AI Act: Hvad Danske Virksomheder Skal Vide Inden August 2026

Skrevet af Johannes Klostergaard

Om mindre end seks måneder træder hovedparten af EU's AI Act i kraft. Den 2. august 2026 bliver kravene til højrisiko-AI-systemer gældende, og danske virksomheder, der ikke er forberedt, risikerer bøder på op til 35 millioner euro. Alligevel har mange virksomhedsejere stadig ikke overblik over, hvad AI-forordningen egentlig kræver af dem.

Danmark er faktisk det land i EU, hvor flest virksomheder bruger kunstig intelligens (AI). Ifølge Eurostats seneste opgørelse anvender 42 procent af danske virksomheder mindst én AI-teknologi, langt over EU-gennemsnittet på omkring 20 procent. Det betyder også, at en stor del af dansk erhvervsliv potentielt er omfattet af de nye AI-regler, ofte uden at vide det. Mange af de AI-værktøjer, der bruges i hverdagen, er nemlig integreret i CRM-systemer, regnskabssoftware og HR-platforme, hvor de kører i baggrunden.

I denne guide gennemgår vi, hvad AI Act indebærer, hvem der er omfattet, og hvad du konkret skal gøre for at være klar. Vi holder det praktisk og skærer det juridiske ned til det, du faktisk har brug for at vide.

Hvad Er AI Act, og Hvorfor Kommer Den Nu?

AI Act, eller AI-forordningen som den officielt hedder på dansk, er EU's lovgivning om kunstig intelligens. Det er verdens første omfattende regulering af AI, og den fungerer på mange måder som GDPR gjorde for persondata: den sætter fælles spilleregler for, hvordan virksomheder må udvikle og anvende AI-systemer i Europa.

Fordi der er tale om en EU-forordning og ikke et direktiv, gælder AI-reglerne direkte i Danmark uden at skulle implementeres i dansk lovgivning først. Danmark var i maj 2025 det første EU-land til at vedtage en national supplerende lov til AI-forordningen. Loven udpeger Digitaliseringsstyrelsen som den primære tilsynsmyndighed og giver myndighederne beføjelser til at gennemføre inspektioner og udstede bøder.

AI-forordningen bygger på en risikobaseret tilgang. Det betyder, at kravene til din virksomhed afhænger af, hvilken type AI-system du bruger, og hvor stor risiko det udgør for mennesker. En simpel chatbot på din hjemmeside har langt færre krav end et AI-system, der træffer beslutninger om ansættelser eller kreditvurderinger.

Er Min Virksomhed Omfattet af AI Act?

Det korte svar: Hvis du bruger AI i din forretning, er du med stor sandsynlighed omfattet. AI-forordningen gælder for alle virksomheder, myndigheder og organisationer, der på nogen måde er involveret i brug af kunstig intelligens inden for EU. Det inkluderer både udbydere (providers), der udvikler og sælger AI-systemer, og brugere (deployers), der anvender AI i deres daglige drift.

De fleste danske virksomheder er brugere. Det vil sige, at I ikke selv har udviklet jeres AI-system, men anvender et værktøj, der er købt eller abonneret hos en leverandør. Det kan være alt fra ChatGPT og Copilot til en AI-chatbot til kundeservice, et AI-baseret HR-screeningværktøj eller et kreditvurderingssystem med indbygget maskinlæring.

Der er nogle undtagelser. AI-systemer til militære formål og national sikkerhed er ikke omfattet. Det samme gælder forskning og udvikling, før et system bringes på markedet. Gratis open source-software er også undtaget i visse tilfælde, medmindre den anvendes til højrisiko-formål. Men for langt de fleste danske virksomheder er svaret klart: AI-reglerne gælder jer.

En vigtig ting at huske er, at mange virksomheder bruger mere AI, end de selv er klar over. Fænomenet kaldes "skygge-AI" og opstår, når AI-funktionalitet er integreret i software, man allerede bruger, uden at det er tydeligt markeret. Det er en reel compliance-risiko, fordi man ikke kan overholde AI-kravene for systemer, man ikke ved man har.

Hvilke AI-Systemer Er Højrisiko Under AI-Forordningen?

AI Act opdeler AI-systemer i fire risikokategorier, og det er kategorien, der afgør, hvilke AI-krav din virksomhed skal leve op til.

Den første kategori er uacceptabel risiko, som dækker AI-systemer der er helt forbudte i EU. Det omfatter social scoring, manipulation via adfærdsdata, visse former for biometrisk masseovervågning og AI-systemer der udnytter sårbare gruppers svagheder. Disse forbud trådte i kraft den 2. februar 2025 og gælder allerede nu.

