Hvordan kan organisationer opnå og dokumentere compliance, når de anvender AI?

Compliance med AI-lovgivning opnås ved at implementere tydelige retningslinjer for sikker brug, sikre datasikkerhed gennem anonymisering eller godkendte systemer og etablere menneskelig overvågning. Det er afgørende at dokumentere alle processer, fra værktøjsgodkendelse til medarbejderuddannelse og databehandleraftaler, for at demonstrere overholdelse. En transparent tilgang til risikovurdering og ansvar er ligeledes essentiel.

Hvilken type AI-compliance træning er essentiel for medarbejdere?

Essentiel AI-compliance træning skal pædagogisk klargøre reglerne for sikker datahåndtering og korrekt brug af AI-værktøjer. Medarbejdere skal lære at identificere og anonymisere følsomme oplysninger samt forstå forskellen på godkendte og ikke-godkendte systemer. Det er også vigtigt at træne i kritisk gennemgang af AI-genereret output og understrege det menneskelige ansvar for den endelige information.

Hvilke AI-systemer er forbudte ifølge EU AI Act?

Ifølge EU AI Act er systemer, der udfører social scoring, masseovervåger ansigter i realtid i offentlige rum, manipulerer mennesker uden deres viden, eller forudsiger kriminel adfærd udelukkende baseret på personprofiler, forbudte. Disse systemer udgør en uacceptabel risiko for grundlæggende rettigheder og er dermed ikke tilladte, uanset formål eller anvender.

Hvordan håndteres følsomme personoplysninger sikkert, når man anvender AI-værktøjer?

Følsomme personoplysninger skal altid anonymiseres grundigt, inden de indtastes i AI-værktøjer, medmindre der er tale om et lukket, virksomhedsgodkendt system. Ved brug af godkendte systemer er det desuden kritisk at sikre, at der er indgået en GDPR-compliant databehandleraftale med leverandøren. Dette forhindrer uautoriseret brug eller træning af eksterne AI-modeller med organisationens data.

Hvilke typiske fejl begår medarbejdere ved brug af AI, og hvordan undgås de?

Typiske fejl inkluderer at kopiere AI-output direkte uden kritisk gennemgang, stole blindt på systemets nøjagtighed og være usikker på korrekte anvendelsesområder. Disse undgås ved at indføre en regel om altid at læse AI-genereret tekst højt og tydeliggøre, at godkendte systemer kun garanterer datasikkerhed, ikke faglig korrekthed. Klare retningslinjer for brug ved håndtering af personoplysninger og beslutninger med konsekvenser er også afgørende.

Hvilke AI-systemer kræver særlig dokumentation og menneskeligt ansvar ifølge EU AI Act?

AI-systemer, der falder under kategorien 'gult lys' eller højrisiko, kræver særlig dokumentation og menneskeligt ansvar. Dette omfatter AI, der vurderer ansøgninger til job eller offentlige ydelser, screener CV'er, træffer afgørelser med konsekvenser for borgere eller anvendes i kritisk infrastruktur. For disse systemer skal organisationer kunne dokumentere deres funktion, formål og sikre, at et menneske altid har det endelige ansvar for beslutningen.

Hvordan kan organisationer etablere en simpel ramme for sikker AI-brug i hverdagen?

En simpel ramme etableres ved at godkende specifikke AI-værktøjer og kommunikere denne liste internt til medarbejderne. Det er essentielt at indføre anonymisering som standardprocedure for alle data, der indeholder personoplysninger, før de indtastes i AI-værktøjer. Desuden skal medarbejderen altid tage det fulde ansvar for det endelige output ved kritisk at gennemlæse og godkende det, før det sendes videre.

Compliance og AI: Sådan overholder I lovgivningen og EU AI Act

Øvet Guide 6 min læsning

Stop med at lade frygten for paragraffer og GDPR bremse jeres digitale udvikling. Mange ledere frygter, at nye EU-regler vil lukke helt ned for mulighederne for effektivisering, før de overhovedet er kommet i gang. Sandheden er, at god compliance blot handler om digital sund fornuft og gennemsigtighed. Her bryder vi lovkravene ned til praktiske hverdagshandlinger.

