PowerQuant

EU AI Act Annex VIII: Hvad HR-tech virksomheder skal registrere — og hvilken datakvalitet det kræver

PowerQuant · EU AI Act compliance for HR-tech

Registreringspligten under EU AI Act er ikke et simpelt afkrydsningsskema. Annex VIII definerer et struktureret sæt af oplysninger, som leverandører af høj-risiko AI-systemer og visse udbydere af almenformåls-AI (GPAI) skal indberette til EU's centrale AI-database. For HR-tech virksomheder — der typisk opererer med rekrutterings-AI, kandidatscreening, performance-evaluering og lønanalyse — kan Annex VIII-kravene virke teknisk og abstrakte, indtil revisoren banker på døren.

Denne artikel gennemgår, hvad Annex VIII faktisk kræver, hvem der er omfattet, hvilke datakvalitetsstandarder der følger med, og hvad din virksomhed konkret skal gøre inden EU's AI-database forventes at gå live i Q3 2026.

Hvad er Annex VIII, og hvorfor er den vigtig?

EU AI Act (forordning 2024/1689) trådte formelt i kraft den 1. august 2024. Den indeholder en række bilag, der præciserer de overordnede artikler. Annex VIII er det bilag, der specificerer præcist, hvilke oplysninger der skal registreres i EU-databasen, som etableres under Artikel 71.

Artikel 71 forpligter EU-Kommissionen til at oprette og vedligeholde en offentlig tilgængelig database over AI-systemer i høj-risikokategorier samt GPAI-modeller, der overstiger visse tærskelværdier. Annex VIII er — metaforisk talt — formularen, som skal udfyldes.

Det centrale punkt for HR-tech er dette: Annex VIII er ikke bare en notifikation. Det er en formel, juridisk bindende registrering, der dokumenterer systemets formål, risikoniveau, datagrundlag og ansvarlige kontaktperson. Fejl eller udeladelser i registreringen kan udløse tilsynsmæssige sanktioner under Artikel 99.

Hvem er egentlig omfattet?

Her er der ofte misforståelser, fordi AI Act opererer med to delvist overlappende sporspor.

Spor 1: Høj-risiko AI-systemer (Annex III)

Annex III i EU AI Act lister de kategorier af AI-systemer, der automatisk klassificeres som høj-risiko. For HR-tech er den direkte relevante kategori:

> *"AI-systemer til rekruttering eller udvælgelse af fysiske personer, navnlig til at screene eller filtrere ansøgninger, evaluere kandidater i forbindelse med interviews eller test"* (Annex III, punkt 4a)

og

> *"AI-systemer til at træffe beslutninger, der påvirker vilkårene for ansættelsesforhold, forfremmelse og opsigelse"* (Annex III, punkt 4b)

Deadline for fuld overholdelse af Annex III-kravene er 2. december 2027 i henhold til Omnibus-aftalen fra 7. maj 2026. Det betyder, at HR-tech systemer der falder under disse kategorier, skal være fuldt registrerede og compliant inden den dato.

Leverandører af høj-risiko AI-systemer (Annex III) skal registrere i EU-databasen inden systemet bringes i omsætning eller tages i brug på EU's indre marked.

Spor 2: Almenformåls-AI (GPAI) med >10.000 professionelle brugere

GPAI-modeller (General Purpose AI) — eksempelvis store sprogmodeller der integreres i HR-platforme — er underlagt registreringspligt, når de overstiger 10.000 professionelle brugere i EU. Dette tærskelkrav fremgår af de uddybende bestemmelser til Kapitel V i AI Act og relaterer sig til forordningens system for GPAI-model-datablade.

For de fleste specialiserede HR-tech SaaS-løsninger er GPAI-sporet sekundært. Det primære fokus bør være Annex III høj-risikosporet.

Hvad skal registreres under Annex VIII?

Annex VIII strukturerer registreringskravene i to sektioner: én for høj-risiko AI-systemer (sektion A) og én for GPAI-modeller (sektion B). Her gennemgår vi sektion A, som er mest relevant for HR-tech.