Den anden kategori er høj risiko, og det er her de mest omfattende AI-krav ligger. Højrisiko-AI omfatter systemer der bruges inden for ansættelse og rekruttering, kreditvurdering og finansielle ydelser, uddannelse og eksamensvurdering, sundhedsdiagnostik, retshåndhævelse og kritisk infrastruktur. Bruger din virksomhed AI til at sortere CV'er, vurdere kunders kreditværdighed eller assistere i sagsbehandling, er der tale om højrisiko. Kravene for denne kategori træder i kraft den 2. august 2026.

Den tredje kategori er begrænset risiko, hvor det primære krav er gennemsigtighed. Chatbots skal informere brugeren om, at de kommunikerer med en AI. AI-genereret indhold som tekst, billeder og video skal mærkes tydeligt. Deepfakes kræver synlig markering. Disse gennemsigtighedskrav i AI-lovgivningen træder også i kraft i august 2026.

Den fjerde kategori er minimal risiko, som dækker størstedelen af dagligdags AI-anvendelser som spamfiltre, søgefunktioner og simple automatiseringsværktøjer. Her er der ingen specifikke krav.

Hvad Er Kravene til AI-Færdigheder?

Et krav der allerede gælder, og som mange overser, er kravet om AI-færdigheder i AI-forordningens artikel 4. Siden den 2. februar 2025 har alle virksomheder, der anvender eller udbyder AI-systemer, skullet sikre, at deres medarbejdere har tilstrækkelige AI-kompetencer. Kravet gælder uanset risikoniveau, det vil sige at det også omfatter virksomheder der kun bruger AI-systemer med minimal risiko.

AI-færdigheder handler ifølge Digitaliseringsstyrelsen om tre ting: teknologisk forståelse for hvordan AI-systemerne fungerer, praktisk forståelse for hvordan de anvendes korrekt, og etisk forståelse for de risici og begrænsninger teknologien har. Kravet betyder ikke, at alle medarbejdere skal kunne programmere. Det betyder, at de medarbejdere, der arbejder med AI i deres daglige opgaver, skal vide nok til at bruge det ansvarligt og forstå, hvornår de ikke kan stole blindt på AI'ens output.

Digitaliseringsstyrelsen har udgivet en vejledning om AI-færdigheder, og Dansk Standard har i samarbejde med TDC Net, IDA og flere andre lanceret en gratis guide. Manglende overholdelse af kravet om AI-færdigheder kan i sig selv ikke sanktioneres direkte, men det kan få afledte konsekvenser, hvis manglende kompetencer fører til overtrædelse af andre dele af AI-forordningen.

Hvad Er Forskellen på AI Act og GDPR?

Mange danske virksomheder kender allerede GDPR og har processer for databeskyttelse. AI Act erstatter ikke GDPR, men supplerer den. De to regelsæt eksisterer parallelt, og i mange tilfælde vil begge gælde for det samme AI-system. Bruger din virksomhed for eksempel et AI-system til at screene jobansøgninger, skal du overholde både GDPR-kravene om behandling af persondata og AI-forordningens krav om dokumentation, risikovurdering og menneskeligt opsyn.

I Danmark skal Datatilsynet føre tilsyn med højrisiko-AI-systemer der involverer persondata, mens Digitaliseringsstyrelsen er den overordnede tilsynsmyndighed for AI-forordningen. Hvordan de to myndigheder præcis fordeler ansvaret i praksis er stadig under afklaring, men det vigtige er, at du som virksomhed skal tænke AI Act og GDPR sammen, ikke som to separate øvelser.

En praktisk konsekvens er, at hvis du allerede har lavet en DPIA (konsekvensanalyse for databeskyttelse) for et AI-system, kan du bygge videre på den, når du skal dokumentere AI Act-compliance. Mange af de processer, du allerede har for GDPR, kan genbruges og udvides til at dække AI-forordningens krav. Det er en fordel som danske virksomheder har, fordi GDPR-erfaringen allerede har skabt en compliance-kultur.

Hvad Er Bøderne Under AI Act?

AI-forordningen har et bødeniveau på højde med GDPR, og i nogle tilfælde endda højere.

Overtrædelse af forbuddene mod uacceptabel AI kan koste op til 35 millioner euro eller 7 procent af virksomhedens globale årsomsætning, alt efter hvad der er højest. For manglende overholdelse af kravene til højrisiko-AI-systemer er bøderne op til 15 millioner euro eller 3 procent af den globale omsætning. Selv fejlagtige eller vildledende oplysninger til tilsynsmyndighederne kan udløse bøder på op til 7,5 millioner euro.

For SMV'er og startups er bøderne beregnet ud fra den lavere tærskel, hvilket giver en vis beskyttelse. Men selv de lavere bødeniveauer kan være eksistentielle for en mindre virksomhed. Ud over de økonomiske sanktioner har den danske supplerende lov givet myndighederne mulighed for at gennemføre inspektioner uden forudgående retskendelse, kræve øjeblikkelig tilbagetrækning af AI-systemer og udstede administrative bødeforelæg for mindre komplekse overtrædelser.