Hvis du vil have det store overblik over, hvordan I ruller teknologien sikkert ud, anbefaler vi vores guide til AI i den offentlige sektor: Strategi og tryg implementering. Her fokuserer vi konkret på, hvordan jeres data forbliver jeres egne undervejs.

Indholdsfortegnelse

AI-regulering skåret helt ind til benet
Datasikkerhed kommer altid før teknologien
Mennesket er det stærkeste filter
Sådan starter I ugen med rene linjer

AI-regulering skåret helt ind til benet

Hænder anonymiserer og sorterer fysiske dokumenter, hvilket understreger datasikkerhed og overholdelse af AI-regulering.

Tænk på EU AI Act som et trafiklys med tre farver. Her er hvad de betyder i praksis for din organisation:

Rødt lys – forbudt at anvende:

Systemer der rangerer borgere ud fra social adfærd (social scoring)
Masseovervågning af ansigter i det offentlige rum i realtid
AI der manipulerer mennesker uden deres viden, fx ved at udnytte psykologiske svagheder
Systemer der forudsiger kriminel adfærd udelukkende baseret på personprofiler

Disse systemer er forbudte uanset formål og uanset hvem der bruger dem.

Gult lys – må bruges, men kræver dokumentation:

AI der vurderer ansøgninger til job, bolig eller offentlige ydelser
Systemer der bruges til at screene CV'er eller rangere kandidater
Chatbots der træffer afgørelser med konsekvenser for borgere
AI der bruges i kritisk infrastruktur som energi, vand eller transport

Disse systemer er ikke forbudte, men I skal kunne dokumentere, hvordan de fungerer, hvad de bruges til, og at et menneske har det endelige ansvar for beslutningen.

Grønt lys – brug løs:

Rettelse af slåfejl og sproglig polering af tekster
Opsummering af referater og mødenotater
Oversættelse af interne dokumenter uden personoplysninger
Brainstorming og idégenerering
Formatering af data du allerede ejer og har klargjort

Størstedelen af de hverdagsopgaver, de fleste medarbejdere vil bruge AI til, falder i den grønne kategori. Kernen i de nye regler er simpelthen at sikre, at dataetik og compliance i AI-projekter beskytter borgerne mod usynlige algoritmer, der træffer vigtige beslutninger om deres liv.

Datasikkerhed kommer altid før teknologien

Forestil dig en HR-chef i en mellemstor virksomhed i Odense, der skal onboarde 12 nye medarbejdere. Hun uploader alle de nye medarbejderes ansættelseskontrakter i et gratis, åbent AI-værktøj med denne instruks:

Læs disse 12 kontrakter igennem for Peter, Hanne og resten af teamet. Lav et overskueligt resumé af deres individuelle lønrammer og vilkår, så jeg har det hele i et regneark.

Problemet er ikke hendes forsøg på at effektivisere. Problemet er, at kontrakterne indeholder navne, CPR-numre, løn og særlige vilkår. data der nu potentielt indgår i træning af et eksternt system, som organisationen ikke kontrollerer.

Den rigtige fremgangsmåde:

Trin 1 – Anonymisér, før du uploader:
Erstat navne med roller og fjern alle CPR-numre, adresser og beløb, inden teksten går ind i værktøjet.

Ret eksempel: "Følgende kontrakt gælder for en fuldtidsansat i kategorien 'specialist'. Lønrammen er angivet som X. Hvilke vilkår er usædvanlige sammenlignet med en standardkontrakt?"

Trin 2 – Brug kun godkendte systemer til følsomt indhold:
Hvis I skal arbejde med data der ikke kan anonymiseres, skal det ske i et lukket, virksomhedsgodkendt system. fx Microsoft Copilot med jeres egne sikkerhedsindstillinger aktiveret, eller et internt system med databehandleraftale.

Trin 3 – Tjek om der er indgået databehandleraftale:
Før en afdeling tager et nyt AI-værktøj i brug, skal IT eller juridisk afdeling have bekræftet, at der foreligger en GDPR-compliant databehandleraftale med leverandøren.

En god tommelfingerregel: Hvis du ikke har lyst til at printe dokumentet ud og hænge det op på opslagstavlen i kantinen, skal det heller ikke skrives ind i en åben gratismodel.

