren taler med en maskine. Deepfakes og AI-genereret tekst der udkommer som journalistik skal markeres tydeligt.
Det lyder måske som en lille ting. Men tænk på hvor mange virksomheder der i dag bruger AI til kundeservice, nyhedsbreve, produktbeskrivelser og pressemeddelelser uden nogen form for mærkning. Det bliver ikke lovligt fra august 2026.
Europa-Kommissionen beskriver det som “specifikke oplysningsforpligtelser for at sikre at mennesker er informerede når det er nødvendigt for at bevare tilliden.” Det er en blød formulering for noget der kommer med bøder på op til 35 millioner euro eller 7 procent af global omsætning.
Det handler ikke om teknologien
Problemet med EU AI Act er det samme som med GDPR: de fleste virksomheder ventede til det var for sent, og så brugte de en formue på panikimplementering.
Forskellen er at AI Act ikke kræver at du bygger noget nyt. Den kræver at du forstår hvad du allerede har. Hvilke AI-systemer bruger I? Til hvad? Hvem er leverandøren, og hvad siger dokumentationen om formål og risikoniveau? Har I processer for menneskelig kontrol der hvor AI påvirker ansatte eller kunder?
Det er spørgsmål om AI-strategi, ikke teknik. Og de tager tid at besvare ordentligt – ikke fordi det er komplekst, men fordi det kræver at du faktisk kortlægger hvad der foregår i din virksomhed.
Fem måneder er nok, hvis du starter nu
Jeg siger ikke at du skal engagere en hær af juridiske rådgivere. Jeg siger at du i de næste måneder bør vide: hvilke AI-systemer anvender vi, hvad kategoriserer de sig som under forordningen, og hvad kræver det af os som deployer?
For mange virksomheder vil svaret være at de primært bruger AI i lav-risiko-sammenhænge, og at transparenskravene er det der faktisk kræver handling. Det er overkommeligt. Men det kræver at nogen faktisk ser på det.
Tag en snak om hvad AI Act betyder for din virksomhed, eller læs om hvordan vi hjælper med AI-strategi og rådgivning.