Begrænsninger og Uklarheder Du Bør Kende

Det ville være uærligt at skrive om AI Act uden at nævne, hvad der stadig er uklart. De harmoniserede standarder, som skal gøre det lettere at dokumentere AI compliance, er stadig under udvikling hos de europæiske standardiseringsorganisationer CEN og CENELEC. Det var meningen, at de skulle være klar i august 2025, men tidsplanen er skredet.

Europa-Kommissionen har derfor i november 2025 fremsat det såkaldte Digital Omnibus-forslag, som potentielt udskyder visse højrisiko-krav med op til 16 måneder, hvis standarderne ikke er klar. Men der er ingen garanti for, at udskydelsen bliver vedtaget, og selv i bedste fald er der en bagstopperdato i december 2027. Det kloge valg er at planlægge efter august 2026 og betragte en eventuel udskydelse som en bonus.

AI Act er desuden kun én brik i det juridiske puslespil. GDPR, immaterialret, den kommende produktansvarsdirektiv og regler om forretningshemmeligheder gælder stadig parallelt. At have styr på AI-forordningen alene er ikke nok, men det er et nødvendigt fundament.

Sådan Forbereder Du Din Virksomhed på AI Act

Under seks måneder er ikke lang tid, når processer og dokumentation skal på plads. Her er de vigtigste skridt.

Det første skridt er at kortlægge alle jeres AI-systemer. Lav en oversigt over alle AI-værktøjer virksomheden anvender, også dem der er indlejret i anden software. Mange CRM-systemer, regnskabsprogrammer og HR-platforme har i dag indbygget AI-funktionalitet, og det er netop denne skygge-AI, der udgør den største compliance-risiko under AI-lovgivningen. Spørg jeres leverandører direkte, om deres produkter indeholder AI-komponenter.

Det andet skridt er at klassificere hvert system efter AI-forordningens risikokategorier. Spørg jer selv: Træffer dette system beslutninger, der væsentligt påvirker menneskers liv, rettigheder eller muligheder? Hvis ja, er det sandsynligvis højrisiko, og I skal leve op til de mest omfattende AI-krav.

Det tredje skridt er at sikre jeres medarbejderes AI-færdigheder. Kravet gælder allerede nu, og det handler om, at medarbejderne forstår hvad AI kan og ikke kan, hvilke risici der er forbundet med det, og hvordan de bruger det ansvarligt i deres specifikke rolle. Digitaliseringsstyrelsens vejledning og Dansk Standards gratis guide er gode udgangspunkter.

Det fjerde skridt er at gå i dialog med jeres leverandører. Leverandørerne har en forpligtelse til at levere dokumentation og instruktioner under AI-forordningen. Spørg dem, hvordan deres systemer er klassificeret, og hvilken AI-dokumentation de kan stille til rådighed.

Det femte skridt er at etablere AI governance i jeres organisation. Det behøver ikke være en stor formel struktur, men der skal være en klar ansvarsfordeling: hvem har overblikket over jeres AI-systemer, hvem sikrer at kravene overholdes, og hvem rapporterer til ledelsen. For virksomheder der allerede har GDPR-processer på plads, kan AI governance bygges ovenpå den eksisterende compliance-struktur.

Konklusion

AI Act er en stor lovgivningsmæssig forandring, men for danske virksomheder, der allerede er vant til GDPR, er grundtilgangen velkendt: forstå AI-reglerne, vurder din egen situation, og byg de nødvendige processer op i god tid. Danmark har med sin tidlige nationale lovgivning og høje AI-adoption et godt udgangspunkt, men det kræver handling nu.

Start med at kortlægge jeres AI-systemer og forstå, hvor I står. Derfra kan I prioritere de områder der kræver mest opmærksomhed og bygge jeres AI compliance op trin for trin. De virksomheder der handler nu, undgår ikke kun potentielle bøder, men positionerer sig også som troværdige aktører i et marked, hvor ansvarlig brug af kunstig intelligens bliver en afgørende konkurrencefordel.

Hos Elevai hjælper vi danske virksomheder med at implementere AI-løsninger, der overholder AI-reglerne fra starten. Hvis du er usikker på, hvad AI-forordningen betyder for netop din virksomhed, eller du ønsker hjælp til at komme i gang med AI compliance, er du velkommen til at kontakte os. Vi udvikler skræddersyede AI-løsninger til danske virksomheder med fokus på både effektivitet og sikkerhed.

Johannes Klostergaard
Forrige

AI-Automatisering for Virksomheder: Komplet Guide 2026
Næste

DeepSeek: Alt Du Skal Vide Om Den Gratis Kinesiske AI Der Udfordrer ChatGPT