AI-dokumentation og audit trail er de to tekniske søjler i EU AI Act’s compliance-krav for højrisiko-AI-systemer. Danske virksomheder har deadline den 2. august 2026 til at have dem på plads — og i modsætning til GDPR er der ingen implementeringsperiode på flere år. Når deadlinen rammer, er kravene fuldt gældende.
Det gode nyt: dokumentation og audit trail er ikke raketvidenskab. Det dårlige nyt: de fleste danske SMV’er vi taler med har ingen plan endnu, og mange har undervurderet hvor mange af deres AI-anvendelser der faktisk rammer højrisiko-kategorien.
I denne guide gennemgår vi præcis hvad EU AI Act kræver, hvordan en dansk virksomhed kommer fra nul til compliance, og hvilke værktøjer der giver mening for forskellige virksomhedsstørrelser.
Hvad er AI-dokumentation og audit trail?
AI-dokumentation er en struktureret beskrivelse af et AI-systems formål, arkitektur, træningsdata, testprocedurer og begrænsninger. Audit trail er den tekniske logging-kapacitet der automatisk registrerer hvad systemet faktisk gør i drift — inputs, outputs, beslutninger, og menneskelig interaktion.
Sammen udgør de det beviskompleks EU AI Act kræver. Dokumentationen beviser hvordan systemet er designet og testet. Audit trail beviser hvordan det faktisk bruges i virkeligheden. Begge er nødvendige — ingen af dem er tilstrækkelige alene.
Artikel 12 i EU AI Act definerer kravet: højrisiko-AI-systemer skal teknisk muliggøre automatisk registrering af hændelser over systemets levetid, med logging-kapaciteter der muliggør identifikation af risikosituationer, post-markeds-overvågning, og løbende overvågning af systemets drift.
For en komplet gennemgang af EU AI Act og hvilke systemer der er højrisiko, se vores EU AI Act guide for danske virksomheder.
Kravene i praksis
Der er tre kategorier af krav I skal tage stilling til. Hver kategori har sine egne deadlines, krav til detaljer, og bevis-standarder.
Kategori 1: Teknisk dokumentation (Artikel 11 + Annex IV)
Dette er den statiske dokumentation om systemet. Den skal skrives én gang (og opdateres ved væsentlige ændringer), og den udgør grundlaget for overensstemmelseserklæringen.
Indhold (minimum):
- Systemets formål og tilsigtede brugere
- Arkitektur og tekniske specifikationer
- Trænings- og testdata (kilder, preprocessing, bias-check)
- Modellens performance-metrikker og begrænsninger
- Risici og deres mitigering
- Menneskeligt tilsyn og interventionsmuligheder
- Cybersikkerhedsforanstaltninger
Opbevaring: 10 år efter systemet er taget af markedet eller taget ud af drift.
Kategori 2: Automatisk logging / audit trail (Artikel 12)
Dette er den dynamiske, løbende registrering af systemets drift. Logging skal være automatisk, kronologisk og — vigtigst — verificerbar.
Minimum-indhold per logging-event:
- Tidsstempel (immutable, ikke redigerbar)
- Input til systemet
- Output eller beslutning
- Model-version der leverede svaret
- Konfidens-score eller tilsvarende kvalitetsmål
- Menneskelige interaktioner (hvem godkendte hvad, hvornår)
- Systemtilstand (performance-metrikker, miljøvariabler)
Opbevaring: Minimum 6 måneder, længere hvis anden lovgivning kræver det.
Kategori 3: Post-market monitoring (Artikel 72)
Løbende overvågning af systemets performance og risici efter det er taget i brug. Skal eskaleres til myndigheder hvis der opdages alvorlige problemer.
Indhold:
- Kontinuerlig måling af accuracy, bias, drift
- Indberetning af alvorlige hændelser inden for 15 dage
- Årlig gennemgang og opdatering af risikovurdering
Hvem er omfattet?
Ikke alle AI-systemer er højrisiko, og de fleste SMV’er overvurderer eller undervurderer deres eksponering. Her er den praktiske guide.
Klart højrisiko (omfattet):
- AI til rekruttering, screening af CV’er eller vurdering af ansatte
- AI til kreditvurdering eller forsikringspremier
- AI der styrer kritisk infrastruktur
- AI der bruges i uddannelse til vurdering af studerende
- AI der bruges af myndigheder i asyl-, migrations- eller grænsekontrol
Grå zone (kræver vurdering):
- Chatbots der interagerer med kunder (hvis de påvirker kontraktforhold)
- AI der genererer indhold eller tilbud der binder virksomheden
- AI-drevet automatisering af HR-beslutninger (selv uden at afskedige)
- AI der bruges til prædiktiv analyse af medarbejdere (se vores guide til AI-medarbejderfastholdelse for nuancerne)
Ikke højrisiko:
- AI til generel kontoropgave-produktivitet (skrivehjælp, mødereferater)
- Chatbots der kun giver generisk information
- AI til marketing-content uden persondata-påvirkning
- Interne AI-assistenter uden kundefacing output
En typisk fejl vi ser hos danske SMV’er er at tro at “vi bruger bare ChatGPT, så det gælder ikke os”. Sandheden er at hvordan I bruger AI — ikke hvilket værktøj I bruger — afgør om I er omfattet. En medarbejder der bruger ChatGPT til at screene CV’er flytter jer ind i højrisiko-kategorien, uanset om det er en intern vane eller en formel proces.
