Databeskyttelse

AI Act-software 2026: værktøjer til AI-forordningen

AI Act-software 2026: værktøjer til overholdelse af EU's AI-forordning for danske virksomheder. Risikoklassifikation, dokumentation, tidslinje og udvalgskriterier.

Also available in:English·lv

AI Act-software hjælper danske virksomheder med at opfylde kravene i EU’s AI-forordning (forordning (EU) 2024/1689): at kortlægge og klassificere AI-systemer efter risiko, dokumentere højrisikosystemer, sikre gennemsigtighed og opretholde et register over de AI-systemer, virksomheden udvikler eller anvender. For en dansk virksomhed er det rigtige værktøj i 2026 en platform, der fører et samlet AI-register, guider risikoklassifikationen og kobler AI-dokumentationen til den eksisterende GDPR-dokumentation – til en årspris på typisk 20.000-150.000 kr. Da forpligtelserne for højrisikosystemer først gælder fuldt fra august 2026, er det netop nu, danske virksomheder skal bygge overblikket. Denne guide gennemgår kravene, tidslinjen og kriterierne, der afgør valget.

Tidslinjen: hvornår gælder hvad?

AI-forordningen trådte i kraft den 1. august 2024 og indfases trinvist:

Dato Hvad træder i kraft
2. februar 2025 Forbud mod uacceptabel-risiko-systemer; krav om AI-kompetencer
2. august 2025 Forpligtelser for generelle AI-modeller (GPAI); styringsstruktur
2. august 2026 Hovedparten af kravene til højrisikosystemer
2. august 2027 Højrisikosystemer indlejret i regulerede produkter

For danske virksomheder betyder det, at 2026 er året, hvor højrisikoforpligtelserne bliver konkrete. Et værktøj, der allerede nu holder styr på, hvilke AI-systemer virksomheden anvender, og hvordan de klassificeres, gør overgangen håndterbar frem for en hastesag i sidste øjeblik.

Risikoklassifikationen: fundamentet

AI-forordningen inddeler systemer i fire risikoniveauer, og softwaren skal understøtte klassifikationen:

  • Uacceptabel risiko – forbudt (f.eks. social scoring, visse former for biometrisk overvågning).
  • Høj risiko – tilladt med strenge krav til risikostyring, datastyring, dokumentation, menneskeligt tilsyn og robusthed (f.eks. AI i rekruttering, kreditvurdering, kritisk infrastruktur).
  • Begrænset risiko – gennemsigtighedskrav (f.eks. chatbots skal oplyse, at brugeren taler med en maskine).
  • Minimal risiko – ingen særlige krav (f.eks. spamfiltre).

Størstedelen af arbejdet ligger i at afgøre, om et system er højrisiko, og – hvis det er – at opfylde de tilhørende krav. Et værktøj, der guider denne vurdering og dokumenterer resultatet, er kernen i AI Act-software.

Hvad skal softwaren dække?

Krav Hvad det indebærer Hvad værktøjet skal kunne
AI-register Overblik over alle AI-systemer Struktureret register over udviklede og anvendte systemer
Risikoklassifikation Placering i de fire niveauer Guidet vurdering med dokumentation
Højrisikodokumentation Teknisk dokumentation, risikostyring Skabeloner og sporbarhed
Gennemsigtighed Oplysning til brugere Registrering af gennemsigtighedsforanstaltninger
Overlap med GDPR AI der behandler personoplysninger Kobling til fortegnelsen og DPIA

AI Act og GDPR: det uundgåelige overlap

Næsten alle højrisiko-AI-systemer behandler personoplysninger, og dermed gælder både AI-forordningen og databeskyttelsesforordningen samtidig. En AI-konsekvensanalyse efter AI Act og en konsekvensanalyse (DPIA) efter GDPR’s artikel 35 overlapper betydeligt. Det er derfor, det giver mening at føre AI-dokumentationen i samme platform som GDPR-dokumentationen frem for i et separat system. For danske virksomheder, der allerede har et GDPR-program, er den mest omkostningseffektive vej at udvide platformen med AI-funktioner. Legiscope er bygget til at holde GDPR- og AI-dokumentationen samme sted.

