En AI-risikovurdering er en systematisk gennemgang af de risici dine AI-systemer medfører for din virksomhed. For danske virksomheder er den ikke længere valgfri. EU AI Act kræver den for højrisiko-AI inden august 2026, og selv for lavrisiko-værktøjer som ChatGPT og Copilot er en struktureret risikovurdering den bedste forsikring mod dyre fejl.
Alligevel har de færreste danske SMV’er lavet én. Dels fordi processen virker uoverskuelig, dels fordi de fleste vejledninger er skrevet til compliance-jurister. Denne guide giver dig en praktisk 4-trins model du kan følge, en konkret tjekliste du kan bruge, og den sammenhæng med EU AI Act du skal kende.
Hvad er en AI-risikovurdering — og hvorfor har du brug for én?
AI-risikovurdering: En struktureret proces hvor du identificerer, vurderer og dokumenterer de risici dine AI-systemer medfører for virksomheden, medarbejderne, kunderne og samfundet. Formålet er at sikre ansvarlig AI-brug og overholde lovgivning som EU AI Act.
42% af danske virksomheder bruger allerede AI — højest i EU ifølge Eurostat. Men langt størstedelen har ingen formaliseret vurdering af hvad der kan gå galt.
Tre grunde til at en AI-risikovurdering er forretningskritisk
1. Lovgivning kræver det. EU AI Act kræver en formel risikovurdering for alle højrisiko-AI-systemer inden august 2026. Selv for begrænset-risiko AI anbefaler Digitaliseringsstyrelsen dokumenteret risikovurdering. Vores guide til EU AI Act giver det fulde overblik over kravene.
2. Fejl koster penge. En AI-chatbot der giver forkert rådgivning. Et rekrutteringsværktøj der systematisk frasorterer kvindelige ansøgere. Et automatiseret system der lækker kundedata. Disse scenarier sker allerede — og de koster langt mere end forebyggelse.
3. Kunderne forventer det. I vores arbejde med danske virksomheder ser vi en klar tendens: B2B-kunder spørger til leverandørers AI-praksis som en del af indkøbsprocessen. En dokumenteret AI-risikovurdering er ikke bare compliance — det er et konkurrenceparameter.
De 5 største AI-risici for danske virksomheder
Baseret på vores implementeringsprojekter og Dansk Industris risikokatalog for AI er her de fem risici der rammer danske SMV’er oftest.
1. Bias og diskrimination i AI-output
AI-systemer arver bias fra deres træningsdata. Et rekrutteringsværktøj trænet primært på engelsksprogede CV’er vil undervurdere kandidater med dansk uddannelsesbaggrund. Et kreditvurderingssystem kan diskriminere baseret på postnummer — en proxy for etnicitet.
Praktisk eksempel: En dansk virksomhed brugte et AI-screeningsværktøj til jobansøgninger. Værktøjet rangerede konsekvent mandlige ansøgere højere for tekniske stillinger — ikke fordi det var programmeret til det, men fordi træningsdataene indeholdt overvejende mandlige kandidater i de roller. Virksomheden opdagede det først efter 3 måneders brug.
Afhjælpning: Test dit AI-system med diverse input. Sammenlign output for forskellige demografiske grupper. Kræv dokumentation fra leverandøren om træningsdata.
2. Hallucinationer — faktuelt forkerte svar
Generativ AI producerer overbevisende tekst der indimellem er forkert. ChatGPT kan opfinde juridiske paragraffer, fabrikere statistikker og citere kilder der ikke eksisterer.
Afhjælpning: Indfør menneskeligt review før AI-genereret indhold når kunder. Brug retrieval-augmented generation (RAG) til at forankre svar i dine egne dokumenter. Test regelmæssigt for hallucinationer. Se vores komplette guide til at opdage og undgå AI-hallucinationer med 7 advarselssignaler og 6 tekniske tilgange der kan reducere fejlene med 60-80 procent.
3. Utilsigtet deling af persondata
Når en medarbejder kopierer kundenavne eller fortrolige aftaler ind i ChatGPT, forlader data virksomhedens kontrol. Det er en GDPR-overtrædelse — og det sker oftere end de fleste ledere tror.
Afhjælpning: Etablér en klar AI-politik der definerer hvilke datatyper der må behandles i hvilke systemer. Brug enterprise-versioner med databehandleraftale.
