Hvornår træder EU's AI Act i kraft for danske SMV'er?

EU's AI Act indfases gradvist med forskellige deadlines. Forbud mod AI-systemer med uacceptabel risiko træder i kraft februar 2025. Krav til generelle AI-modeller og governance-regler følger i august 2025. De fulde krav til høj-risiko AI-systemer bliver gældende fra august 2026, hvilket understreger behovet for rettidig forberedelse.

Hvilke risikoniveauer definerer EU's AI Act for AI-systemer?

EU's AI Act inddeler AI-systemer i fire risikoniveauer: uacceptabel risiko, høj risiko, begrænset risiko og minimal risiko. Uacceptabel risiko er forbudt, mens høj risiko medfører strenge krav til dokumentation og menneskelig kontrol. Systemer med begrænset risiko kræver gennemsigtighed, og minimal risiko har ingen særlige krav ud over sund fornuft. SMV'er skal vurdere hvert enkelt AI-system for at fastslå dets risikokategori og de dermed forbundne forpligtelser.

Hvad betyder det, hvis min SMV bruger et høj-risiko AI-system?

Hvis din SMV bruger et høj-risiko AI-system, f.eks. til screening af jobansøgere eller kreditvurdering, skal I opfylde strenge krav. Dette inkluderer omfattende dokumentation for systemets træning og testning, samt et krav om menneskelig kontrol i afgørende beslutninger. I skal desuden løbende overvåge systemets ydeevne for at sikre, at det fungerer som forventet og ikke diskriminerer. Manglende overholdelse af disse krav kan medføre betydelige sanktioner, hvilket gør grundig compliance essentiel.

Hvilken dokumentation kræver EU's AI Act fra SMV'er?

EU's AI Act kræver, at SMV'er kan dokumentere deres AI-brug, især for systemer med høj risiko. Dette indebærer at redegøre for, hvorfor et system anvendes, hvilke data det behandler, og hvem der er ansvarlig for at tjekke output samt træffe endelige beslutninger. Dokumentationen skal demonstrere, at virksomheden har taget ansvar og har et klart overblik over sine AI-processer. En simpel oversigt over værktøj, formål, data og ansvarlig person er et godt og praktisk udgangspunkt.

Er EU's AI Act og GDPR det samme, eller hvordan hænger de sammen?

EU's AI Act og GDPR er ikke det samme, men de overlapper og supplerer hinanden, især når AI-systemer behandler persondata. GDPR fokuserer på beskyttelse af persondata, herunder indsamling og behandling, mens AI Act regulerer selve AI-systemernes brug og de risici, de udgør. Hvis et AI-system behandler persondata, skal virksomheden opfylde både GDPR's krav og AI Act's krav. Begge lovgivninger har til formål at sikre ansvarlig brug af teknologi, men fra forskellige vinkler.

Hvilke former for AI bliver forbudt under EU's AI Act?

EU's AI Act forbyder AI-systemer med uacceptabel risiko, som omfatter AI-systemer, der manipulerer menneskelig adfærd eller udnytter sårbarheder. Dette inkluderer blandt andet social scoring, der evaluerer individers pålidelighed baseret på adfærd, samt visse former for biometrisk kategorisering. Forbuddet sigter mod at beskytte fundamentale rettigheder og demokrati mod systemer, der udgør en alvorlig trussel mod borgernes frihed og sikkerhed. Disse forbud træder i kraft allerede i februar 2025.

Hvad er gennemsigtighedskravet for AI-systemer med begrænset risiko?

For AI-systemer med begrænset risiko, som f.eks. chatbots eller deepfakes, er det primære krav gennemsigtighed. Dette betyder, at brugere tydeligt skal informeres om, at de interagerer med et AI-system og ikke et menneske. Oplysningen skal være umiddelbart synlig i interaktionen, ikke blot gemt i generelle vilkår, for at sikre effektiv oplysning. Formålet er at sikre, at forbrugerne er bevidste om AI'ens tilstedeværelse og kan træffe informerede valg baseret på den viden.

