BLOG

Art. 21 EU AI Act: Korrigerende Foranstaltninger og Markedsovervågning for Høj-Risiko AI

EU AI Act — forordning (EU) 2024/1689 — er trådt i kraft gradvist siden 2024. Med den fulde anvendelse af høj-risiko AI-reglerne (Annex III) fra 2. august 2026 er det nu kritisk, at både udbydere og deployers af høj-risiko AI-systemer forstår de konkrete pligter, der udspringer af artikel 21, 72, 73 og 74. Manglende overholdelse kan medføre tilbagetrækning af systemer fra markedet, administrative bøder og omdømmeskader.

Denne guide gennemgår hele kontrolkredsløbet: fra udbyderens interne korrigerende handlingspligt, over post-market surveillance og hændelsesindberetning, til markedsovervågningsmyndighedens håndhævelsesbeføjelser i Danmark.

1. Art. 21: Udbyderens pligt til korrigerende foranstaltninger ved non-conformity

Artikel 21 i forordning (EU) 2024/1689 pålægger udbydere af høj-risiko AI-systemer en proaktiv handlingspligt, så snart de har grund til at tro, at et system ikke opfylder kravene i forordningens kapitel III, afsnit 2 (krav til høj-risiko AI-systemer).

Pligten aktiveres, når udbyderen på baggrund af egne oplysninger, informationer fra en deployer, en distributør, en importør eller en national myndighed har rimelig grund til at antage, at et høj-risiko AI-system udgør en risiko for sundhed, sikkerhed eller grundlæggende rettigheder.

Kravene under art. 21 omfatter konkret:

  • Øjeblikkelig undersøgelse af det pågældende system for at fastslå, om og i hvilken grad det er non-conformant.
  • Udarbejdelse og implementering af korrigerende foranstaltninger, der kan inkludere softwareopdateringer, ændring af driftsparametre, begrænsning af systemets anvendelsesomfang eller fuldstændig tilbagetrækning.
  • Underretning af alle relevante markedsaktører — herunder distributører og deployers — der har modtaget det pågældende system.
  • Dokumentation af de trufne foranstaltninger med henblik på tilsynsmyndighedernes eventuelle efterprøvelse.
  • Artikel 21 er ikke reaktiv i sin natur; den kræver, at udbyderen har etableret systemer til løbende at opdage potentielle non-conformities, inden de eskalerer til alvorlige hændelser. Det hænger direkte sammen med kravene til post-market surveillance i artikel 72.

    2. Art. 72: Post-market surveillance system — løbende overvågning

    Artikel 72 forpligter udbydere af høj-risiko AI-systemer til at etablere og opretholde et post-market surveillance (PMS) system, der løbende indsamler og analyserer data om systemets faktiske performance efter markedsintroduktion.

    PMS-systemet skal:

  • Dække hele systemets driftslevetid og inkludere alle relevante informationskilder: logdata, tilbagemeldinger fra deployers, indberetninger fra brugere og resultater af periodiske evalueringer.
  • Proportionalt afspejle systemets risikoprofil — jo højere risiko, desto mere struktureret og hyppig overvågning.
  • Inkludere en post-market monitoring plan, der tydeligt beskriver, hvilke parametre der overvåges, med hvilken frekvens, og hvilke tærskler der udløser yderligere handling (se afsnit 10 nedenfor).
  • Til forskel fra traditionel produktovervågning i f.eks. medicinsk udstyr (MDR) eller maskindirektivet er AI-systemers performance dynamisk: det samme system kan opføre sig forskelligt afhængigt af inputdataenes distribution, nye brugsscenarier eller ændringer i den operationelle kontekst. Artikel 72 anerkender dette ved at kræve, at PMS-systemet er tilpasset AI-systemers specifikke karakteristika — herunder den potentielle drift fra træningsdataene (distribution shift).

    Deployers spiller en afgørende rolle: de er i henhold til art. 26 forpligtet til at videregive relevante oplysninger om systemets faktiske performance til udbyderen, og dette input udgør en central del af PMS-datafundamentet.

    3. Art. 73: Serious incident reporting — hvad er en "alvorlig hændelse"?

    Artikel 73 introducerer et EU-dækkende system for indberetning af alvorlige hændelser (*serious incidents*) relateret til høj-risiko AI-systemer. En alvorlig hændelse defineres som enhver hændelse eller funktionsfejl ved et høj-risiko AI-system, der direkte eller indirekte har forårsaget eller med rimelighed kan forventes at forårsage:

  • Dødsfald eller alvorlig skade på en persons helbred.
  • Alvorlig forstyrrelse af forvaltning af kritisk infrastruktur.
  • Krænkelse af grundlæggende rettigheder, herunder databeskyttelsesrettigheder.
  • Alvorlig skade på ejendom eller miljøet.
  • Udbyderen er forpligtet til at indberette alvorlige hændelser til markedsovervågningsmyndigheden i den medlemsstat, hvor hændelsen fandt sted — i Danmark er dette Digitaliseringsstyrelsen. Indberetningen skal ske uden unødig forsinkelse og senest 15 dage efter, at udbyderen er blevet bekendt med hændelsen. Ved alvorlig risiko for personers liv eller sikkerhed reduceres fristen til 10 dage og ved livstruende situationer til 5 dage.

    Indberetningen skal indeholde:

  • En beskrivelse af hændelsen og dens konsekvenser.
  • Oplysninger om det berørte AI-system (identifikation, version, registreringsnummer fra EU-databasen).
  • Hvilke korrigerende foranstaltninger der er igangsat eller planlagt.
  • Eventuelle oplysninger om berørte personer, under hensyntagen til databeskyttelsesforpligtelserne.
  • 4. Art. 74: Markedsovervågningsmyndighedens beføjelser (Digitaliseringsstyrelsen i DK)

    Artikel 74 er hjemmelen for nationale markedsovervågningsmyndigheder til at gribe ind over for høj-risiko AI-systemer, der udgør en risiko. I Danmark er Digitaliseringsstyrelsen (DIGST) udpeget som national kompetent myndighed for AI Act — med særlig koordinering med Datatilsynet i spørgsmål der berører GDPR.

    Digitaliseringsstyrelsen kan under art. 74:

  • Kræve adgang til og udlevering af teknisk dokumentation, logfiler, testdata og kildekode (dog med proportionalitetshensyn til forretningshemmeligheder).
  • Foretage fjerninspektion af AI-systemet under dets faktiske driftsforhold.
  • Udstede påbud om øjeblikkelig begrænsning, suspension eller tilbagetrækning fra markedet.
  • Pålægge udbydere at informere berørte deployers og slutbrugere.
  • Anmode om samarbejde fra andre nationale myndigheder (f.eks. Finanstilsynet ved finansielle AI-systemer, Arbejdstilsynet ved AI i arbejdsmiljøkontekst).
  • Artikel 74 giver endvidere myndighederne beføjelse til at iværksætte koordinerede håndhævelsesaktioner på tværs af EU — et udtryk for, at AI-systemers potentielle risici ikke stopper ved græn

    Klar til at komme i gang?

    PowerQuant leverer AI-inventar og gap-analyse på 5 arbejdsdage.

    Start M1 — 10.999 kr