EU AI Act — eller AI-forordningen som den officielt hedder på dansk — er EU’s lovgivning om kunstig intelligens. Den regulerer hvordan virksomheder må udvikle, sælge og anvende AI-systemer i Europa. For danske SMV’er betyder det konkret: inden den 2. august 2026 skal du vide hvilke AI-systemer din virksomhed bruger, hvilken risikokategori de falder i, og om du overholder de nye krav.
Danmark er det land i EU hvor flest virksomheder bruger AI — 42% ifølge Eurostats seneste opgørelse, langt over EU-gennemsnittet på 20%. Det betyder at flere danske virksomheder er berørt end i noget andet EU-land. Alligevel har de færreste SMV’er en plan for compliance.
Denne guide giver dig det fulde overblik: hvad loven kræver, hvilke risikokategorier der findes, hvad det betyder for de AI-værktøjer du allerede bruger (ChatGPT, Copilot, AI-chatbots), og en konkret 8-punkts tjekliste du kan følge for at være klar.
Brug vores gratis EU AI Act compliance-tjek for at finde ud af hvilken risikokategori din virksomhed falder i — det tager 2 minutter.
Hvad er EU AI Act — og hvorfor skal danske SMV’er handle nu?
EU AI Act (AI-forordningen): Verdens første omfattende lovgivning om kunstig intelligens. Vedtaget af EU i 2024, med trinvis ikrafttræden fra februar 2025 til august 2027. Gælder for alle virksomheder der udvikler, sælger eller bruger AI-systemer i EU.
AI Act fungerer på mange måder som GDPR gjorde for persondata: den sætter fælles regler for hele EU, og overtrædelse medfører betydelige bøder. Men hvor GDPR ramte alle der behandler persondata, målretter AI Act specifikt virksomheder baseret på den risiko deres AI-brug udgør.
Hvorfor det haster for danske SMV’er
Tre grunde til at du ikke kan vente:
-
Deadline er reel. Den 2. august 2026 træder kravene til højrisiko-AI i kraft. Det er 5 måneder fra nu. Forberedelse tager typisk 3-6 måneder for en SMV — matematikken er stram.
-
Du bruger sandsynligvis allerede AI. Hvis din virksomhed bruger ChatGPT, Microsoft Copilot, en AI-chatbot på hjemmesiden, AI-baseret rekruttering eller automatisk kreditvurdering, er du omfattet. Det er ikke kun tech-virksomheder der skal forholde sig til dette.
-
AI-literacy er allerede lovpligtigt. Artikel 4 i AI-forordningen — kravet om at medarbejdere der arbejder med AI skal have tilstrækkelig AI-kompetence — trådte i kraft den 2. februar 2025. Det gælder allerede nu, og det overser de fleste. Kravet om AI-literacy (artikel 4) er allerede gældende — se vores guide til AI-literacy lovkravet for den praktiske opfyldelse.
Tidsplan: Hvornår træder kravene i kraft?
AI Act implementeres trinvist over tre år. Her er de vigtigste datoer for danske virksomheder:
| Dato | Hvad træder i kraft | Hvem er berørt |
|---|---|---|
| 2. feb 2025 ✅ | Forbud mod uacceptabel AI + AI-literacy krav (art. 4) | Alle virksomheder der bruger AI |
| 2. aug 2025 | Krav til general-purpose AI-modeller (GPAI) | Udbydere af AI-modeller (OpenAI, Google, Anthropic) |
| 2. aug 2026 ⚠️ | Krav til højrisiko-AI + bøder kan udstedes | Virksomheder der bruger højrisiko-AI |
| 2. aug 2027 | Alle resterende krav, inkl. visse produktsikkerhedskrav | Alle AI-systemudbydere |
For de fleste danske SMV’er er der to kritiske datoer: 2. februar 2025 (AI-literacy — allerede gældende) og 2. august 2026 (højrisiko-krav og gennemsigtighedskrav). Hvis du kun bruger ChatGPT og lignende værktøjer til intern brug, er det primært gennemsigtighedskravene og AI-literacy du skal forholde dig til.
Digitaliseringsstyrelsen er dansk tilsynsmyndighed
I Danmark er det Digitaliseringsstyrelsen der koordinerer tilsynet med AI-forordningen. Datatilsynet fortsætter med GDPR-relateret AI-tilsyn. Ressourcerne og vejledningerne på digst.dk er det officielle danske udgangspunkt.
De fire risikokategorier — og hvor din virksomhed befinder sig
AI Act bruger en risikobaseret tilgang. Kravene til din virksomhed afhænger af hvilken kategori jeres AI-brug falder i.