Mennesket er det stærkeste filter

Et lukket, godkendt AI-system løser ikke problemet, hvis sagsbehandleren stoler blindt på outputtet og sender et upræcist svar direkte videre til en borger i e-Boks. De tekniske brandmure har ikke hjulpet spor.

Her er de tre fejl, medarbejdere oftest begår. og hvad I konkret gør i stedet:

Fejl 1: De kopierer output direkte uden at læse det.
Løsning: Indfør en tommelfingerregel om, at AI-genereret tekst altid læses højt, inden den sendes. Det lyder banalt, men det fanger fejl som forkerte datoer, fiktive henvisninger og forkert tone.

Fejl 2: De tror, at et godkendt system er et fejlfrit system.
Løsning: Gør det tydeligt i oplæringen, at godkendelse handler om datasikkerhed. ikke faglig præcision. Systemet kan stadig producere forkerte svar inden for sit sikre miljø.

Fejl 3: De ved ikke, hvornår de må bruge AI, og hvornår de ikke må.
Løsning: Lav et beslutningsskema med to spørgsmål: Indeholder opgaven personoplysninger? og Er der tale om en afgørelse med konsekvenser for en borger? Hvis svaret er ja til begge, skal en fagperson gennemgå outputtet, inden det bruges.

Løsningen er ikke flere IT-systemer, men at uddanne personalet pædagogisk. læs også vores artikel om GDPR og AI i praksis: Undgå faldgruberne ved håndtering af borgerdata.

Sådan starter I ugen med rene linjer

I kan starte med at bygge en simpel ramme op. Her er hvad det konkret betyder for den enkelte medarbejder:

Godkend værktøjerne. inden de tages i brug:
Lav en liste over de AI-værktøjer, der er godkendt i jeres organisation. Del den i jeres interne kommunikationskanal. Medarbejderen må ikke selv vurdere, om et nyt gratis værktøj er sikkert nok.

Anonymisér som standard. ikke som undtagelse:
Inden en medarbejder sender tekst til et AI-værktøj, stiller de sig selv spørgsmålet: Indeholder dette navne, CPR-numre, adresser eller oplysninger om helbred, økonomi eller beskæftigelse? Hvis ja, fjernes eller erstattes de, inden teksten sendes.

Konkret kan det se sådan ud:

Før anonymisering: "Kan du hjælpe mig med at formulere et afvisningsbrev til Lars Hansen, der søgte stillingen som controller den 14. marts?"

Efter anonymisering: "Kan du hjælpe mig med at formulere et venligt og professionelt afvisningsbrev til en ansøger til en stilling som controller?"

Tag det endelige ansvar. og vis det i praksis:
Medarbejderen signerer med sit eget navn under det, der sendes ud. Det betyder, at medarbejderen læser outputtet igennem og tager stilling til, om det er fagligt korrekt, passende i tonen og frit for fejl, inden de trykker send.

Gennem arbejdet med Lægemiddelstyrelsen har vi hos Poulsen & Vinding erfaret, hvordan stærk frygt for at fejle kan forvandles til tryg nysgerrighed, som beskrevet i vores case om Lægemiddelstyrelsens AI-integration. Det kræver blot, at rammerne er tydelige, og at teknologien forklares pædagogisk. Når personalet forstår AI-regulering som praktiske leveregler frem for juridiske snubletråde, får I en afdeling, der er både effektiv og compliant.

Ofte stillede spørgsmål

Bruno Poulsen

Bruno Poulsen er partner i Poulsen & Vinding, et konsulenthus der hjælper danske virksomheder og styrelser med at tage generativ AI i brug i den daglige drift. Han er senior underviser hos Bigum&Co gennem 10+ år og har siden 2023 stået bag AI-implementeringer, foredrag og workshops for blandt andre Lægemiddelstyrelsen, GS1 Danmark, Bornholms Højskole og 30+ bornholmske SMV’er via Business Center Bornholm. Skriver om praktisk anvendelse af AI-værktøjer, prompt engineering og hvordan ledelser kommer i gang mandag morgen kl. 08.00.