Praktiske værktøjer til AI-dokumentation
Her er værktøjerne vi oftest anbefaler til danske virksomheder afhængigt af kompleksitet og budget.
| Værktøj | Pris/md. | Bedst til | Kompleksitet |
|---|---|---|---|
| Credo AI | 2.000-5.000 kr. | AI-governance for 3+ systemer | Medium |
| Holistic AI | ~3.000 kr. | Bias- og fairness-testing | Medium |
| MLflow | Gratis (self-hosted) | Model-tracking, teknisk tungt | Høj |
| Weights & Biases | 500-2.000 kr. | ML-udvikling og tracking | Medium |
| n8n + Supabase | 50-200 kr. | Simple audit trails for SMV’er | Lav-Medium |
| Excel/Notion template | 0-70 kr. | Mikrovirksomheder med 1 system | Lav |
Anbefaling til SMV’er med 1-3 AI-systemer: Start med en kombination af Notion (dokumentation) + n8n eller Supabase (audit trail). Det er billigere, mere fleksibelt og matcher niveauet af compliance I realistisk har brug for.
Anbefaling til virksomheder med 5+ AI-systemer eller kritisk infrastruktur: Invester i Credo AI eller lignende dedikeret governance-platform. Omkostningen er forsvarlig når I risikerer betydelige bøder og flere systemer skal monitoreres løbende.
Implementeringsplan: Fra 0 til compliance på 120 dage
Her er den plan vi bruger med danske SMV-klienter. Start senest 120 dage før 2. august 2026-deadlinen — det vil sige senest i april 2026. Det er nu.
Fase 1: Inventarisering (uge 1-3)
Mål: Find ud af præcis hvilke AI-systemer I bruger og hvilke der er højrisiko.
- Gennemgå alle afdelinger og kortlæg AI-brug (inkl. ChatGPT, Copilot, branchespecifikke tools)
- Klassificer hvert system: ikke-højrisiko, grå zone, eller højrisiko
- For grå zone: få juridisk rådgivning til klassifikationen
Typisk resultat for en dansk SMV med 30-100 ansatte: 10-30 AI-systemer identificeret, hvoraf 1-3 er højrisiko.
Fase 2: Dokumentation (uge 4-10)
Mål: Skriv teknisk dokumentation for hvert højrisiko-system.
- Brug EU AI Act Annex IV som template (den er offentligt tilgængelig)
- Involver systemets “ejer” eller leverandør
- Inkluder: formål, data, performance, risici, tilsyn
Hvis I bruger et eksternt AI-system (fx et rekrutteringsværktøj med AI), skal leverandøren levere det meste af dokumentationen. Bed dem eksplicit om “EU AI Act teknisk dokumentation” — de fleste har allerede skabt den i 2025-2026.
Fase 3: Audit trail og logging (uge 11-16)
Mål: Etabler automatisk logging for hvert højrisiko-system.
- For egenbygget AI: implementer logging direkte i systemet
- For tredjepartssystemer: kræv logging-funktionalitet fra leverandøren
- Opret central database (Supabase, PostgreSQL eller dedikeret governance-platform)
Logging skal være: tidsstemplet, umutable, søgbart, og matchet med individuelle beslutninger der kan spores retroaktivt.
Fase 4: Governance og uddannelse (uge 17-20)
Mål: Etabler den organisatoriske ramme der holder compliance i live.
- Udnævn en AI-ansvarlig (se vores AI-ansvarlig rolle guide)
- Dokumenter incident-rapporteringsprocedure (15-dages deadline)
- Skriv intern AI-politik med audit-krav
- Uddan medarbejderne i hvornår og hvordan de skal rapportere problemer
Efter 120 dage har I en baseline der står op til myndighedstjek. Compliance er ikke en engangsopgave — det er en løbende proces, men grundlaget er lagt.
Hvis I er i tvivl om jeres eksponering eller ikke ved hvor I skal starte, så book en uforpligtende gennemgang med AI-AG — vi hjælper danske SMV’er med hurtig afklaring og en konkret plan til deadline.
Typiske faldgruber
Baseret på erfaringer med implementeringsprojekter er her de fejl vi oftest ser.
Fejl 1: Skubber det til efter sommerferien Deadline er 2. august. Danske virksomheder har tradition for sommerferie i juli. Der er ikke tid til at starte efter sommerferien — det skal være på plads før I holder ferie.
Fejl 2: Tror at leverandøren tager sig af det Hvis I bruger et tredjeparts AI-system, har leverandøren ansvar for deres del af dokumentationen. Men I har ansvar for at dokumentere jeres brug af systemet — konteksten, brugerne, beslutningerne der træffes. Leverandøren kender ikke jeres interne processer.