1. Uacceptabel risiko — forbudt
AI-systemer der udgør en uacceptabel risiko er helt forbudt i EU. Det omfatter:
- Social scoring — vurdering af borgere baseret på social adfærd
- Manipulation via ubevidste teknikker — AI der udnytter sårbare gruppers svagheder
- Biometrisk masseovervågning i realtid på offentlige steder (med få undtagelser for retshåndhævelse)
- Emotionsgenkendelse på arbejdspladser og i uddannelse
For danske SMV’er: Disse forbud berører sjældent SMV’er direkte. Men vær opmærksom: hvis du bruger AI-værktøjer fra tredjeparter der inkorporerer forbudt funktionalitet, er du som bruger også ansvarlig.
2. Højrisiko — tilladt med strenge krav
Højrisiko-AI er tilladt men underlagt de mest omfattende krav i forordningen. Det gælder AI-systemer der bruges til:
- Rekruttering og HR — CV-screening, kandidatvurdering, performance-scoring
- Kreditvurdering — automatiserede beslutninger om lån, forsikring, finansielle ydelser
- Uddannelse — eksamensvurdering, elevsortering, adgangsbeslutninger
- Sundhed — diagnosticering, behandlingsanbefalinger
- Kritisk infrastruktur — energi, transport, vandforsyning
- Retshåndhævelse — risikovurdering, efterforskning
Krav til højrisiko-AI inkluderer: risikovurderingssystem, datakvalitetsstyring, teknisk dokumentation, logning, menneskeligt tilsyn, robusthed og cybersikkerhed, og CE-mærkning for visse produkter.
Vigtig nuance for SMV’er: Det er ikke værktøjet i sig selv der er højrisiko — det er anvendelsen. At bruge ChatGPT til at skrive markedsføringstekster er ikke højrisiko. At bruge ChatGPT til at screene jobansøgere er højrisiko. Samme værktøj, forskellige risikokategorier.
3. Begrænset risiko — gennemsigtighedskrav
De fleste danske SMV’ers AI-brug falder her. Begrænset risiko dækker AI-systemer der interagerer direkte med mennesker, og kravene handler primært om gennemsigtighed:
- Chatbots skal oplyse brugeren om at de kommunikerer med et AI-system
- AI-genereret indhold (tekst, billeder, video, lyd) skal mærkes tydeligt
- Deepfakes skal mærkes som kunstigt genereret
For danske SMV’er: Hvis du bruger en AI-chatbot på din hjemmeside, skal det fremgå tydeligt at kunden taler med en AI. Hvis du publicerer AI-genereret indhold, skal det mærkes. Dette er de krav der rammer bredest i SMV-segmentet.
4. Minimal risiko — ingen krav
AI-systemer med minimal risiko er ikke reguleret af AI Act. Det omfatter spamfiltre, AI i computerspil, og de fleste interne produktivitetsværktøjer. Her opfordrer EU blot til frivillig selvregulering.
Hurtig risikovurdering for typiske SMV-tools
| Værktøj/anvendelse | Risikokategori | Hvad du skal gøre |
|---|---|---|
| ChatGPT/Copilot til intern brug (e-mails, tekster) | Minimal | Intet lovkrav — men AI-literacy anbefales |
| ChatGPT/Copilot til kundevendt indhold | Begrænset | Mærk AI-genereret indhold |
| AI-chatbot på hjemmesiden | Begrænset | Oplys at kunden taler med AI |
| AI til CV-screening/rekruttering | Højrisiko | Fuld compliance påkrævet |
| AI til kreditvurdering | Højrisiko | Fuld compliance påkrævet |
| AI-automatisering af fakturering | Minimal | Intet lovkrav |
| AI-baseret prissætning | Begrænset-Høj | Afhænger af kontekst — vurdér specifikt |
Hvis du ser på denne tabel og er usikker på hvor jeres AI-brug falder — det er præcis den usikkerhed de fleste danske SMV’er står med. Hos AI-AG hjælper vi virksomheder med at kortlægge deres AI-brug og vurdere risikokategorier. Book en uforpligtende snak så gennemgår vi jeres situation.
Hvad betyder AI Act for de tools du allerede bruger?
De fleste danske SMV’er bruger ikke selv-byggede AI-systemer. De bruger AI-værktøjer fra store udbydere — ChatGPT, Microsoft Copilot, Google Gemini, AI-funktioner i deres CRM eller bogføringssystem. Hvad betyder AI Act for den type brug?