Forstå EU’s AI Act: Hvad Den Nye Lovgivning Betyder for Din SMV’s Fremtid

Begynder Guide 8 min læsning Opdateret 1. jun 2026

Din virksomhed bruger sandsynligvis allerede AI. Måske til at skrive udkast til kundemails, opsummere mødereferater eller sortere i indkøbsdata. Men ved du, om det, I gør, faktisk er lovligt efter EU's nye AI-regulering? EU's AI Act er den første omfattende lovgivning for kunstig intelligens i verden, og den rammer ikke kun tech-giganter. Den rammer også din SMV. Denne artikel giver dig overblikket: hvad loven kræver, hvad den betyder for din hverdag, og hvad du konkret skal gøre. Den er en del af vores komplette guide til AI-effektivisering for danske SMV'er, hvor du kan gå dybere ned i de praktiske muligheder.

Indholdsfortegnelse

Hvad er EU's AI Act, og hvorfor skal du bekymre dig?
De tre ting, din SMV skal have styr på
GDPR og AI Act: de er ikke det samme, men de hænger sammen
Hvad sker der, hvis du ikke overholder reglerne?
Fremtidssikring handler om handling, ikke bekymring

Hvad er EU's AI Act, og hvorfor skal du bekymre dig?

EU's AI Act er en forordning. Det betyder, at den gælder direkte i Danmark uden at skulle oversættes til dansk lovgivning først. Tænk på det som GDPR, bare for kunstig intelligens. Og ligesom GDPR handler det ikke om at forbyde noget, men om at sikre, at teknologien bruges ansvarligt.

Loven deler AI-systemer op i fire risikoniveauer: uacceptabel risiko (forbudt), høj risiko (strenge krav), begrænset risiko (gennemsigtighedskrav) og minimal risiko (ingen særlige krav). De fleste AI-værktøjer, som en typisk dansk SMV bruger i dag, falder i kategorien "minimal risiko" eller "begrænset risiko". Det betyder, at du ikke skal panikke. Men du skal vide, hvor du står.

Hvornår træder kravene i kraft?

AI Act blev vedtaget i august 2024 og indfases gradvist:

Februar 2025: Forbud mod AI-systemer med uacceptabel risiko træder i kraft. Det inkluderer bl.a. social scoring og visse former for biometrisk kategorisering.
August 2025: Krav til generelle AI-modeller (som GPT-4) og regler for governance træder i kraft.
August 2026: Kravene til høj-risiko AI-systemer bliver fuldt gældende.

Det afgørende spørgsmål er: bruger din virksomhed AI til noget, der påvirker menneskers rettigheder eller muligheder? Hvis du f.eks. bruger et AI-system til at sortere jobansøgninger automatisk, bevæger du dig op i "høj risiko"-kategorien. Og dér er kravene markant strengere.

De tre ting, din SMV skal have styr på

1. Kortlæg jeres AI-brug

Før du overhovedet kan forholde dig til compliance med AI Act, skal du vide, hvad I bruger. Mange virksomheder aner faktisk ikke, hvor mange steder AI allerede er aktiv. Forestil dig en indkøbschef i en fødevarevirksomhed, der manuelt sammenligner 200 leverandørtilbud om måneden. Vedkommende begynder at bruge ChatGPT til at lave sammenligningsnotater. Helt rimeligt. Men hvis det sker uden at ledelsen ved det, er det umuligt at vurdere de juridiske krav.

Sådan laver du kortlægningen i praksis:

Send en kort mail til alle medarbejdere med tre spørgsmål:

Hvilke AI-værktøjer bruger du i dit arbejde? (ChatGPT, Copilot, Grammarly, AI i dit CRM, andet?)
Hvad bruger du dem til?
Hvilke data indtaster du i dem?

Saml svarene i et enkelt regneark med kolonnerne: Værktøj – Bruger – Anvendelse – Data der indtastes – Risikovurdering (udfyldes i næste trin). Det tager en eftermiddag. Og det er præcis det dokument, du har brug for, hvis en myndighed nogensinde banker på døren.

Du kan læse mere om, hvordan du kommer i gang uden en IT-afdeling.