1. Leverandøroplysninger og kontaktperson

Registreringen skal indeholde:

  • Leverandørens navn og juridiske adresse — herunder CVR-nummer for danske virksomheder
  • Kontaktoplysninger til en ansvarlig person — typisk en compliance officer eller DPO
  • EU-repræsentant (hvis leverandøren er etableret uden for EU)

    • For HR-tech virksomheder etableret i Danmark er dette relativt ligetil. Vær opmærksom på, at kontaktpersonen skal have bemyndigelse til at besvare forespørgsler fra nationale tilsynsmyndigheder.

    2. System-ID og version

    EU-databasen tildeler et unikt EU-database-registreringsnummer. Leverandøren skal dokumentere:

  • Produktnavn og versionsnummer
  • Handelsbetegnelse (hvis forskellig fra produktnavnet)
  • URL til produktets officielle dokumentation

    • Det er afgørende at holde versionsregistreringen opdateret. Væsentlige ændringer i systemet — eksempelvis opdatering af den underliggende model eller ændring af beslutningslogik — kræver ny registrering eller opdatering af eksisterende registrering.

    3. Systembeskrivelse og tilsigtede formål

    Her skal leverandøren præcist angive:

  • Det tilsigtede formål med AI-systemet (jf. Artikel 9, stk. 1)
  • De kategorier af fysiske personer systemet berører (kandidater, medarbejdere, etc.)
  • De sektorer og use cases systemet er designet til

    • For rekrutterings-AI betyder dette typisk: "Automatiseret screening og rangering af jobansøgere baseret på CV-analyse og strukturerede kompetenceprofiler." Vær præcis — Annex VIII-registreringen er offentlig, og vage formuleringer skaber tillid- og tilsynsproblemer.

    4. Klassificering og risikokategori

    Leverandøren skal anføre, hvilken Annex III-kategori systemet tilhører, og angive begrundelsen for klassificeringen. Hvis systemet berører flere kategorier (eksempel: rekruttering OG performance-evaluering), skal alle relevante kategorier anføres.

    5. Overensstemmelseserklæring og notificeringsorgan

    Registreringen skal inkludere:

  • Dato for udstedelse af EU-overensstemmelseserklæringen (Artikel 48)
  • Referencenummer på CE-mærket (Artikel 49)
  • Navn og identifikationsnummer for notificeret organ (hvis relevant)

    • For HR-AI-systemer er det som regel tilstrækkeligt med leverandørens egen overensstemmelseserklæring (self-declaration), medmindre der er tale om systemer, der tillige berører kritisk infrastruktur eller biometriske data.

    Datakvalitetskrav under Artikel 10: Den skjulte compliance-byrde

    Artikel 10 i EU AI Act er en af de mest undervurderede bestemmelser. Den stiller direkte krav til de data, der bruges til at træne, validere og teste høj-risiko AI-systemer.

    Kernebestemmelsen lyder:

    > *"Træningsdatasæt, valideringsdatasæt og testdatasæt skal undergå egnede datahåndteringspraksisser, herunder [...] undersøgelse med hensyn til mulige fordomme og sikring af tilstrækkelig repræsentativitet for de berørte befolkningsgrupper."*

    For HR-tech virksomheder er der fire konkrete krav, der springer frem.

    Krav 1: Repræsentativitet

    Træningsdataene til rekrutterings-AI skal afspejle den faktiske mangfoldighed i ansøgerpopulationen. Hvis et system er trænet primært på data fra én branche, én geografi eller ét demografisk segment, er det sandsynligvis i strid med Artikel 10.

    Praksis: Dokumenter datakilder og lav en repræsentativitetsanalyse. Vær særlig opmærksom på underrepræsentation af køn, alder og etnisk baggrund i historiske rekrutteringsdata.

    Krav 2: Fri for systematiske fejl

    "Systematiske fejl" dækker over bias, der er indlejret i træningsdataene. Historisk ansættelsesdata afspejler ofte fortidige diskriminationsmønstre — hvis AI-systemet lærer af disse mønstre, viderefører det dem.

    Praksis: Gennemfør løbende bias-audits. Mål systemets outputfordeling på tværs af beskyttede karakteristika (køn, alder, nationalitet). Dokumentér afvigelser og korrektive foranstaltninger.

    Krav 3: Komplethed og minimering af datahuller

    Træningsdatasæt må ikke have signifikante huller, der medfører systematisk forkert prædiktion for dele af popula

    Klar til at komme i gang?

    PowerQuant leverer AI-inventar, Article 4-register og gap-analyse på 5 arbejdsdage.

    Start med M1 — 10.999 kr