BLOG

Art. 16-27 EU AI Act: Udbydernes Fulde Forpligtelseskatalog

Kapitel III, afdeling 3 i EU AI Act (Art. 16-27) fastlægger de fulde forpligtelser for *udbydere* (providers) af høj-risiko AI-systemer. Disse virksomheder — der designer, bygger og markedsfører AI-systemerne — bærer den tungeste compliance-byrde i EU AI Acts forpligtelseshierarki.

For softwarevirksomheder, AI-startups, tech-leverandører og virksomheder der byggeer egne AI-systemer er Art. 16-27 det centrale compliance-fundament.

Art. 16: Provider-forpligtelsernes overblik

Art. 16 lister samtlige provider-forpligtelser i komprimeret form. Providere skal:

a) Sikre at høj-risiko AI-systemet opfylder kravene i Art. 8-15 (krav til høj-risiko AI)

b) Have et kvalitetsstyringssystem (Art. 17)

c) Opbevare relevant dokumentation og logfiler (Art. 18-19)

d) Gennemføre conformity assessment-procedure (Art. 43)

e) Registrere systemet i EU-databasen (Art. 71)

f) Udstede EU-overensstemmelseserklæring (Art. 47)

g) Anbringe CE-mærket på systemet (Art. 48)

h) Overholde registreringsforpligtelserne

i) Træffe korrigerende foranstaltninger ved non-compliance

j) Informere nationale myndigheder og distributorer ved alvorlige risici

k) Demonstrere conformity assessment-procedurens gennemførelse på forespørgsel

Art. 17: Kvalitetsstyringssystem (QMS)

Art. 17 kræver at providere etablerer et dokumenteret og velfungerende kvalitetsstyringssystem der dækker:

Strategier og procedurer for compliance (Art. 17 stk. 1 litra a): Dokumenterede processer for at opnå og vedligeholde compliance med EU AI Act.

Teknikker til AI-systemdesign (litra b): Procedurer for datakvalitet, testning, validering og versionsstyring.

Risikostyringssystemet (litra c): Integration af Art. 9 risikostyring i QMS.

Post-market surveillance (litra d): Procedurer for overvågning af systemets performance i drift (Art. 72).

Klagehåndtering og korrigerende foranstaltninger (litra e-f): Processer for håndtering af klager og identificerede compliance-problemer.

Datahåndtering (litra g): Procedurer for Art. 10's datakvalitetskrav.

Dokumentationsstyring (litra h): Systematisk styring af al compliance-dokumentation.

Management review (litra i): Periodisk ledelsesgennemgang af QMS-effektivitet.

ISO 9001 og ISO 42001 som grundlag: Mange virksomheder kan opfylde Art. 17 ved at tilpasse eksisterende ISO 9001 QMS med AI-specifikke krav. ISO 42001 (AI Management System Standard) er specifikt designet til EU AI Act-alignment.

Art. 18: Teknisk dokumentation (Annex IV)

Art. 18 pålægger providere at udarbejde og vedligeholde teknisk dokumentation inden systemet markedsføres eller tages i brug. Annex IV specificerer indholdet (9 sektioner):

  • Generel beskrivelse af AI-systemet
  • Detaljeret beskrivelse af AI-systemets komponenter
  • Oplysninger om data og datakvalitetsstyring
  • Risikovurdering og testresultater (Art. 9)
  • Nøjagtigheds-, robustheds- og cybersikkerhedstest
  • Testresultater fra notified body (hvis relevant)
  • Harmoniserede standarder der er anvendt
  • EU-overensstemmelseserklæring (kopi)
  • Post-market surveillance plan
  • Vedligeholdelseskrav: Teknisk dokumentation skal opdateres ved substantielle ændringer af systemet. En versionsstyret dokumentationsplatform (f.eks. Confluence, Notion, eller dedikeret compliance-software) anbefales.

    Art. 19: Automatisk genererede logfiler

    Art. 19 kræver at providere sikrer at høj-risiko AI-systemer teknisk er i stand til automatisk at generere logfiler der er tilstrækkelige til post-deployment surveillance (Art. 72) og til identificering af systemets handlinger under dets drift.

    Logkrav:

  • Systemets handlinger og output
  • Tidsstempling
  • Input-data (i den udstrækning dette er teknisk muligt)
  • Output-confidence/usikkerhed (hvis relevant)
  • Human oversight-handlinger (override-registreringer)
  • GDPR-balance: Logning af persondata kræver GDPR-retsgrundlag og data minimization. Logfiler bør designes til at opfylde Art. 19's krav med mindst mulig persondata-eksponering.

    Art. 20: Korrigerende foranstaltninger ved non-compliance

    Art. 20 pålægger providere straks at træffe de nødvendige korrigerende foranstaltninger hvis de får kendskab til at et høj-risiko AI-system ikke er i overensstemmelse med EU AI Act. Dette inkluderer:

  • Afhjælpning af non-compliance
  • Tilbagetrækning fra markedet eller tilbagekaldelse (recall) hvis nødvendigt
  • Information til nationale kompetente myndigheder
  • Information til distributører og deployers
  • Korrigerende foranstaltnings-procedure:

  • Identifikation af compliance-problem (via intern review, klage, myndighedsfeedback)
  • Root cause analysis
  • Umiddelbar risikomitigering (midlertidig shutdown, brugeradvarsler)
  • Strukturel løsning (systemrettelse, dokumentationsopdatering)
  • Verifikation af løsningens effektivitet
  • Rapportering til myndigheder og stakeholders
  • Art. 21-22: EU-repræsentant for ikke-EU-baserede providere

    Providere etableret uden for EU der markedsfører høj-risiko AI-systemer i EU skal udpege en EU-baseret *repræsentant* (Art. 22). Repræsentanten:

  • Er kontaktpunkt for nationale myndigheder
  • Har fuldmagt til at handle på providerens vegne
  • Er medansvarlig for compliance
  • For US- og UK-baserede AI-leverandører der sælger til det europæiske marked er dette et konkret krav. EU-repræsentanten kan være en juridisk rådgiver, en eksisterende EU-filial, eller en specialiseret compliance-tjenesteudbyder.

    Art. 23:

    Klar til at komme i gang?

    PowerQuant leverer AI-inventar og gap-analyse på 5 arbejdsdage.

    Start M1 — 10.999 kr