Udvalgskriterier for danske virksomheder

  • AI-register først. Uden et overblik over, hvilke AI-systemer virksomheden anvender, kan intet andet gøres. Registeret er startpunktet.
  • Guidet risikoklassifikation. De fleste virksomheder er i tvivl om, hvornår et system er højrisiko. Et værktøj, der guider vurderingen, sparer juristtimer.
  • Kobling til GDPR. Undgå at føre AI- og GDPR-dokumentation i to systemer, der ikke taler sammen.
  • Dansk output og EU-hosting. Dokumentationen skal kunne fremvises for danske tilsynsmyndigheder, efterhånden som de udpeges og bringes i funktion.

AI-kompetencer: et krav der allerede gælder

En pligt, der ofte overses, er kravet om AI-kompetencer (AI literacy), der har været gældende siden den 2. februar 2025. Enhver virksomhed, der udvikler eller anvender AI-systemer, skal sikre, at de medarbejdere, der arbejder med systemerne, har et tilstrækkeligt niveau af viden om AI – tilpasset deres rolle og systemets risiko. Det er ikke et krav om formel certificering, men om, at virksomheden aktivt sørger for, at medarbejderne forstår, hvad systemerne gør, hvilke risici de indebærer, og hvordan de bruges ansvarligt. For danske virksomheder betyder det, at AI-efterlevelse ikke kun handler om dokumentation, men også om træning. Et værktøj, der registrerer, hvilke medarbejdere der har gennemgået hvilken oplæring, gør det muligt at dokumentere, at kravet er opfyldt – på samme måde som dokumentation af medarbejderuddannelse under NIS2 og GDPR.

Softwarealternativer

Markedet er ungt. Rene AI-governance-platforme er ved at modnes og fokuserer på register og klassifikation, men er ofte dyre og bygget til store organisationer. Bredere GRC-suiter tilføjer AI-moduler til eksisterende compliance-platforme. GDPR-platforme med AI-modul – som Legiscope – er stærke for de mange danske virksomheder, hvor AI-systemerne allerede behandler personoplysninger, fordi AI- og GDPR-dokumentationen holdes samlet. For de fleste danske SMV’er er et separat AI-governance-system overkill i 2026; en udvidelse af den eksisterende GDPR-platform dækker behovet. Sammenlign bredere i GDPR-software sammenligning.

Kostnad

AI Act-software koster typisk 20.000-150.000 kr. om året. For en virksomhed, der udvider en eksisterende GDPR-platform med et AI-modul, ligger merprisen ofte i den lave ende, mens en selvstændig AI-governance-platform til en stor organisation lander højere. Se den generelle prisgennemgang; principperne gælder også AI-værktøjer. Overordnet om de danske rammer: databeskyttelse i Danmark.

Højrisikosystemernes konkrete krav

Når et system klassificeres som højrisiko, udløser AI-forordningen en række konkrete pligter, som softwaren skal hjælpe med at dokumentere. Udbyderen skal etablere et risikostyringssystem, sikre datastyring af høj kvalitet i træningsdata, udarbejde teknisk dokumentation, føre logfiler, sikre gennemsigtighed over for brugerne, muliggøre menneskeligt tilsyn og opnå et passende niveau af nøjagtighed og robusthed. Deployere – altså virksomheder, der anvender et højrisikosystem udviklet af andre – har deres egne pligter, blandt andet at bruge systemet i overensstemmelse med brugsanvisningen, sikre menneskeligt tilsyn og overvåge driften. For danske virksomheder er det væsentligt at afklare, om man er udbyder eller deployer, fordi pligterne er forskellige. Et værktøj, der guider denne rollefordeling og de tilhørende krav, sparer betydelig juridisk analyse.