4. Manglende gennemsigtighed i AI-beslutninger
Når en AI træffer en beslutning — hvem der får et lån, hvilken kandidat der går videre — kan det være umuligt at forklare hvorfor. EU AI Act kræver gennemsigtighed for højrisiko-AI. Selv uden lovkrav er det et forretningsproblem: en beslutning du ikke kan forklare, kan du ikke forsvare.
Afhjælpning: Vælg AI-systemer der tilbyder forklarbarhed. Dokumentér hvordan AI-output bruges i beslutningsprocesser. Sørg for at et menneske altid kan tilsidesætte en AI-beslutning.
5. Leverandørafhængighed (vendor lock-in)
Mange virksomheder bygger kritiske processer op omkring én enkelt AI-leverandør. Hvis leverandøren ændrer priser eller vilkår, sidder virksomheden fast.
Afhjælpning: Brug abstraktionslag som n8n der gør det nemt at skifte mellem AI-modeller. Bevar altid ejerskabet over dine data og prompts.
AI-AG’s 4-trins risikovurderingsmodel
Vi har udviklet en praktisk model baseret på EU AI Act’s krav og vores erfaring med danske SMV’er. Modellen er designet til at virksomhedsejere kan følge den uden juridisk baggrund.
Trin 1: Kortlæg alle AI-systemer
Lav en komplet liste over alle AI-værktøjer i virksomheden — også dem medarbejdere bruger uofficielt:
- Navngivne AI-værktøjer (ChatGPT, Copilot, Gemini, Claude)
- AI-funktioner indlejret i anden software (CRM, bogføringssoftware, e-mail-platforme)
- Automatiseringer der bruger AI-komponenter (chatbots, lead scoring, dokumentbehandling)
Tip: Send et kort spørgeskema til alle afdelingsledere. I vores erfaring opdager virksomheder typisk 2-3 AI-systemer de ikke vidste var i brug.
Trin 2: Kategorisér efter risikokategori
For hvert AI-system, vurdér risikokategorien baseret på EU AI Act:
| Risikokategori | Eksempler | Krav |
|---|---|---|
| Uacceptabel risiko | Social scoring, real-time biometrisk identifikation | Forbudt |
| Høj risiko | AI-rekruttering, kreditvurdering, sundhedsdiagnostik | Fuld risikovurdering, dokumentation, tilsyn |
| Begrænset risiko | AI-chatbots, indholdsgeneration, tekstoversættelse | Gennemsigtighedskrav |
| Minimal risiko | Spamfiltre, anbefalingssystemer, intern tekstbehandling | Ingen specifikke krav |
De fleste danske SMV’er vil finde at deres AI-brug falder i begrænset eller minimal risiko. Men selv her giver en AI-risikovurdering mening.
Brug vores gratis EU AI Act compliance-tjek til at finde din risikokategori på 2 minutter.
Trin 3: Vurdér specifikke risici per system
For hvert AI-system der er klassificeret som høj eller begrænset risiko, gennemgå denne AI-risikovurdering tjekliste:
- Datainput: Hvilke data modtager systemet? Er der persondata?
- Bias: Kan output systematisk favorisere eller diskriminere?
- Nøjagtighed: Hvad sker der når systemet tager fejl? Hvad er konsekvensen?
- Gennemsigtighed: Kan du forklare hvordan en beslutning blev truffet?
- Datasikkerhed: Hvor opbevares data? Er der databehandleraftale? Er servere i EU?
- Afhængighed: Hvad sker der hvis leverandøren ændrer vilkår?
For hvert punkt, vurdér sandsynlighed (lav/middel/høj) og konsekvens (lav/middel/høj). Prioritér de risici hvor begge er middel eller højere.
Trin 4: Dokumentér og implementér foranstaltninger
For hver identificeret risiko, fastlæg en konkret foranstaltning:
| Risiko | Sandsynlighed | Konsekvens | Foranstaltning | Ansvarlig | Frist |
|---|---|---|---|---|---|
| Medarbejder deler kundedata i ChatGPT | Høj | Middel | AI-politik + enterprise-aftale | IT-chef | [dato] |
| Chatbot giver forkert info | Middel | Høj | Review-flow + RAG-opsætning | Kundeservice | [dato] |
| AI-screening diskriminerer | Lav | Høj | Bias-test hvert kvartal | HR-chef | [dato] |
Vigtigt: AI-risikovurderingen er ikke en engangsøvelse. EU AI Act kræver løbende overvågning. Sæt en kalendernotifikation til at gennemgå den hvert kvartal — eller når et nyt AI-system tages i brug.