Fejl 3: Overdimensionerer Nogle virksomheder køber enterprise-governance-platforme til 50.000 kr./md. for at dokumentere ét system. Det er overkill. Start med det simpleste værktøj der dækker kravene, og opskaler kun hvis I har mange systemer.
Fejl 4: Ignorerer logging-kravene Dokumentation uden audit trail er halvt arbejde. Myndighederne kan — og vil — spørge “vis mig beslutningen dette system tog på dato X for person Y”. Uden audit trail kan I ikke svare, og uden at kunne svare er I ude af compliance.
Fejl 5: Tror at GDPR og EU AI Act er det samme De overlapper, men de er forskellige regelsæt med forskellige krav. GDPR handler om persondata. EU AI Act handler om AI-systemer (med eller uden persondata). I skal overholde begge hvis I er omfattet af begge — og det er de fleste danske virksomheder der bruger AI på nogen måde.
Sanktioner: Hvad er konsekvenserne?
EU AI Act har indbygget et sanktionssystem der matcher GDPR i skala — men med forskellige bøde-niveauer afhængigt af overtrædelsestype.
| Overtrædelsestype | Maksimal bøde |
|---|---|
| Forbudte AI-praksis (artikel 5) | 35 mio. EUR eller 7% af global omsætning |
| Højrisiko-krav (dokumentation, audit trail, governance) | 15 mio. EUR eller 3% af global omsætning |
| Leverandør-forpligtelser, vildledning | 7,5 mio. EUR eller 1% af global omsætning |
For en dansk SMV med 50 mio. kr. i omsætning betyder 3 procent maksimumsbøden ca. 1,5 mio. kr. — mange gange mere end det ville koste at implementere compliance korrekt fra start.
Praktisk template: Minimum audit trail
For SMV’er der vil komme i gang uden at købe en dedikeret platform, er her et minimum audit trail-skema der opfylder artikel 12-kravene.
Tabelstruktur (Supabase, PostgreSQL eller endda Google Sheet som midlertidig løsning):
| Felt | Type | Beskrivelse |
|---|---|---|
event_id | UUID | Unik identifikator for hver hændelse |
timestamp | Datetime | Immutable tidsstempel (UTC) |
system_id | Text | Hvilket AI-system der lavede beslutningen |
model_version | Text | Version af modellen på tidspunktet |
input_hash | Text | Hash af input (ikke raw input af GDPR-hensyn) |
output | Text | Beslutning eller output |
confidence_score | Float | Konfidens fra modellen |
human_reviewer | Text | Hvem godkendte (hvis relevant) |
review_outcome | Text | Menneskelig beslutning/overrule |
metadata | JSONB | Øvrige relevante data |
Denne struktur kan implementeres i n8n på under 3 timer og opfylder de tekniske minimumskrav til artikel 12-logging for de fleste højrisiko-use cases.
FAQ: AI-dokumentation og audit trail
Hvornår træder kravene i kraft?
- august 2026 for de fleste højrisiko-systemer. Visse general-purpose AI-krav er allerede i kraft fra august 2025.
Hvor længe skal man gemme logs?
Minimum 6 måneder for audit trail-logs. 10 år for teknisk dokumentation efter systemet er taget ud af drift.
Gælder kravene for alle AI-systemer?
De fulde krav gælder primært højrisiko-systemer. Ikke-højrisiko har lettere krav men ikke ingen krav — transparens og grundlæggende dokumentation er stadig nødvendigt.
Kan man bruge screenshots?
Nej. I 2026-compliance-miljøet tæller kun operationel evidens. Automatisk logging er et krav, ikke en anbefaling.
Hvad koster det?
For en SMV med 1-3 højrisiko-systemer: 75.000-250.000 kr. første års implementering, 20.000-60.000 kr./år i drift.
Hvilke værktøjer findes?
Credo AI, Holistic AI, MLflow, Weights & Biases for dedikeret governance. n8n + Supabase for simple use cases. Notion/Excel som supplement til dokumentation.
Er leverandøren ansvarlig for dokumentation?
Leverandøren er ansvarlig for teknisk dokumentation af selve systemet. I er ansvarlig for dokumentation af hvordan I bruger det — konteksten, brugerne, beslutningerne.
Start nu — deadlinen kommer hurtigt
Compliance med EU AI Act’s dokumentations- og audit trail-krav er ikke noget I kan skubbe til efter sommerferien. Deadlinen er 2. august 2026, og i praksis betyder det at arbejdet skal være færdigt i juni for at I kan teste og justere.
Book en uforpligtende compliance-gennemgang — vi hjælper danske SMV’er med at afklare deres eksponering, vælge det rigtige værktøjsniveau, og lave en konkret 120-dages plan til deadlinen.
Eller skriv direkte til martin@ai-ag.dk. Vi har hjulpet flere danske virksomheder med at komme fra nul til compliance-klar — og vi ved hvor faldgruberne er.