2. Forstå jeres risikoniveau

Når listen er på plads, skal I vurdere risikoniveauet for hver anvendelse. Her er konkrete eksempler på, hvad de enkelte niveauer betyder i praksis for en dansk SMV:

Minimal risiko – ingen særlige krav:

Du bruger ChatGPT til at skrive første udkast til et nyhedsbrev
Du bruger Copilot til at opsummere et mødereferat
Du bruger et AI-værktøj til at generere produktbeskrivelser til din webshop
Du bruger AI til at lave en præsentation baseret på dine egne tal

Hvad du skal gøre: Ingenting ud over sund fornuft. Tjek output, inden du sender det videre.

Begrænset risiko – gennemsigtighedskrav:

Du har en chatbot på din hjemmeside, der svarer kunder
Du bruger et AI-system til at generere automatiske svar på kundemails
Du bruger deepfake-teknologi eller AI-genererede billeder i markedsføring

Hvad du skal gøre: Kunder skal altid vide, at de taler med AI. Det er ikke nok at skrive det i de generelle vilkår ingen læser. Oplysningen skal fremgå tydeligt i selve interaktionen – f.eks. "Du er ved at chatte med vores AI-assistent." Selvom chatbots løfter kundeoplevelsen, er gennemsigtighed afgørende.

Høj risiko – dokumentation, menneskelig kontrol og løbende overvågning:

Du bruger AI til at screene eller rangere jobansøgere
Du bruger AI til at vurdere kunders kreditværdighed
Du bruger AI til at evaluere medarbejderes performance
Du bruger AI i processer der påvirker adgang til sundhedsydelser eller uddannelse

Hvad du skal gøre: Her er kravene reelle. Du skal kunne dokumentere, hvordan systemet er trænet og testet. Du skal have en menneskelig beslutningstager i alle afgørende beslutninger – AI'en må ikke stå alene. Og du skal løbende overvåge, om systemet performer som forventet og ikke forskelsbehandler.

De fleste SMV'er vil opdage, at 90% af deres AI-brug falder i de to laveste kategorier. Men de sidste 10% kan kræve reel handling, og det er dem, du skal have øje for.

3. Dokumentation er dit sikkerhedsnet

Du behøver ikke ansætte en jurist. Men du skal kunne svare på tre spørgsmål for hvert AI-system I bruger:

Hvorfor bruger vi dette system?
Hvilke data fodrer vi det med?
Hvem er ansvarlig for at tjekke output og træffe endelige beslutninger?

Konkret eksempel: En salgschef i en industrivirksomhed bruger AI til at prioritere leads i sin pipeline. Dokumentationen ser sådan ud:

Værktøj: HubSpot AI lead scoring. Formål: Hjælpe salgsteamet med at prioritere opkald. Data der bruges: Virksomhedsstørrelse, branche, tidligere interaktioner på hjemmeside. Ansvarlig: Salgschef [navn] gennemgår listen hver mandag og kan overstyre AI's prioritering. Ingen leads afvises automatisk uden menneskelig vurdering.

Det er fire linjer. Det tager fem minutter at skrive. Og det er præcis den type dokumentation, der viser, at I har taget ansvar.

Vaneændring er præcis dét, der afgør, om AI-implementering lykkes – og dokumentationsrutinen er ingen undtagelse.

Forstå EU's AI Act: Hænder arrangerer to figurer, der symboliserer GDPR og AI Act, som hænger sammen.

En typisk misforståelse er, at GDPR allerede dækker alt det, AI Act handler om. Det gør den ikke. Her er den præcise forskel:

	GDPR	AI Act
Beskytter mod	Misbrug af persondata	Misbrug af AI-systemer
Spørger	Hvilke data samler I ind og hvad gør I med dem?	Hvad gør AI-systemet og hvilken risiko udgør det?
Kræver	Samtykke, databehandleraftaler, slettefrister	Risikovurdering, dokumentation, gennemsigtighed
Sanktioner	Op til 4% af global omsætning	Op til 35 mio. euro eller 7% af global omsætning

De to lovgivninger overlapper, når AI-systemer behandler persondata – og det gør de ofte. Et konkret eksempel: Du har en chatbot på jeres hjemmeside, der indsamler kundeoplysninger. Her rammes du af GDPR (chatbotten indsamler og behandler persondata) og AI Act (chatbotten er et AI-system i direkte kontakt med kunder, der kræver gennemsigtighedsoplysning). Du skal altså have en databehandleraftale med chatbot-leverandøren og en synlig besked om, at kunden taler med AI.

