EU AI ACT · ART. 11 + ANNEX IV
Annex IV dokumentationskrav for HR-AI
Annex IV i EU AI Act definerer hvilken teknisk dokumentation der skal følge med et high-risk AI-system. Selv om udbyderen står med hovedansvaret, har deployers brug for store dele af Annex IV-evidensen for at kunne dokumentere deres egen Art. 26-compliance.
Article 11 kræver, at udbyderen af et high-risk AI-system udarbejder teknisk dokumentation efter Annex IV inden systemet bringes på markedet eller tages i brug. Som HR-tech deployer er I næsten altid afhængige af denne dokumentation: I skal kunne henvise til den i jeres egen Article 26-pakke, og I skal bruge dele af den til at gennemføre DPIA, FRIA og Art. 26(7)-information.
De 9 hovedpunkter i Annex IV
- Generel beskrivelse — formål, version, samspil med andet hardware/software, distributionsformer
- Udviklingsbeskrivelse — design-valg, trade-offs, tidligere systemer, ekstern data brugt
- Systemarkitektur — komponenter, modeller, data-flow, beregningsressourcer
- Data og data-governance — træningsdata, datasæt, datakvalitet, bias-håndtering, lovgivningsmæssig hjemmel
- Monitoring, funktion og kontrol — performance-metrikker, robusthed, evne til human oversight
- Performance-mål — accuracy, robusthed, cybersikkerhed inkl. testmetoder
- Risikostyringssystem — Art. 9 risikovurderinger, foranstaltninger, kvarter-tilbageblik
- Livscyklusændringer — historik over substantielle ændringer
- Liste over anvendte harmoniserede standarder — fx kommende CEN/CENELEC AI-standarder, eller alternative løsninger
Den fulde tekst findes som Annex IV i Forordning (EU) 2024/1689. Den er omfattende og er typisk en 50-150 siders pakke fra større vendors.
Hvilke punkter har deployer direkte brug for?
- Punkt 1 + 4 — for at kunne identificere formål, datakilder og lovgivningsmæssig hjemmel i jeres egen DPIA
- Punkt 5 — for at konfigurere human oversight korrekt (Art. 26(2))
- Punkt 6 — for at sætte forventninger til performance og monitorering i drift
- Punkt 7 — for at speile vendors risikovurdering ind i jeres egen post-implementation-review
- Punkt 8 — for at vide hvornår en model-opdatering kræver fornyet Art. 26(7)-information
Vendor-kontrakt: hvad skal med?
- Krav om at modtage relevante uddrag af Annex IV-dokumentationen
- Forpligtelse til opdatering ved version-skift
- SLA på inddata-/anomali-rapportering (Art. 26(5))
- Hjælp til DPIA + Art. 27 FRIA
- Mekanisme for forhåndsvarsel om substantielle ændringer der vil udløse fornyet Art. 26(7)
- Klart svar på Art. 50 markings-spørgsmålet (C2PA/SynthID/metadata)
Når I selv er udbyder
Hvis I udvikler jeres egen HR-AI eller materielt modificerer et eksisterende system, kan I selv blive udbyder under Art. 25 — og dermed bære den fulde Annex IV-dokumentationsbyrde. Se vores guide til EU AI Act udbyder-status og blog-artiklen Art. 25 ansvarsdeling.
Relaterede ressourcer: Annex IV oversigt, Annex IV teknisk dokumentation HR (blog), Art. 26 teknisk dokumentation, Compliance-dokumentation.
Regulatorisk forbehold: Den endelige dokumentationsbyrde afhænger af om I optræder som udbyder, deployer eller importør under Art. 25, og af om systemet er high-risk. Annex IV-listen skal læses sammen med kommende harmoniserede standarder (CEN/CENELEC) og evt. fælles specifikationer fra Kommissionen.
Kilder: Forordning (EU) 2024/1689 Art. 11, 25, 26 + Annex IV.
PowerQuant Module 1 · 5 hverdage
M1 leverer vendor-attestation-tjekliste, Annex IV-mapping for HR-AI, Art. 26-evidens og DPIA-skabelon — så I ved hvad I skal kræve fra leverandøren og hvad I selv skal levere.
Start M1 — 10.999 krSe M1-pakken