AI-register: sådan kommer du i gang

Startpunktet for enhver AI Act-efterlevelse er et register over virksomhedens AI-systemer. Uden overblik over, hvad der reelt anvendes, kan intet klassificeres eller dokumenteres. En pragmatisk fremgangsmåde: kortlæg alle systemer med en AI-komponent – både indkøbte værktøjer og egenudviklede løsninger – notér for hvert system, hvad det bruges til, hvilke data det behandler, og om det træffer eller understøtter beslutninger om mennesker. Klassificér derefter hvert system i de fire risikoniveauer, og prioritér de systemer, der kan være højrisiko. Registeret bør holdes ajour, efterhånden som nye AI-værktøjer tages i brug – præcis som fortegnelsen over behandlingsaktiviteter under GDPR. Mange danske virksomheder opdager i denne øvelse, at de anvender langt flere AI-systemer end forventet, ofte indlejret i eksisterende software.

AI Act og databeskyttelse: én samlet vurdering

Fordi næsten alle højrisiko-AI-systemer behandler personoplysninger, gælder AI-forordningen og databeskyttelsesforordningen samtidig. En AI-konsekvensvurdering efter AI Act og en konsekvensanalyse (DPIA) efter GDPR’s artikel 35 dækker delvist de samme spørgsmål om risici for fysiske personer. I praksis er det derfor mest effektivt at gennemføre vurderingerne samlet frem for i to adskilte processer. Det samme gælder gennemsigtighed: oplysningspligten over for brugerne af et AI-system overlapper oplysningspligten over for de registrerede efter artikel 13-14. En dansk virksomhed, der allerede har et GDPR-program, kan derfor bygge AI-efterlevelsen oven på det eksisterende arbejde frem for at starte forfra. Se den overordnede ramme i databeskyttelse i Danmark.

Ofte stillede spørgsmål

Hvad koster AI Act-software?

Typisk 20.000-150.000 kr. om året. For danske SMV’er er en udvidelse af den eksisterende GDPR-platform med et AI-modul billigst, ofte fra nogle få tusinde kroner om måneden. Selvstændige AI-governance-platforme til store organisationer koster mere. Da højrisikoforpligtelserne først gælder fuldt fra august 2026, kan mange starte med et enkelt AI-register og udvide efter behov.

Skal min virksomhed overholde AI-forordningen?

Hvis I udvikler eller anvender AI-systemer, gælder forordningen for jer – med krav der afhænger af systemets risikoniveau. De fleste virksomheder anvender AI af begrænset eller minimal risiko med lette krav, men systemer i rekruttering, kreditvurdering eller kritisk infrastruktur kan være højrisiko med omfattende pligter. Start med at kortlægge og klassificere jeres AI-systemer.

Er AI Act-software det samme som GDPR-software?

Nej, men de overlapper. AI Act-software håndterer AI-register, risikoklassifikation og højrisikodokumentation, mens GDPR-software håndterer fortegnelse, databehandleraftaler og registreredes rettigheder. Da næsten alle højrisiko-AI-systemer behandler personoplysninger, er en platform, der dækker begge, mest effektiv for danske virksomheder.

Konklusion

AI Act-software handler i 2026 om at bygge overblikket, før højrisikoforpligtelserne gælder fuldt fra august. Kernen er et samlet AI-register, en guidet risikoklassifikation og en kobling til den eksisterende GDPR-dokumentation, fordi næsten alle højrisikosystemer også behandler personoplysninger. For de fleste danske virksomheder er en udvidelse af den eksisterende GDPR-platform – som Legiscope – både billigere og mere sammenhængende end et separat AI-governance-system. Start med registeret, klassificér systemerne, og behandl AI-efterlevelse som en forlængelse af databeskyttelsesarbejdet frem for en isoleret opgave.

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →