Kapitel III, afdeling 3 i EU AI Act (Art. 16-27) fastlægger de fulde forpligtelser for *udbydere* (providers) af høj-risiko AI-systemer. Disse virksomheder — der designer, bygger og markedsfører AI-systemerne — bærer den tungeste compliance-byrde i EU AI Acts forpligtelseshierarki.
For softwarevirksomheder, AI-startups, tech-leverandører og virksomheder der byggeer egne AI-systemer er Art. 16-27 det centrale compliance-fundament.
Art. 16: Provider-forpligtelsernes overblik
Art. 16 lister samtlige provider-forpligtelser i komprimeret form. Providere skal:
a) Sikre at høj-risiko AI-systemet opfylder kravene i Art. 8-15 (krav til høj-risiko AI)
b) Have et kvalitetsstyringssystem (Art. 17)
c) Opbevare relevant dokumentation og logfiler (Art. 18-19)
d) Gennemføre conformity assessment-procedure (Art. 43)
e) Registrere systemet i EU-databasen (Art. 71)
f) Udstede EU-overensstemmelseserklæring (Art. 47)
g) Anbringe CE-mærket på systemet (Art. 48)
h) Overholde registreringsforpligtelserne
i) Træffe korrigerende foranstaltninger ved non-compliance
j) Informere nationale myndigheder og distributorer ved alvorlige risici
k) Demonstrere conformity assessment-procedurens gennemførelse på forespørgsel
Art. 17: Kvalitetsstyringssystem (QMS)
Art. 17 kræver at providere etablerer et dokumenteret og velfungerende kvalitetsstyringssystem der dækker:
Strategier og procedurer for compliance (Art. 17 stk. 1 litra a): Dokumenterede processer for at opnå og vedligeholde compliance med EU AI Act.
Teknikker til AI-systemdesign (litra b): Procedurer for datakvalitet, testning, validering og versionsstyring.
Risikostyringssystemet (litra c): Integration af Art. 9 risikostyring i QMS.
Post-market surveillance (litra d): Procedurer for overvågning af systemets performance i drift (Art. 72).
Klagehåndtering og korrigerende foranstaltninger (litra e-f): Processer for håndtering af klager og identificerede compliance-problemer.
Datahåndtering (litra g): Procedurer for Art. 10's datakvalitetskrav.
Dokumentationsstyring (litra h): Systematisk styring af al compliance-dokumentation.
Management review (litra i): Periodisk ledelsesgennemgang af QMS-effektivitet.
ISO 9001 og ISO 42001 som grundlag: Mange virksomheder kan opfylde Art. 17 ved at tilpasse eksisterende ISO 9001 QMS med AI-specifikke krav. ISO 42001 (AI Management System Standard) er specifikt designet til EU AI Act-alignment.
Art. 18: Teknisk dokumentation (Annex IV)
Art. 18 pålægger providere at udarbejde og vedligeholde teknisk dokumentation inden systemet markedsføres eller tages i brug. Annex IV specificerer indholdet (9 sektioner):
Vedligeholdelseskrav: Teknisk dokumentation skal opdateres ved substantielle ændringer af systemet. En versionsstyret dokumentationsplatform (f.eks. Confluence, Notion, eller dedikeret compliance-software) anbefales.
Art. 19: Automatisk genererede logfiler
Art. 19 kræver at providere sikrer at høj-risiko AI-systemer teknisk er i stand til automatisk at generere logfiler der er tilstrækkelige til post-deployment surveillance (Art. 72) og til identificering af systemets handlinger under dets drift.
Logkrav:
GDPR-balance: Logning af persondata kræver GDPR-retsgrundlag og data minimization. Logfiler bør designes til at opfylde Art. 19's krav med mindst mulig persondata-eksponering.
Art. 20: Korrigerende foranstaltninger ved non-compliance
Art. 20 pålægger providere straks at træffe de nødvendige korrigerende foranstaltninger hvis de får kendskab til at et høj-risiko AI-system ikke er i overensstemmelse med EU AI Act. Dette inkluderer:
Korrigerende foranstaltnings-procedure:
Art. 21-22: EU-repræsentant for ikke-EU-baserede providere
Providere etableret uden for EU der markedsfører høj-risiko AI-systemer i EU skal udpege en EU-baseret *repræsentant* (Art. 22). Repræsentanten:
For US- og UK-baserede AI-leverandører der sælger til det europæiske marked er dette et konkret krav. EU-repræsentanten kan være en juridisk rådgiver, en eksisterende EU-filial, eller en specialiseret compliance-tjenesteudbyder.