EU AI Act — forordning (EU) 2024/1689 — er trådt i kraft gradvist siden 2024. Med den fulde anvendelse af høj-risiko AI-reglerne (Annex III) fra 2. august 2026 er det nu kritisk, at både udbydere og deployers af høj-risiko AI-systemer forstår de konkrete pligter, der udspringer af artikel 21, 72, 73 og 74. Manglende overholdelse kan medføre tilbagetrækning af systemer fra markedet, administrative bøder og omdømmeskader.
Denne guide gennemgår hele kontrolkredsløbet: fra udbyderens interne korrigerende handlingspligt, over post-market surveillance og hændelsesindberetning, til markedsovervågningsmyndighedens håndhævelsesbeføjelser i Danmark.
1. Art. 21: Udbyderens pligt til korrigerende foranstaltninger ved non-conformity
Artikel 21 i forordning (EU) 2024/1689 pålægger udbydere af høj-risiko AI-systemer en proaktiv handlingspligt, så snart de har grund til at tro, at et system ikke opfylder kravene i forordningens kapitel III, afsnit 2 (krav til høj-risiko AI-systemer).
Pligten aktiveres, når udbyderen på baggrund af egne oplysninger, informationer fra en deployer, en distributør, en importør eller en national myndighed har rimelig grund til at antage, at et høj-risiko AI-system udgør en risiko for sundhed, sikkerhed eller grundlæggende rettigheder.
Kravene under art. 21 omfatter konkret:
Artikel 21 er ikke reaktiv i sin natur; den kræver, at udbyderen har etableret systemer til løbende at opdage potentielle non-conformities, inden de eskalerer til alvorlige hændelser. Det hænger direkte sammen med kravene til post-market surveillance i artikel 72.
2. Art. 72: Post-market surveillance system — løbende overvågning
Artikel 72 forpligter udbydere af høj-risiko AI-systemer til at etablere og opretholde et post-market surveillance (PMS) system, der løbende indsamler og analyserer data om systemets faktiske performance efter markedsintroduktion.
PMS-systemet skal:
Til forskel fra traditionel produktovervågning i f.eks. medicinsk udstyr (MDR) eller maskindirektivet er AI-systemers performance dynamisk: det samme system kan opføre sig forskelligt afhængigt af inputdataenes distribution, nye brugsscenarier eller ændringer i den operationelle kontekst. Artikel 72 anerkender dette ved at kræve, at PMS-systemet er tilpasset AI-systemers specifikke karakteristika — herunder den potentielle drift fra træningsdataene (distribution shift).
Deployers spiller en afgørende rolle: de er i henhold til art. 26 forpligtet til at videregive relevante oplysninger om systemets faktiske performance til udbyderen, og dette input udgør en central del af PMS-datafundamentet.
3. Art. 73: Serious incident reporting — hvad er en "alvorlig hændelse"?
Artikel 73 introducerer et EU-dækkende system for indberetning af alvorlige hændelser (*serious incidents*) relateret til høj-risiko AI-systemer. En alvorlig hændelse defineres som enhver hændelse eller funktionsfejl ved et høj-risiko AI-system, der direkte eller indirekte har forårsaget eller med rimelighed kan forventes at forårsage:
Udbyderen er forpligtet til at indberette alvorlige hændelser til markedsovervågningsmyndigheden i den medlemsstat, hvor hændelsen fandt sted — i Danmark er dette Digitaliseringsstyrelsen. Indberetningen skal ske uden unødig forsinkelse og senest 15 dage efter, at udbyderen er blevet bekendt med hændelsen. Ved alvorlig risiko for personers liv eller sikkerhed reduceres fristen til 10 dage og ved livstruende situationer til 5 dage.
Indberetningen skal indeholde:
4. Art. 74: Markedsovervågningsmyndighedens beføjelser (Digitaliseringsstyrelsen i DK)
Artikel 74 er hjemmelen for nationale markedsovervågningsmyndigheder til at gribe ind over for høj-risiko AI-systemer, der udgør en risiko. I Danmark er Digitaliseringsstyrelsen (DIGST) udpeget som national kompetent myndighed for AI Act — med særlig koordinering med Datatilsynet i spørgsmål der berører GDPR.
Digitaliseringsstyrelsen kan under art. 74:
Artikel 74 giver endvidere myndighederne beføjelse til at iværksætte koordinerede håndhævelsesaktioner på tværs af EU — et udtryk for, at AI-systemers potentielle risici ikke stopper ved græn