Gå til indhold
Spekir
AIeu-ai-actcompliancemidmarket

EU AI Act for midmarket — hvad du faktisk skal gøre

En pragmatisk køreplan til IT-leder eller compliance-koordinator der skal omsætte EU AI Act til handling uden dedikeret compliance-team. De 20 ting, prioritering og hvad der er realistisk.

Founder, Spekir9 min læsetid
Hop til afsnit...

EU AI Act er trådt i kraft. Fra 2. august 2026 gælder de fulde forpligtelser for udbydere og deployere af AI-systemer i Europa. For midmarket-virksomheder med 200–5.000 ansatte er udfordringen ikke mangel på information — den er mangel på en konkret plan der passer til jeres størrelse og ressourcer.

Denne guide er ikke et juridisk dokument. Den er en pragmatisk køreplan skrevet til den IT-leder, EA-ansvarlige eller compliance-koordinator der skal omsætte AI Act til handling uden et dedikeret compliance-team.

Hvad EU AI Act faktisk kræver af jer

AI Act indfører en risikobaseret regulering. Det betyder at kravene afhænger af hvilken slags AI I deployer, og hvilken rolle I spiller: er I udbyder (provider), som bygger AI-systemer, eller deployer, som tager andres AI-systemer i brug?

De fleste midmarket-virksomheder er deployere. I deployer systemer som Microsoft Copilot, chatbots fra jeres ERP-leverandør, eller AI-drevne rekrutteringsværktøjer. Som deployer har I færre forpligtelser end en udbyder — men I er ikke fri.

Forpligtelserne for deployere af high-risk AI inkluderer:

  • AI literacy-program: Alle medarbejdere der arbejder med AI-systemer skal have relevant træning (Article 4).
  • Menneskelig tilsyn: High-risk AI-systemer skal have et defineret tilsynsregime, herunder klare regler for hvornår et menneske kan gribe ind eller stoppe systemet.
  • Brugsbeskrivelse og teknisk dokumentation: I skal dokumentere hvad systemet gør, hvem der bruger det, og under hvilke betingelser.
  • Logning og sporbarhed: Automatisk logning af systemaktivitet i relevant omfang.
  • Transparens over for berørte: Brugere der interagerer med AI-systemer skal informeres.

For systemer med minimal risiko (f.eks. spam-filtre, anbefalingsalgoritmer uden individuel profilering) er kravene langt lavere. Her er transparensanbefalinger frivillige.

De 20 ting du skal have styr på — en prioriteret oversigt

AI Act's krav kan kortlægges i seks kategorier. Her er en prioriteret rækkefølge for midmarket:

A. Organisation

A1 — AI-ansvarlig rolle: Udpeg enten en AI Officer eller tilknyt ansvaret til en eksisterende rolle (CTO, IT-chef). Dokumentér hvem der ejer AI-compliancen.

A2 — Governance-struktur: Beskriv beslutningsprocessen for onboarding af nye AI-systemer. Hvem godkender? Hvem vurderer risiko? En simpel beslutningsmatrice er nok til at starte.

A3 — AI-politik: En skrevet politik med formål, risikoramme, acceptable og uacceptable anvendelser samt ansvarsdeling. Den behøver ikke fylde 30 sider.

A4 — Incident-håndtering: Hvad gør I, hvis et AI-system fejler, producerer bias-ramt output, eller bruges uhensigtsmæssigt? En simpel incident-log og eskalationsprocedure er minimum.

B. Kortlægning

B1 — AI inventory: En register over alle AI-systemer i drift. Inkludér navn, leverandør, formål, brugergruppe og foreløbig risikovurdering. Shadow AI (f.eks. ChatGPT-brug uden IT-sanktion) skal også med.

B2 — Risikoklassificering: Klassificér hvert system som uacceptabelt / høj risiko / begrænset risiko / minimal risiko. Brug Annex III som reference for high-risk kategorier.

B3 — Brugsbeskrivelse: For hvert high-risk system, skriv en kort beskrivelse af den tilsigtede brug, brugergruppe og potentielle effekt på berørte individer.

C. Træning

C1 — AI literacy baseline: Vurder det nuværende kompetenceniveau. Identificér hvem der træner med hvad.

C2 — Træningsplan: Lav en årsplan for AI literacy-træning delt på roller (beslutningstagere, brugere, IT).

C3 — Dokumentation af træning: Registrér gennemførte forløb med dato, deltager og indhold. Enkelt regneark dur til at starte.

