close
back
back
close

What are you looking for?

BUSINESS

Find your next talented IT employee
INDIVIDUALS

Are you looking for your next IT job?
back
close

What are you looking for?

BUSINESS

Find your next talented IT employee
INDIVIDUALS

Are you looking for your next IT job?
back
close

What are you looking for?

BUSINESS

Find your next talented IT freelancer
Individual

Are you looking for IT assignments as a freelancer?

2: AI ACT

When the AI Act came into force, a common misunderstanding quickly arose in many companies: "We don't develop AI, so this hardly applies to us."  

But in practice, it is much more nuanced.   

The role of provider or operator does not depend on industry, ambition, or technical maturity, but on how the company interacts with the AI system it uses.  

And the reality is that many companies are already providers without even realizing it.  

Why the division of roles is so crucial  

AI Act bygger blandt andet på det princip, der hedder at den part, der påvirker AI programmets funktionalitet, bærer ansvaret for de risici og konsekvenser der kan opstå ved dets anvendelse.  Derfor er rollefordelingen det første og vigtigste skridt i enhver compliance-proces. Den styrer:  

  • how comprehensive the documentation should be  
  • what technical requirements the company must meet  
  • how deep to go into risk assessments  
  • how burdensome any audit would be  
  • how much responsibility the company bears if the AI makes mistakes  

 

The provider: The one who shapes the AI  

Mange forestiller sig, at en “Udbyder” kun er større virksomheder, nogen der skriver algoritmerne fra bunden og udbyder komplekse LLMs.  Men i AI Act’s logik er definitionen langt bredere.  Forestil dig en virksomhed, der har købt et AI-system, men efterfølgende justerer modelparametre, træner systemet på egne data eller bygger et API-lag ovenpå, så output bliver mere tilpasset deres processer.  Selvom de aldrig har skrevet en linje kode, har de nu påvirket  hvordan AI’en virker. Og dermed er de udbyder.  En virksomhed er udbyder, når den:

  • develops an AI system in whole or in part  
  • develops a system that is marketed and operated under the company's name.   
  • changes functionality, decision logic, or training data  
  • integrates AI into a product, changing the original purpose of the AI  
  • whitelabel, resell, or distribute AI  

 

Det afgørende er graden af kontrol. Når virksomheden påvirker teknologien, pålægges virksomheden også et teknisk ansvar.  Det er den tungeste rolle i AI Act og den mest regulerede. Udbyderen skal derfor kunne dokumentere:

  • how the system is developed  
  • what data was used to train the AI  
  • why the model can make the decisions it does  
  • how risk is reduced  
  • hvordan systemet overvĂĄges efter idriftsættelse 

 

Idriftsætteren: Den virksomhed der anvender AI’en i en praksis

Hvor udbyderen udvikler, brander og former teknologien, er idriftsætteren den, der i praksis anvender den. Men ansvaret forsvinder ikke af den grund.

Forestil dig en HR-afdeling, der bruger et ekstern AI-rekrutteringsværktøj i deres ansættelsesproces. De ændrer ikke på algoritmen, men de anvender outputtet i en beslutningsproces for ansættelse, og herigennem påvirker menneskers liv.  I dette tilfælde er HR-afdelingen – og hermed virksomheden - idriftsætteren, men deres ansvar er stadig betydeligt. Idriftsætteren er den virksomhed, der:

  • anvender AI-udviklet af andre
  • ikke foretager direkte tekniske tilpasninger
  • implementerer AI ud fra udbyderens instruktioner
  • bruger generative AI-tjenester uden at ændre kernefunktionalitet eller formĂĄlet med brugen.

 

Idriftsætteren har derfor ansvar for hvordan AI’en anvendes.  Derfor skal idriftsætteren:

  • vurdere risikoen AI’ens pĂĄvirkning af mennesker og processer.
  • sikre gennemsigtighed over for brugere og medarbejdere
  • overholde GDPR eks. ved at udarbejde en ”Data Processing Impact Assessment”
  • implementere menneskelig kontrol ved afgørende beslutninger, f.eks. i en ansættelsesproces.
  • overvĂĄge output løbende for fejl, bias eller utilsigtede konsekvenser

 

Det er ikke nok at sige: ”Vi følger jo bare systemets anbefalinger.”

Three situations in which companies can become providers:  

Here are the scenarios in which many people—without realizing it—move from being implementers to providers.  

NĂĄr en lille justering fĂĄr store konsekvenser

An external AI system is implemented without modifications. To enhance the system, a developer adapts the model to better suit the company's data and workflows. 

Although the change seems limited, it means that the company now has influence over how the AI works.
This triggers a shift in responsibility: the company is now considered a provider under the AI Act. 

Når formålet ændrer ansvaret 

A generative AI system is initially used as an internal knowledge tool.
Later, it becomes part of the company's HR process and is used to screen applicants. 

The moment AI is involved in decisions that can affect people's opportunities and rights, the level of risk changes significantly.
This means that the company is no longer just using AI, but is assuming provider responsibility under the AI Act. 

Når AI bliver “jeres eget”

A company integrates an external AI tool into its product and presents it as part of its own solution. To the customer, the AI now appears to be the company's own system. 

The moment a company markets AI under its own name, it also assumes responsibility for the system. This applies regardless of who originally developed the technology. 

 Hvordan finder man virksomhedens reelle rolle?  

  • Har din virksomhed indflydelse pĂĄ, hvordan AI’en er udviklet, brandet eller hvilke former for teknologi der anvendes = Udbyder 
  • Er der tale om en ”plug n’ play”-AI-løsning eller en anvendelse af AI uden tekniske eller branding mæssige ændringer = Idriftsætter.   

 

Én metode der kan hjælpe med at undersøge ens rolle, men som dog aldrig være enste vurdering.  Denne dokumentation er afgørende ved tilsyn og efterspørgsler fra myndigheder.  Virksomheden bør altid kunne dokumentere:  

  • which AI systems are used in the company  
  • where AI is incorporated into processes  
  • hvordan AI systemerne, der anvendes, har indflydelse pĂĄ mennesker og menneskerelaterede beslutninger
  • if the purpose of the AI's use changes over time  
  • om tekniske integrationer ændrer output eller logik 

 

Conclusion: The role influences AI responsibility  

The division of roles between provider and operator is largely determined by the company's foundation for its entire compliance setup.  

Udbyderen bærer det tekniske ansvar  og idriftsætteren bærer det operationelle ansvar .

And because the role follows the action, companies must continuously document and evaluate whether they are still in the right place in the AI Act's responsibility model.   

You may also be interested in:

AI Act:

Et strategisk overblik over EU’s nye regulering af kunstig intelligens

AI-governance og GDPR:

Sådan kan du hjælpe din virksomhed med at handle ansvarligt med AI