Regel-overblik · forordning (EU) 2024/1689 + 2016/679

EU AI Act og GDPR — den korte version for virksomheder

Hvad de to regelsæt kræver, hvordan de overlapper, og hvad bundlinjen er, hvis I bygger eller bruger en AI-assistent i jeres organisation.

Kort fortalt

Behandler jeres system persondata, gælder GDPR. Er det et AI-system, gælder AI Act oveni, gradueret efter risiko. De to erstatter ikke hinanden. De stabler. For en AI-assistent over jeres regler, der rører persondata, er I i begge.

Det I i praksis skal kunne: kende jeres rolle og risiko-niveau, holde et menneske inde over konsekvensrige afgørelser, måle og dokumentere systemets nøjagtighed og risiko, og kunne vise sporet, hvis nogen spørger.

1 · EU AI Act

Regler for AI-systemet — efter hvor meget det kan skade

AI Act er risiko-baseret. Hvor tungt et system reguleres, afhænger af, hvad det bruges til:

Forbudt

Uacceptabel risiko (fx social scoring, manipulerende systemer). Må ikke bruges.

Høj risiko

Fx systemer i ansættelse, kreditgivning, essentielle ydelser eller medicinsk udstyr. Strenge krav: risikostyring, menneskeligt tilsyn, nøjagtigheds-belæg, logning, dokumentation.

Begrænset

Fx chatbots. Krav om transparens: brugeren skal vide, at de taler med et AI-system.

Minimal

De fleste systemer. Ingen særlige krav.

Rollerne betyder noget: udbyderen (den der udvikler) og idriftsætteren (den der bruger) har forskellige pligter. Reglerne træder trinvist i kraft i 2025–2027: forbud først, derefter generelle AI-modeller, så høj-risiko-kravene. For mange interne assistenter er kravet i praksis begrænset risiko (fortæl brugeren det er AI), men bruges systemet i et følsomt domæne, kan det blive høj-risiko.

2 · GDPR

Regler for persondataen — uanset om der er AI indblandet

GDPR gælder, så snart I behandler personoplysninger. Kernekravene:

Grundprincipper

  • Et behandlingsgrundlag for hver behandling (samtykke, kontrakt, legitim interesse …).
  • Formålsbegrænsning og dataminimering — kun det nødvendige, til det angivne formål.
  • Sletning når data ikke længere er nødvendig.

Pligter og rettigheder

  • Registrerede har ret til indsigt, sletning, berigtigelse og dataportabilitet.
  • Databrud meldes til tilsynet inden 72 timer.
  • Overførsel til tredjelande kræver et gyldigt grundlag (Kap. V).

3 · Overlapper de?

Ja — de styrer to forskellige ting samtidig

Det er den hyppigste misforståelse: at det er enten-eller. Det er det ikke. GDPR styrer persondataen; AI Act styrer AI-systemets risiko. Rører jeres system begge dele, gælder begge regelsæt på samme tid, og de mødes tre steder:

Automatiske afgørelser

  • GDPR art. 22 giver ret til ikke at være underlagt en rent automatisk afgørelse med væsentlig effekt. AI Act art. 14 kræver menneskeligt tilsyn i høj-risiko-systemer. Samme sag, to kroge — hold et menneske inde over.

Risiko og træningsdata

  • GDPR's konsekvensanalyse (DPIA) og AI Act's risikostyring overlapper i praksis.
  • AI Act's data-governance og GDPR's databeskyttelse mødes på træningsdataen.

4 · Bundlinjen for virksomheder

Hvad I i praksis skal gøre

  1. Kortlæg rolle og risiko. Er I udbyder eller idriftsætter? Hvilket risiko-niveau er systemet i?
  2. Rører det persondata? Så: behandlingsgrundlag på plads, rettigheder kan efterleves, DPIA ved høj-risiko-behandling.
  3. Er det et AI-system? Så: mindst transparens (fortæl brugeren det er AI); ved høj risiko også risikostyring, menneskeligt tilsyn, nøjagtigheds-belæg og logning.
  4. Hold et menneske inde over afgørelser med væsentlig effekt (art. 22 + art. 14).
  5. Kunne vise sporet. Mål og dokumentér nøjagtighed og risiko løbende, så I kan gøre rede for systemet over for et tilsyn.

Hvor vi kommer ind

Det sidste punkt, måle nøjagtighed og risiko og kunne vise sporet, er præcis det, vores måle-metode og gate-arkitektur leverer: målte rater pr. model, sprog og korpus, et fuldt revisionsspor pr. svar, og et system der afstår og henviser til et menneske, når svaret ikke er dækket. Ikke juridisk klassificering, men det tekniske belæg bag den.

Bemærk: dette er et forenklet overblik, ikke juridisk rådgivning. Den konkrete klassificering af jeres system under forordning (EU) 2024/1689 (AI Act) og 2016/679 (GDPR) bekræftes af jeres egen compliance-/juridiske funktion.