D. Risikovurdering

D1 — FRIA for high-risk: Fundamental Rights Impact Assessment for alle high-risk AI-systemer. Fem-trins vurdering af effekt på grundlæggende rettigheder.

D2 — DPIA-koordination: Koordinér med GDPR-ansvarlig om overlap mellem DPIA og FRIA for systemer der behandler personoplysninger.

D3 — Teknisk dokumentation: For high-risk systemer, opbyg dokumentation i henhold til Article 11: system-arkitektur, træningsdata-beskrivelse, ydeevnemetrikker, kendte begrænsninger.

D4 — Automatisk logning: Identificér og implementér logging-krav per system i henhold til Article 12 og 26.

E. Leverandører

E1 — Kontraktgennemgang: Gennemgå eksisterende AI-kontrakter. Sørg for at leverandøren dokumenterer systemets Annex III-status og leverer relevant teknisk dokumentation.

E2 — AI due diligence: Indfør en due diligence-tjekliste for nye AI-leverandører.

E3 — Løbende overvågning: Sæt en proces for at modtage og reagere på opdateringer fra leverandører om compliance-status, ændringer i AI-systemet og incidents.

F. GDPR og transparens

F1 — AI-genereret output mærkning: For systemer der producerer output til kunder eller brugere, indfør synlig markering af AI-genereret indhold.

F2 — Menneskelig intervention: Dokumentér for hvert high-risk system, hvordan menneskelig tilsyn er operationaliseret.

F3 — GDPR-koordination: Opdatér privatlivspolitikker og RoPA (Register of Processing Activities) til at afspejle AI-systemer.

Prioritering: hvad starter du med?

Med 102 dage til deadline er rækkefølgen vigtig. En realistisk prioritering for en midmarket-virksomhed der starter fra nul:

Uge 1–2: Kortlæg og klassificér Start med AI inventory. I kan ikke prioritere det I ikke ved eksisterer. Brug tre spørgsmål per system: Hvad gør det? Hvem berøres? Hvad er konsekvenserne af fejl?

Uge 3–4: Risikovurder high-risk systemer Brug Annex III-listen og kør FRIA for systemer der falder inden for high-risk kategorier. Fokusér på systemer med direkte menneskelig effekt: rekruttering, kredit, sundhed, uddannelse.

Uge 5–8: Opbyg governance-fundament Udpeg AI-ansvarlig, skriv AI-politik, lav incident-procedure. Dette er policy-arbejde der ikke kræver tekniske ressourcer.

Uge 9–12: Dokumentation og leverandørdialog Indhent dokumentation fra leverandører af high-risk systemer. Start teknisk dokumentationsopbygning for inhouse AI-systemer.

Løbende: Træning AI literacy er ikke et engangsforløb. Start med ledelsesniveauet, ryd ned til bruger-niveau.

Hvad er realistisk for en midmarket-virksomhed?

Vær ærlig med jer selv: I har ikke ressourcerne til at køre AI Act som en stor enterprise gør det. Og det behøver I heller ikke. Reguleringsmyndighederne ser på proportionalitet. Det der kræves af en 300-personers produktionsvirksomhed er ikke det samme som af en 3.000-personers finanskoncern.

Det realistiske mål er:

  • AI inventory der er komplet nok: Ikke perfekt, men dækkende for de systemer der faktisk har effekt.
  • Governance der er enkel nok til at holde: En AI-politik du faktisk vedligeholder er bedre end en 50-siders policy der ikke opdateres.
  • Dokumentation der matcher risikoen: Brug jeres kræfter på high-risk systemer. Minimal-risk systemer kræver minimal indsats.
  • Processer der kan gentages: Incident-håndtering, due diligence, træning — det skal være simpelt nok til at det faktisk sker.

Værktøjer og infrastruktur

En AI inventory kan starte i et regneark. Men med ti eller tyve systemer begynder strukturen at smuldre. Overvej tidligt om I vil bruge et dedikeret AI governance-værktøj der kan:

  • Holde AI-inventoryen struktureret og opdateret
  • Tilknytte risikoklassificeringer per system
  • Generere compliance-dokumentation (teknisk dokumentation, FRIA, AI-politik)
  • Give overblik over governance-status på tværs af systemer

Et sådant værktøj behøver ikke koste enterprise-priser. Det vigtige er at det er designet til governance-arbejde, ikke blot som et regneark med fancy brugerflade.

Sanktioner og tilsyn: hvad sker der hvis I ikke efterlever?