ChatGPT, Copilot og lignende generative AI-værktøjer
Disse værktøjer klassificeres som general-purpose AI (GPAI). Det er primært udbyderen (OpenAI, Microsoft, Google) der bærer compliance-byrden. Men du som bruger har stadig forpligtelser:
- Gennemsigtighed: Hvis du bruger AI til at generere kundevendt indhold, skal det mærkes
- AI-literacy: Dine medarbejdere skal forstå hvad de arbejder med og kende begrænsningerne
- Formålsbestemt brug: Hvis du anvender et GPAI-værktøj til et højrisiko-formål (f.eks. rekruttering), gælder højrisiko-kravene for din brug — uanset at værktøjet i sig selv ikke er klassificeret som højrisiko
AI-chatbots på hjemmesiden
Har du en AI-chatbot der besvarer kundehenvendelser? Så skal du sikre at:
- Kunden tydeligt informeres om at de kommunikerer med et AI-system
- Der er en mulighed for at eskalere til et menneske
- Chatbottens svar logges, så du kan dokumentere kvaliteten
Vi har en komplet guide til AI kundeservice-chatbots der dækker implementering og GDPR-overvejelser.
Automatisering med n8n, Make og Zapier
Workflow-automatisering der bruger AI-komponenter (f.eks. Claude API til dokumentklassificering eller ChatGPT til e-mailanalyse) falder typisk i kategorien minimal eller begrænset risiko — så længe det ikke bruges til beslutninger der påvirker personers rettigheder. Vores guide til procesautomatisering dækker de tekniske aspekter.
Skygge-AI: Den usynlige compliance-risiko
“Skygge-AI” er AI-værktøjer medarbejdere bruger uden virksomhedens viden eller godkendelse — den gratis ChatGPT-konto, en AI-assistent i browseren, oversættelsesværktøjer der behandler kundedata. For compliance formål er dette din største blindvinkel: du kan ikke vurdere risikoen ved AI du ikke ved bruges.
Løsningen er en AI-politik der definerer hvilke AI-værktøjer der er godkendt, og klare retningslinjer for hvad medarbejdere må og ikke må sende ind i AI-systemer.
Bøder og konsekvenser: Hvad risikerer du?
AI Act opererer med tre bødeniveauer baseret på overtrædelsens alvor:
| Overtrædelse | Maksimal bøde | Procent af global omsætning |
|---|---|---|
| Brug af forbudt AI (uacceptabel risiko) | 35 mio. EUR | 7% |
| Overtrædelse af højrisiko-krav | 15 mio. EUR | 3% |
| Forkerte/vildledende oplysninger til myndigheder | 7,5 mio. EUR | 1,5% |
For SMV’er og startups beregnes bøder forholdsmæssigt. Det betyder lavere absolutte beløb — men selv en reduceret bøde på 1-2% af omsætningen kan være eksistentiel for en virksomhed med 5-50 ansatte. Forebyggelse er markant billigere end konsekvensen.
Hvem håndhæver i Danmark?
Digitaliseringsstyrelsen er den nationale koordinerende tilsynsmyndighed. Datatilsynet fortsætter med GDPR-relateret AI-tilsyn, da der er overlap mellem de to regelsæt. I praksis vil håndhævelsen sandsynligvis starte med vejledning og påbud — ikke bøder fra dag ét. Men det er ikke en grund til at vente.
Baseret på erfaringerne fra GDPR, hvor de første danske bøder faldt 2-3 år efter ikrafttrædelse, forventer vi en lignende optrapning for AI Act. Virksomheder der aktivt forbereder sig nu demonstrerer god vilje — og det tæller i myndighedernes vurdering.
AI-AG’s 8-punkts tjekliste: Sådan forbereder du dig
Denne tjekliste er bygget til danske SMV’er med 5-150 ansatte. Den dækker de mest relevante krav og kan gennemføres uden ekstern bistand for de fleste virksomheder.
1. Kortlæg alle AI-systemer i virksomheden (1-2 dage)
Lav en liste over alle AI-værktøjer der bruges — af alle medarbejdere, i alle afdelinger. Inkludér:
- Navngivne AI-værktøjer (ChatGPT, Copilot, Gemini, Midjourney)
- AI-funktioner indlejret i eksisterende software (CRM, ERP, bogføring, HR)
- Automatiseringer der bruger AI-komponenter (n8n-flows med AI-noder, Make-scenarier)
- Uofficielle værktøjer medarbejdere bruger på eget initiativ (skygge-AI)
2. Klassificér risikokategorien for hver AI-brug (1 dag)
Brug tabellen i denne guide og EU’s egen AI Act Compliance Checker til at klassificere hvert system. Bemærk: det er anvendelsen der bestemmer risikoen, ikke værktøjet.
