AI-risikovurdering EU AI Act compliance risikostyring SMV 9 min læsning

AI-risikovurdering: Praktisk guide for danske virksomheder

Lær at lave en AI-risikovurdering der opfylder EU AI Act. Få AI-AG's 4-trins model, konkrete skabeloner og tjekliste til din virksomhed.

·
AI-risikovurdering: Praktisk guide for danske virksomheder

En AI-risikovurdering er en systematisk gennemgang af de risici dine AI-systemer medfører for din virksomhed. For danske virksomheder er den ikke længere valgfri. EU AI Act kræver den for højrisiko-AI inden august 2026, og selv for lavrisiko-værktøjer som ChatGPT og Copilot er en struktureret risikovurdering den bedste forsikring mod dyre fejl.

Alligevel har de færreste danske SMV’er lavet én. Dels fordi processen virker uoverskuelig, dels fordi de fleste vejledninger er skrevet til compliance-jurister. Denne guide giver dig en praktisk 4-trins model du kan følge, en konkret tjekliste du kan bruge, og den sammenhæng med EU AI Act du skal kende.


Hvad er en AI-risikovurdering — og hvorfor har du brug for én?

AI-risikovurdering: En struktureret proces hvor du identificerer, vurderer og dokumenterer de risici dine AI-systemer medfører for virksomheden, medarbejderne, kunderne og samfundet. Formålet er at sikre ansvarlig AI-brug og overholde lovgivning som EU AI Act.

42% af danske virksomheder bruger allerede AI — højest i EU ifølge Eurostat. Men langt størstedelen har ingen formaliseret vurdering af hvad der kan gå galt.

Tre grunde til at en AI-risikovurdering er forretningskritisk

1. Lovgivning kræver det. EU AI Act kræver en formel risikovurdering for alle højrisiko-AI-systemer inden august 2026. Selv for begrænset-risiko AI anbefaler Digitaliseringsstyrelsen dokumenteret risikovurdering. Vores guide til EU AI Act giver det fulde overblik over kravene.

2. Fejl koster penge. En AI-chatbot der giver forkert rådgivning. Et rekrutteringsværktøj der systematisk frasorterer kvindelige ansøgere. Et automatiseret system der lækker kundedata. Disse scenarier sker allerede — og de koster langt mere end forebyggelse.

3. Kunderne forventer det. I vores arbejde med danske virksomheder ser vi en klar tendens: B2B-kunder spørger til leverandørers AI-praksis som en del af indkøbsprocessen. En dokumenteret AI-risikovurdering er ikke bare compliance — det er et konkurrenceparameter.


De 5 største AI-risici for danske virksomheder

Baseret på vores implementeringsprojekter og Dansk Industris risikokatalog for AI er her de fem risici der rammer danske SMV’er oftest.

1. Bias og diskrimination i AI-output

AI-systemer arver bias fra deres træningsdata. Et rekrutteringsværktøj trænet primært på engelsksprogede CV’er vil undervurdere kandidater med dansk uddannelsesbaggrund. Et kreditvurderingssystem kan diskriminere baseret på postnummer — en proxy for etnicitet.

Praktisk eksempel: En dansk virksomhed brugte et AI-screeningsværktøj til jobansøgninger. Værktøjet rangerede konsekvent mandlige ansøgere højere for tekniske stillinger — ikke fordi det var programmeret til det, men fordi træningsdataene indeholdt overvejende mandlige kandidater i de roller. Virksomheden opdagede det først efter 3 måneders brug.

Afhjælpning: Test dit AI-system med diverse input. Sammenlign output for forskellige demografiske grupper. Kræv dokumentation fra leverandøren om træningsdata.

2. Hallucinationer — faktuelt forkerte svar

Generativ AI producerer overbevisende tekst der indimellem er forkert. ChatGPT kan opfinde juridiske paragraffer, fabrikere statistikker og citere kilder der ikke eksisterer.

Afhjælpning: Indfør menneskeligt review før AI-genereret indhold når kunder. Brug retrieval-augmented generation (RAG) til at forankre svar i dine egne dokumenter. Test regelmæssigt for hallucinationer. Se vores komplette guide til at opdage og undgå AI-hallucinationer med 7 advarselssignaler og 6 tekniske tilgange der kan reducere fejlene med 60-80 procent.