Hvad EU AI Act specifikt kræver af risikovurdering
EU AI Act stiller detaljerede krav til AI-risikovurdering af højrisiko-AI-systemer. Kravene træder i kraft 2. august 2026.
For højrisiko-AI (artikel 9)
Risikovurderingen skal som minimum indeholde:
- Beskrivelse af de processer hvor AI-systemet bruges og dets formål
- Beskrivelse af hvem der påvirkes af systemets beslutninger
- Vurdering af potentielle skader — fysiske, psykiske og økonomiske
- Beskrivelse af foranstaltninger til at minimere risici
- Beskrivelse af menneskeligt tilsyn — hvem overvåger og hvordan
- Dokumentation af test og validering
- Klagemekanisme — hvordan kan berørte personer anfægte AI-beslutninger
Virksomheder der ikke lever op til kravene risikerer bøder op til 15 millioner EUR eller 3% af global omsætning.
For begrænset-risiko AI
Ingen formel AI-risikovurdering kræves, men:
- AI-literacy er allerede lovpligtigt (siden februar 2025)
- Gennemsigtighedskrav gælder: brugere skal vide når de interagerer med AI
- GDPR-krav gælder fortsat fuldt ud for persondata
Sådan kommer du i gang — de næste 14 dage
Du behøver ikke en compliance-afdeling. Her er en realistisk plan for en dansk SMV:
Uge 1:
- Dag 1-2: Udsend spørgeskema til alle afdelinger om AI-brug
- Dag 3-4: Saml svarene og opret AI-system-oversigt
- Dag 5: Kategorisér hvert system efter EU AI Act’s fire risikoniveauer
Uge 2:
- Dag 1-2: Gennemgå risikotjeklisten for alle høj- og begrænset-risiko systemer
- Dag 3-4: Fastlæg foranstaltninger og ansvarlige for hver risiko
- Dag 5: Dokumentér i en samlet risikovurderingsrapport
Den samlede tidsinvestering er 2-4 manddage for en typisk SMV. Vil du have hjælp til at strukturere processen, kan du kontakte os for en uforpligtende snak. Via SMV:Digital kan din virksomhed få tilskud til ekstern AI-rådgivning — næste frist er 26. oktober 2026.
Ofte stillede spørgsmål om AI-risikovurdering
Hvad er en AI-risikovurdering?
En AI-risikovurdering er en systematisk gennemgang af de risici et AI-system medfører for din virksomhed. Det dækker bias, fejlagtige output, datasikkerhed og compliance med EU AI Act. Formålet er at identificere, vurdere og håndtere risici før de bliver til problemer. Det handler ikke om at undgå AI, men om at bruge den ansvarligt.
Hvornår kræver EU AI Act en risikovurdering?
EU AI Act kræver en formel risikovurdering for højrisiko-AI-systemer som AI til rekruttering, kreditvurdering eller sundhedsdiagnostik. For begrænset risiko og minimal risiko kræves ingen formel risikovurdering, men det anbefales som god praksis. Kravet træder i kraft 2. august 2026.
Hvordan laver man en AI-risikovurdering i praksis?
Start med at kortlægge alle AI-systemer i virksomheden. Vurdér hvert systems risikokategori. Identificér konkrete risici som bias og datasikkerhed. Fastlæg afhjælpende foranstaltninger og dokumentér processen. Brug AI-AG’s 4-trins model som ramme.
Hvilke AI-risici skal danske virksomheder være opmærksomme på?
De fem største risici er bias og diskrimination i AI-output, hallucinationer der giver forkerte svar, utilsigtet deling af persondata, manglende gennemsigtighed i beslutninger og afhængighed af en enkelt AI-leverandør. Alle fem kan håndteres med konkrete foranstaltninger.
Hvad koster det at lave en AI-risikovurdering?
For de fleste danske SMV’er koster det primært tid: 2-4 ugers intern indsats til kortlægning og dokumentation. En ekstern konsulent kan hjælpe med skabeloner og processer på under 14 dage, typisk for 15.000-40.000 kr. Via SMV:Digital kan du få op til 100.000 kr. i tilskud til AI-rådgivning.
Kan man bruge AI til at lave sin egen risikovurdering?
Ja, til en vis grad. AI-værktøjer kan hjælpe med at identificere risikokategorier og strukturere dokumentation. Men den endelige vurdering skal altid involvere mennesker med forretningsindsigt. At overlade risikovurderingen til den teknologi du vurderer risikoen ved er en cirkulær fejl.