3. Håndtér højrisiko-systemer (2-4 uger — hvis relevant)
Hvis du har AI-systemer i højrisiko-kategorien (rekruttering, kreditvurdering, etc.):
- Udarbejd en risikovurdering og teknisk dokumentation
- Implementér menneskeligt tilsyn (en person der kan tilsidesætte AI-beslutninger)
- Etablér logning af AI-systemets beslutninger
- Sikr datakvaliteten i de data AI’en trænes/kører på
4. Implementér gennemsigtighedskrav (1-2 dage)
For alle AI-systemer med begrænset risiko:
- Tilføj synlig markering på AI-chatbots (“Du taler med en AI-assistent”)
- Mærk AI-genereret indhold der publiceres eksternt
- Informér kunder når AI bruges i beslutningsprocesser der vedrører dem
5. Opret eller opdatér jeres AI-politik (1-2 dage)
En AI-politik er ikke et lovkrav i sig selv, men det er den mest effektive måde at samle jeres AI-governance. Vi har en gratis AI-politik skabelon med 9 kerneområder du kan tilpasse direkte.
6. Gennemfør AI-literacy træning (løbende)
Artikel 4 i AI Act kræver at alle medarbejdere der arbejder med AI har tilstrækkelig AI-kompetence. Det behøver ikke være et formelt kursus — det vigtige er at medarbejdere forstår:
- Hvad AI kan og ikke kan (begrænsninger og fejlkilder)
- Hvornår de bruger AI (inkl. indlejret AI i eksisterende systemer)
- Virksomhedens retningslinjer for AI-brug (jeres AI-politik)
- Hvornår de skal eskalere til en kollega eller leder
Dokumentér hvem der har modtaget træning og hvornår — det er din compliance-dokumentation.
7. Synkronisér med jeres GDPR-setup (1 dag)
Hvis din virksomhed allerede overholder GDPR, har du et forspring. Mange krav overlapper:
- Databehandleraftaler med AI-leverandører → tjek at de dækker AI Act
- Konsekvensvurderinger (DPIA) → udvid til at inkludere AI-risici
- Personoplysningspolitikker → opdatér med AI-relateret information
- Databehandlerfortegnelser → tilføj AI-systemer
8. Planlæg løbende review (kalender det)
AI Act er ikke en engangsindsats. Sæt disse i kalenderen:
- Kvartalsvis: Tjek om nye AI-værktøjer er taget i brug (skygge-AI opdatering)
- Halvårligt: Evaluér om risikokategorier har ændret sig (nye anvendelser, ændrede workflows)
- Årligt: Fuld revision af AI-politik, kortlægning og compliance-dokumentation
Realistisk tidsestimat for en dansk SMV med 10-50 ansatte: 2-4 uger for den grundlæggende forberedelse (punkt 1-6), forudsat at I ikke har højrisiko-AI. Med højrisiko-systemer skal du påregne 2-3 måneder. Start nu — du har 5 måneder.
AI-literacy: Det nye lovkrav alle overser
Artikel 4 i AI-forordningen kræver at virksomheder sikrer “et tilstrækkeligt niveau af AI-kompetence” hos medarbejdere og andre personer der opererer eller bruger AI-systemer på vegne af virksomheden. Dette krav trådte i kraft den 2. februar 2025 — det gælder allerede.
Hvad “tilstrækkelig AI-kompetence” betyder i praksis
Loven specificerer ikke et bestemt kursus eller certifikat. Kravene skal tilpasses den enkeltes rolle og den kontekst AI bruges i. For en sælger der bruger ChatGPT til at udarbejde tilbud er kravet anderledes end for en HR-medarbejder der bruger AI til CV-screening.
I vores arbejde med danske virksomheder ser vi at AI-literacy ofte er det punkt der skaber mest forvirring. Her er den pragmatiske tilgang:
Minimum for alle medarbejdere der bruger AI:
- Forstå at AI kan producere forkerte svar (hallucination) og vide hvornår man skal dobbelttjekke
- Kende virksomhedens AI-politik og godkendte værktøjer
- Vide hvad man ikke må dele med AI-systemer (persondata, forretningshemmeligheder)
For medarbejdere der arbejder med AI-beslutninger (HR, finans, kundeservice):
- Forstå hvordan det specifikke AI-system virker og dets begrænsninger
- Kunne tilsidesætte AI-beslutninger baseret på faglig vurdering
- Vide hvornår og hvordan man eskalerer
Dokumentation der holder
Digitaliseringsstyrelsen har endnu ikke udstedt specifik vejledning om AI-literacy dokumentation. Baseret på GDPR-parallel anbefaler vi at dokumentere:
- Hvilke medarbejdere der bruger AI (fra jeres kortlægning i punkt 1)
- Hvilken træning de har modtaget og hvornår
- Jeres AI-politik (som reference for hvad der forventes)
Det behøver ikke være et formelt Learning Management System. Et dokument i SharePoint eller Google Docs med datoer og navne er tilstrækkeligt for de fleste SMV’er.
