Hvad er et AI-inventar — og hvad er det ikke?
Et AI-inventar er en autoritativ liste over alle AI-systemer der anvendes i organisationen, inklusive AI indlejret i tredjepartssystemer. Det er IKKE blot en liste over modeller I har trænet selv — det er alle steder hvor AI træffer eller assisterer en beslutning der berører mennesker.
Article 11 og Annex IV i EU AI Act forudsætter at I kender hvert system. Article 4 (AI-literacy) kan ikke håndhæves uden at vide hvem der bruger hvad. Article 50 (transparens) kan ikke implementeres uden at vide hvilke systemer der interagerer med kandidater. NIS2's risikohåndtering kan ikke prioriteres uden et asset inventory. Inventaret er pre-requisite for alle disse.
Trin 1: Definér scope
Brug EU AI Act's definition: et AI-system er et maskinbaseret system designet til at operere med varierende autonomi, der ud fra input udleder output (forudsigelser, anbefalinger, beslutninger) der kan påvirke fysiske eller virtuelle miljøer (Art. 3(1)).
Praktisk for HR-tech: inkludér alt fra rene LLM-chatbots til statistiske screening-modeller. Ekskludér simple regelbaserede systemer ("hvis postnummer = X, vis dette opslag") — de er ikke AI i Act'ens forstand.
Trin 2: Identifikation — hvor leder du?
- HR-systemer: ATS, HRIS, performance-platforme, LXP/LMS, engagement-værktøjer.
- Indlejret AI i SaaS: Office-suiter (Copilot, Gemini), kommunikations-værktøjer (Slack/Teams AI), analytics.
- Egne udviklede modeller: Selv små Python-scripts der bruger en LLM-API tæller.
- Skygge-AI: Hvad bruger medarbejderne uden IT's viden? ChatGPT, Claude, Gemini i browser.
- Vendor-roadmaps: Hvilke AI-features kommer i jeres eksisterende SaaS de næste 12 måneder?
Trin 3: Felter pr. system
For hvert AI-system anbefaler vi disse minimum-felter:
- Systemnavn + version
- Provider/leverandør (juridisk navn, ikke produktnavn)
- Påtænkt formål (per providerens dokumentation)
- Faktisk anvendelse hos jer (kan afvige!)
- Rolle: provider, deployer eller begge?
- Risikoklasse: forbudt / high-risk / begrænset / minimal
- Annex III-kategori hvis relevant (HR-tech rammer typisk pkt. 4)
- Article 50-trigger: ja/nej + hvilken underparagraf
- GPAI-afhængighed: bygger systemet på en general-purpose-model?
- Datakategorier ind (persondata, særlige kategorier, fagforeningsdata)
- Beslutningstype: automatiseret (GDPR Art. 22), assisteret, eller analytisk
- Berørte personer (kandidater, medarbejdere, kunder)
- Human oversight-ansvarlig (rolle + navn)
- Log-retention (placering + holdbarhed)
- Leverandørdokumentation modtaget (ja/nej + dato)
Trin 4: Klassificér
For hvert system: er det forbudt (Art. 5), high-risk (Annex III), begrænset risk (Art. 50), eller minimal? For HR-tech er Annex III punkt 4 den centrale faldgrube. Den dækker AI brugt til:
- Rekruttering og udvælgelse
- Beslutninger om jobtilbud, forfremmelse, opsigelse
- Opgavefordeling baseret på adfærd eller personlighed
- Overvågning og evaluering af performance
Hvis aftalen om udskydelse til 2. december 2027 vedtages formelt, får I tid — men klassifikationen er stadig den samme.
Trin 5: Versionér og hold vedligeholdt
Et inventar der ikke opdateres er værre end intet inventar — det giver falsk tryghed. Sæt en ejer (typisk Data Protection Officer eller IT-chef), en kvartalsvis review-kadence, og en proces hvor indkøb af nyt SaaS udløser en inventory-opdatering FØR aftalen underskrives.
Typiske faldgruber
- "Vi bruger ikke AI" — næsten altid forkert i 2026. Tjek SaaS-roadmaps.
- For mange detaljer i v1 — start groft, præciser senere.
- Manglende kobling til indkøb — nyt SaaS skal trigger en inventory-opdatering.
- Inventar uden ejer — dør stille indenfor 6 måneder.
- Behandle Copilot/ChatGPT som "ikke et system" — Article 50 og Article 4 gælder.
Hvor lang tid tager det?
For en typisk dansk HR-tech-deployer med 5-15 systemer i scope: 1-2 uger til v1 hvis nogen har dedikeret tid. Det går hurtigere med en struktureret skabelon og en eksisterende metodik. M1-leverancen fra PowerQuant er bygget til at gennemføre det på 5 arbejdsdage med fast pris.
Relateret: 7 deployer-pligter du ofte overser · Article 50-transparenskrav