3. Utilsigtet deling af persondata

Når en medarbejder kopierer kundenavne eller fortrolige aftaler ind i ChatGPT, forlader data virksomhedens kontrol. Det er en GDPR-overtrædelse — og det sker oftere end de fleste ledere tror.

Afhjælpning: Etablér en klar AI-politik der definerer hvilke datatyper der må behandles i hvilke systemer. Brug enterprise-versioner med databehandleraftale.

4. Manglende gennemsigtighed i AI-beslutninger

Når en AI træffer en beslutning — hvem der får et lån, hvilken kandidat der går videre — kan det være umuligt at forklare hvorfor. EU AI Act kræver gennemsigtighed for højrisiko-AI. Selv uden lovkrav er det et forretningsproblem: en beslutning du ikke kan forklare, kan du ikke forsvare.

Afhjælpning: Vælg AI-systemer der tilbyder forklarbarhed. Dokumentér hvordan AI-output bruges i beslutningsprocesser. Sørg for at et menneske altid kan tilsidesætte en AI-beslutning.

5. Leverandørafhængighed (vendor lock-in)

Mange virksomheder bygger kritiske processer op omkring én enkelt AI-leverandør. Hvis leverandøren ændrer priser eller vilkår, sidder virksomheden fast.

Afhjælpning: Brug abstraktionslag som n8n der gør det nemt at skifte mellem AI-modeller. Bevar altid ejerskabet over dine data og prompts.


AI-AG’s 4-trins risikovurderingsmodel

Vi har udviklet en praktisk model baseret på EU AI Act’s krav og vores erfaring med danske SMV’er. Modellen er designet til at virksomhedsejere kan følge den uden juridisk baggrund.

Trin 1: Kortlæg alle AI-systemer

Lav en komplet liste over alle AI-værktøjer i virksomheden — også dem medarbejdere bruger uofficielt:

Tip: Send et kort spørgeskema til alle afdelingsledere. I vores erfaring opdager virksomheder typisk 2-3 AI-systemer de ikke vidste var i brug.

Trin 2: Kategorisér efter risikokategori

For hvert AI-system, vurdér risikokategorien baseret på EU AI Act:

RisikokategoriEksemplerKrav
Uacceptabel risikoSocial scoring, real-time biometrisk identifikationForbudt
Høj risikoAI-rekruttering, kreditvurdering, sundhedsdiagnostikFuld risikovurdering, dokumentation, tilsyn
Begrænset risikoAI-chatbots, indholdsgeneration, tekstoversættelseGennemsigtighedskrav
Minimal risikoSpamfiltre, anbefalingssystemer, intern tekstbehandlingIngen specifikke krav

De fleste danske SMV’er vil finde at deres AI-brug falder i begrænset eller minimal risiko. Men selv her giver en AI-risikovurdering mening.

Brug vores gratis EU AI Act compliance-tjek til at finde din risikokategori på 2 minutter.

Trin 3: Vurdér specifikke risici per system

For hvert AI-system der er klassificeret som høj eller begrænset risiko, gennemgå denne AI-risikovurdering tjekliste:

For hvert punkt, vurdér sandsynlighed (lav/middel/høj) og konsekvens (lav/middel/høj). Prioritér de risici hvor begge er middel eller højere.

Trin 4: Dokumentér og implementér foranstaltninger

For hver identificeret risiko, fastlæg en konkret foranstaltning:

RisikoSandsynlighedKonsekvensForanstaltningAnsvarligFrist
Medarbejder deler kundedata i ChatGPTHøjMiddelAI-politik + enterprise-aftaleIT-chef[dato]
Chatbot giver forkert infoMiddelHøjReview-flow + RAG-opsætningKundeservice[dato]
AI-screening diskriminererLavHøjBias-test hvert kvartalHR-chef[dato]

Vigtigt: AI-risikovurderingen er ikke en engangsøvelse. EU AI Act kræver løbende overvågning. Sæt en kalendernotifikation til at gennemgå den hvert kvartal — eller når et nyt AI-system tages i brug.