For en dybere forståelse af, hvordan de to lovgivninger flettes sammen, kan du læse om sikker dataetik og compliance i AI-projekter. Vil du have det fulde overblik over datasikkerhed og GDPR i en AI-kontekst, finder du det i vores komplette guide til datasikkerhed og GDPR for SMV'er.

Hvad sker der, hvis du ikke overholder reglerne?

Det korte svar: det afhænger af hvilken kategori du overtræder.

Brug af forbudt AI (uacceptabel risiko-kategorien): Op til 35 millioner euro eller 7% af din globale årsomsætning – det højeste af de to beløb.
Overtrædelse af krav til høj-risiko AI: Op til 15 millioner euro eller 3% af global omsætning.
Forkerte oplysninger til myndigheder: Op til 7,5 millioner euro eller 1% af global omsætning.

For en dansk SMV med 20 millioner kroner i omsætning er det realistiske scenarie naturligvis ikke de maksimale bøder. Men Erhvervsstyrelsen, der forventes at blive national tilsynsmyndighed, vil have beføjelse til at pålægge bøder, kræve dokumentation og i yderste konsekvens forbyde brugen af specifikke AI-systemer. Det er ikke skræmmescenarier. Det er den samme mekanisme, vi kender fra GDPR – og dér har danske virksomheder fået bøder.

Den langt større praktiske risiko er dog ikke bøder. Det er, at du bruger et AI-system i rekruttering eller kreditvurdering, det diskriminerer mod en ansøger eller kunde, og du ikke kan dokumentere, at du har haft menneskelig kontrol. Det er potentielt både en AI Act-overtrædelse og en sag under diskriminationslovgivningen.

Fremtidssikring handler om handling, ikke bekymring

AI-lovgivning er ikke designet til at stoppe dig. Den er designet til at sikre, at teknologien bruges på en måde, der er fair og gennemsigtig. For en travl ejerleder er den vigtigste pointe denne: du behøver ikke forstå hvert eneste juridiske krav i detaljen. Men du skal forstå principperne og handle på de tre punkter ovenfor.

Din konkrete to-do-liste:

Send kortlægningsmailen til dine medarbejdere inden for de næste to uger. Tre spørgsmål. Et regneark.
Gennemgå listen og markér alt, der handler om rekruttering, kreditvurdering eller medarbejderevaluering som høj risiko. Alt med kundevendte chatbots som begrænset risiko.
Skriv fire linjer dokumentation for hvert høj-risiko-system: hvad, hvorfor, hvilke data, hvem er ansvarlig.
Tjek dine chatbots: Er det tydeligt, at kunderne taler med AI? Hvis ikke, tilføj det i dag.
Sæt en reminder til august 2026, hvor de fulde krav til høj-risiko AI træder i kraft. Du har tid – men planlæg fremfor at reagere.

De virksomheder, der handler tidligt, opbygger gode vaner mens kravene stadig er til at overskue. Dem, der venter, risikerer at skulle rydde op under tidspres. Små, konkrete skridt nu er billigere end store korrektioner senere.

Ofte stillede spørgsmål

Bruno Poulsen

Bruno Poulsen er partner i Poulsen & Vinding, et konsulenthus der hjælper danske virksomheder og styrelser med at tage generativ AI i brug i den daglige drift. Han er senior underviser hos Bigum&Co gennem 10+ år og har siden 2023 stået bag AI-implementeringer, foredrag og workshops for blandt andre Lægemiddelstyrelsen, GS1 Danmark, Bornholms Højskole og 30+ bornholmske SMV’er via Business Center Bornholm. Skriver om praktisk anvendelse af AI-værktøjer, prompt engineering og hvordan ledelser kommer i gang mandag morgen kl. 08.00.