Nøglen til at forstå AI Act’s ansvarsfordeling
3: AI ACT
Når virksomheder begynder at bruge AI, sker det ofte gradvist. Først i små, interne sammenhænge og senere i mere forretningskritiske processer. På et tidspunkt opstår spørgsmålet:
Hvem har ansvaret, når beslutninger i praksis bliver truffet af et system ved hjælp af AI?
Det korte svar er: Virksomheden har ansvaret uanset om beslutningen træffes direkte af et menneske eller med støtte fra AI. AI Act regulerer ikke kunstig intelligens som teknologi, men din virksomheds valg om at anvende AI i sammenhænge, hvor mennesker, rettigheder og væsentlige beslutninger påvirkes. AI Act flytter fokus væk fra selve teknologien og hen på den måde virksomheder styrer, overvåger og dokumenterer brugen af AI på. Det er her at governance og GDPR spiller en afgørende rolle.
AI kan ikke overlades til sig selv
AI-systemer er dynamiske. De ændrer sig, når data ændrer sig, når brugen udvides, og når systemer integreres dybere i organisationen. Et system, der fungerer korrekt og compliant i dag, kan give problemer i morgen uden at nogen aktivt har ændret det selve systemets funktionalitet.
Derfor kræver AI Act, at din virksomhed ikke blot implementerer AI, men har løbende kontrol over den. Governance er den struktur, der gør det muligt. Den sikrer, at din virksomhed kan:
- bevare overblik over, hvor AI bruges i hele virksomheden
- opdage fejl og utilsigtede effekter af brugen
- reagere hurtigt, hvis noget går galt
- forklare og dokumentere beslutninger over for brugere og myndigheder
Uden governance er AI i praksis ulovligt at anvende og endnu sværere at forsvare ved et tilsyn.
Hvad governance betyder i praksis
Governance handler ikke om lange dokumenter, men om at kunne træffe klare beslutninger i hverdagen. I praksis forventer AI Act, at virksomheden kan svare på spørgsmål som:
- Hvem har det overordnede ansvar for AI-systemet?
- Hvem må ændre det – og hvornår?
- Hvordan overvåges systemet i drift?
- Hvad sker der, hvis AI’en træffer en forkert beslutning?
AI Act stiller ikke krav om bestemte værktøjer eller teknologier, men om virksomhedens evne til at forklare og dokumentere sine valg. To virksomheder kan derfor være compliant på forskellige måder, men ingen kan fralægge sig ansvaret. For at kunne svare på det, har de fleste virksomheder brug for:
- et tydeligt ejerskab for hvert AI-system
- faste processer for ændringer og nye anvendelser
- løbende overvågning af output og adfærd
- klare procedurer for fejl, klager og afvigelser
Risiko afhænger af anvendelsen
Et af de vigtigste principper i AI Act er, at risiko vurderes ud fra formål. Det samme AI-værktøj kan være uproblematisk i én sammenhæng og kritisk/ulovligt i en anden.
Et system, der bruges til intern research, udgør sjældent en stor risiko. Bruges AI derimod til at vurdere jobansøgere, kreditværdighed eller sundhedsoplysninger, ændrer kravene sig markant.
Det er altså ikke AI-teknologien i sig selv, der er højrisiko, men virksomhedens beslutning om at bruge den i bestemte sammenhænge. Derfor skal virksomheder altid vurdere:
- hvem AI påvirker
- hvor stor betydning output har
- hvad konsekvensen er, hvis systemet tager fejl
- om der er risiko for forskelsbehandling
Risikovurderingen er fundamentet for korrekt governance, dokumentation og kontrol.
Samspillet med GDPR: Når AI behandler mennesker
Når AI behandler persondata eller indgår i beslutninger om mennesker, aktiveres centrale GDPR-krav. Særligt to områder er afgørende.
Automatiske afgørelser: Hvis AI anvendes til afgørelser, der har væsentlig betydning for en person – fx afslag, frasortering eller tildeling af ydelser, må systemet ikke stå alene.
Der skal være reel menneskelig kontrol ind over sådanne beslutninger. Dette betyder, at et menneske skal kunne:
- forstå beslutningsgrundlaget
- vurdere rimeligheden
- ændre eller omgøre beslutningen
Formel godkendelse af en AI beslutning er ikke nok. Kontrollen skal reelt vurdere beslutningens indhold.
Ved højrisikoanvendelser kræves der en persondataretlig konsekvensanalyse (DPIA). Analysen har til formål at vurdere, om risikoen ved anvendelsen af et system eller en proces for de berørte personer kan reduceres til et acceptabelt niveau. Hvis dette ikke er muligt, må AI-løsningen i praksis ikke anvendes.
Dermed bliver DPIA’en ikke blot et juridisk krav, men et konkret beslutningsværktøj, der tvinger virksomheden til at tage stilling til, om formålet er legitimt og proportionalt, og ikke kun om teknologien fungerer.
Gennemsigtighed: At vide, hvornår AI er på spil
AI Act stiller flere generelle krav til alle AI systemer og værktøjer. Mennesker må ikke være i tvivl om, når de interagerer med AI. Det betyder, at virksomheder skal være åbne om:
- brug af chatbots
- AI-genereret indhold
- automatiseret sagsbehandling
- AI’s rolle i beslutningsprocesser
Gennemsigtighed handler ikke om at forklare algoritmer i detaljer, men om at gøre virksomhedens brug af AI forståelig for dem, der påvirkes af den.
Logning og løbende overvågning
Når AI bruges i praksis, skal virksomheden kunne forklare, hvad der skete, hvis noget går galt. Det kræver, at der findes spor. Logning og overvågning gør det muligt at dokumentere:
- hvornår systemet blev anvendt
- hvilket output det gav
- om og hvornår mennesker greb ind
- hvordan fejl blev håndteret
Uden logning er der ingen forklaring. Og uden forklaring er der ingen ansvarlighed – hverken over for brugere eller myndigheder.
En overskuelig vej frem
Det handler ikke om at eliminere risiko, men om at kunne styre, forklare og stå på mål for den. For de fleste virksomheder kan arbejdet med AI Act samles i nogle få, klare skridt:
- få overblik over, hvor AI anvendes
- afklar formål og risikoniveau
- fastlæg ansvar og roller
- sikr menneskelig kontrol, hvor det er nødvendigt
- dokumentér beslutninger og ændringer løbende