Hvad EU AI Act specifikt kræver af risikovurdering

EU AI Act stiller detaljerede krav til AI-risikovurdering af højrisiko-AI-systemer. Kravene træder i kraft 2. august 2026.

For højrisiko-AI (artikel 9)

Risikovurderingen skal som minimum indeholde:

  1. Beskrivelse af de processer hvor AI-systemet bruges og dets formål
  2. Beskrivelse af hvem der påvirkes af systemets beslutninger
  3. Vurdering af potentielle skader — fysiske, psykiske og økonomiske
  4. Beskrivelse af foranstaltninger til at minimere risici
  5. Beskrivelse af menneskeligt tilsyn — hvem overvåger og hvordan
  6. Dokumentation af test og validering
  7. Klagemekanisme — hvordan kan berørte personer anfægte AI-beslutninger

Virksomheder der ikke lever op til kravene risikerer bøder op til 15 millioner EUR eller 3% af global omsætning.

For begrænset-risiko AI

Ingen formel AI-risikovurdering kræves, men:


Sådan kommer du i gang — de næste 14 dage

Du behøver ikke en compliance-afdeling. Her er en realistisk plan for en dansk SMV:

Uge 1:

Uge 2:

Den samlede tidsinvestering er 2-4 manddage for en typisk SMV. Vil du have hjælp til at strukturere processen, kan du kontakte os for en uforpligtende snak. Via SMV:Digital kan din virksomhed få tilskud til ekstern AI-rådgivning — næste frist er 26. oktober 2026.


Ofte stillede spørgsmål om AI-risikovurdering

Hvad er en AI-risikovurdering?

En AI-risikovurdering er en systematisk gennemgang af de risici et AI-system medfører for din virksomhed. Det dækker bias, fejlagtige output, datasikkerhed og compliance med EU AI Act. Formålet er at identificere, vurdere og håndtere risici før de bliver til problemer. Det handler ikke om at undgå AI, men om at bruge den ansvarligt.


Hvornår kræver EU AI Act en risikovurdering?

EU AI Act kræver en formel risikovurdering for højrisiko-AI-systemer som AI til rekruttering, kreditvurdering eller sundhedsdiagnostik. For begrænset risiko og minimal risiko kræves ingen formel risikovurdering, men det anbefales som god praksis. Kravet træder i kraft 2. august 2026.


Hvordan laver man en AI-risikovurdering i praksis?

Start med at kortlægge alle AI-systemer i virksomheden. Vurdér hvert systems risikokategori. Identificér konkrete risici som bias og datasikkerhed. Fastlæg afhjælpende foranstaltninger og dokumentér processen. Brug AI-AG’s 4-trins model som ramme.


Hvilke AI-risici skal danske virksomheder være opmærksomme på?

De fem største risici er bias og diskrimination i AI-output, hallucinationer der giver forkerte svar, utilsigtet deling af persondata, manglende gennemsigtighed i beslutninger og afhængighed af en enkelt AI-leverandør. Alle fem kan håndteres med konkrete foranstaltninger.


Hvad koster det at lave en AI-risikovurdering?

For de fleste danske SMV’er koster det primært tid: 2-4 ugers intern indsats til kortlægning og dokumentation. En ekstern konsulent kan hjælpe med skabeloner og processer på under 14 dage, typisk for 15.000-40.000 kr. Via SMV:Digital kan du få op til 100.000 kr. i tilskud til AI-rådgivning.


Kan man bruge AI til at lave sin egen risikovurdering?

Ja, til en vis grad. AI-værktøjer kan hjælpe med at identificere risikokategorier og strukturere dokumentation. Men den endelige vurdering skal altid involvere mennesker med forretningsindsigt. At overlade risikovurderingen til den teknologi du vurderer risikoen ved er en cirkulær fejl.

Indholdet er udarbejdet med AI-assisteret teknologi og gennemgået af Martin Terp.

Gratis rådgivning

Vil I have hjælp til at komme i gang?

Klar til at komme i gang?

Få en gratis system-analyse

Lad os gennemgå jeres processer og identificere de mest værdifulde automatiseringsmuligheder.