Overtrædelse af AI Act kan resultere i bøder op til 35 millioner euro eller 7 % af den globale årsomsætning — det højeste beløb gælder. Det gælder udbydere og deployere af forbudte AI-systemer. For high-risk-systemer er bødeniveauet 15 millioner euro / 3 %.

Tilsynet håndteres af nationale kompetente myndigheder. I Danmark forventes Datatilsynet at spille en central rolle, særligt for AI-systemer der behandler personoplysninger. Der er endnu ikke vedtaget en dedikeret dansk AI-tilsynsmyndighed, men det arbejde er i gang.

Det vigtige er ikke bødernes størrelse — det er at tilsynet vil følge en risikobaseret tilgang. Myndigheder vil prioritere de organisationer der åbenlyst ignorerer loven, og de systemer der har størst potentiel skadevirkning. Midmarket-virksomheder der kan dokumentere en god-tro indsats — et AI inventory, en AI-politik, en FRIA for high-risk systemer — vil stå langt bedre end dem der ikke har rørt ved emnet.

Hvad er "proportionalitet" i praksis?

AI Act har et proportionalitetsprincip der anerkender at SMV'er og midmarket-virksomheder ikke kan møde de samme administrative krav som globale tech-giganter. Det betyder konkret:

  • Forenklet teknisk dokumentation for virksomheder der ikke er udbydere men deployere
  • Risikovurderinger der matcher systemets faktiske risiko — et chatbot-FAQ-system kræver ikke samme dokumentation som et rekrutteringsalgoritmesystem
  • Fleksibilitet i implementering af AI literacy-programmer, så længe effekten dokumenteres

Det betyder ikke at proportionalitet er en frihavntilladelse. Det betyder at jeres compliance skal matche jeres faktiske AI-profil. Har I ingen high-risk systemer, er kravene minimale. Har I tre high-risk systemer, skal de tre have fuld behandling.

Det AI Act faktisk ændrer i jeres hverdag

Den mest undervurderede konsekvens af AI Act er ikke dokumentationskravene — det er leverandørdialogen. Fra 2026 vil I blive spurgt af jeres AI-leverandører: "Har I dokumenteret at I bruger systemet inden for dets tilsigtede brug?" Og I vil selv stille det spørgsmål til nye leverandører: "Kan I dokumentere at dette system ikke er high-risk, eller levere den nødvendige tekniske dokumentation?"

AI Act ændrer købsdialogen for AI-systemer permanent. Det er en sund ændring — men det kræver at I er klar.

Næste skridt

Start her:

  1. Udfyld AI inventory skabelonen (download vores tjekliste som PDF)
  2. Klassificér hvert system med Annex III som guide
  3. Udpeg en AI-ansvarlig — selv en deltidsrolle er bedre end ingen
  4. Skriv en simpel AI-politik — ét A4-ark med formål, ramme og ansvar
  5. Start leverandørdialogen — kontakt jeres top-3 AI-leverandører og bed om AI Act-dokumentation

AI Act er ikke designet til at stoppe AI-innovation. Det er designet til at gøre AI-deployment trustworthy. Det er faktisk et rimeligt mål — og et der gavner jer, ikke blot reguleringsmyndighederne.

For virksomheder der ønsker at automatisere compliance-arbejdet, kan et AI governance-værktøj som Atlas erstatte regneark og dokumenttepper med en struktureret, revisionsklar platform. Men det vigtigste første skridt er ikke at vælge et værktøj — det er at lave inventoryen.

Governance handler om at vide hvad I deployer, hvem det berører, og hvad I gør hvis noget går galt. Det er god it-ledelse, uanset om loven kræver det.

eu-ai-actcompliancemidmarketgovernance
DelLinkedInX

Spekir bygger det lag, der forbinder strategi med IT-porteføljen. Se Atlas →

Relaterede artikler

Annex III forklaret — hvornår er din AI 'high-risk'?

De otte kategorier i Annex III gennemgået med konkrete eksempler fra nordisk midmarket. Hvornår er jeres rekrutteringsværktøj, kreditscoring eller OT-system high-risk under EU AI Act?

8 min

Din AI-politik — 8 sektioner du ikke kan undvære

Hvad skal en AI-politik indeholde? De otte obligatoriske sektioner, typiske fejl og hvad der adskiller en politique der faktisk bruges fra én der lever i en PDF-mappe ingen åbner.

8 min

DPIA og FRIA — to dokumenter, to formål

Forskel og overlap mellem GDPR's DPIA og AI Act's FRIA. Hvornår skal I lave hvad, hvem er ansvarlig, og hvordan undgår I dobbeltarbejde med en koordineret workflow?

9 min

Alle artikler