FAQ
Gælder EU AI Act for min virksomhed hvis vi bare bruger ChatGPT?
Ja. AI-forordningen gælder for alle virksomheder der bruger AI-systemer — ikke kun dem der udvikler dem. Bruger du ChatGPT eller Copilot, er du en “idriftsætter” (deployer) i lovens forstand. De vigtigste krav for dig er AI-literacy (allerede gældende) og gennemsigtighedskrav hvis du bruger AI i kundevendte sammenhænge.
Hvad er forskellen på EU AI Act og GDPR?
GDPR regulerer behandling af persondata. AI Act regulerer AI-systemer baseret på den risiko de udgør. De to regelsæt overlapper: bruger du AI til at behandle persondata, gælder begge. Har du allerede GDPR-compliance, er du godt på vej — mange processer (databehandleraftaler, konsekvensvurderinger, dokumentation) kan udvides til at dække AI Act. Læs vores dybdegående guide til GDPR og AI for danske virksomheder for en komplet gennemgang af samspillet mellem de to regelsæt.
Hvad koster det at blive compliant med AI Act for en dansk SMV?
For de fleste danske SMV’er der kun bruger AI-værktøjer med minimal eller begrænset risiko er omkostningen primært tid: 2-4 ugers intern indsats til kortlægning, AI-politik og træning. Ingen licensomkostninger. Har du højrisiko-AI-systemer, kan ekstern rådgivning koste 20.000-100.000 kr. afhængigt af kompleksiteten. SMV:Digital tilskud kan dække en del af denne omkostning.
Hvornår begynder myndighederne at udstede bøder?
Bøder for overtrædelse af forbudte AI-praksisser kan formelt udstedes fra 2. august 2025. Bøder for højrisiko-krav fra 2. august 2026. I praksis forventer vi — baseret på GDPR-erfaringen — at håndhævelsen starter med vejledning og påbud, med de første bøder 1-3 år senere. Men det ændrer ikke compliance-deadlinen.
Hvad er “skygge-AI” og hvorfor er det et problem?
Skygge-AI er AI-værktøjer medarbejdere bruger uden virksomhedens viden eller godkendelse — den gratis ChatGPT-konto, en AI-assistent i browseren, et oversættelsesværktøj der modtager kundedata. Det er et compliance-problem fordi du ikke kan vurdere risikoen ved AI du ikke ved bruges, og fordi du som virksomhed er ansvarlig for medarbejdernes AI-brug. Løsningen er en klar AI-politik og regelmæssig kortlægning.
Skal vi CE-mærke vores AI-system?
Kun hvis du er udbyder (developer) af et højrisiko-AI-system der bringes på markedet. Bruger du AI-værktøjer fra tredjeparter (ChatGPT, CRM-systemer med AI, chatbot-platforme), er det udbyderens ansvar at CE-mærke. Dit ansvar som bruger er at sikre korrekt anvendelse og opfylde idriftsætter-kravene.
Hvad gør vi hvis vi er usikre på risikokategorien?
Start med EU’s AI Act Compliance Checker for en foreløbig vurdering. Hvis du stadig er usikker, er tommelfingerreglen: hvis AI’en træffer eller assisterer beslutninger der direkte påvirker en persons rettigheder, adgang eller muligheder (job, lån, karakter, forsikring), er det sandsynligvis højrisiko. Bruger du AI til interne produktivitetsopgaver, er det typisk minimal eller begrænset risiko.
Hvad med den nationale danske lov der supplerer AI Act?
Danmark vedtog i maj 2025 en supplerende national lov der præciserer tilsynsstruktur, klageadgang og koordinering mellem Digitaliseringsstyrelsen og Datatilsynet. Loven ændrer ikke de EU-fastsatte krav, men den definerer hvem du skal kontakte med spørgsmål og klager. Digitaliseringsstyrelsens vejledning på digst.dk er det rette udgangspunkt.