BLOG

Art. 29 EU AI Act: Deployers Forpligtelse til at Følge Brugsinstruktioner

Når en dansk virksomhed tager et højrisiko-AI-system i brug — hvad enten det er et rekrutteringsværktøj, et præstationsvurderingssystem eller en automatiseret kreditscoring — opstår der øjeblikkeligt en juridisk forpligtelse, der ikke forsvinder ved at underskrive en leverandøraftale. Artikel 29 i Europa-Parlamentets og Rådets forordning (EU) 2024/1689 om kunstig intelligens (EU AI Act) stiller en klar og selvstændig kravstruktur til deployers: de organisationer, der tager AI-systemer i brug i praksis, men ikke er dem, der har udviklet dem.

Forordningen trådte i kraft den 1. august 2024. Forbuddene i artikel 5 har haft retsvirkning siden 2. februar 2025. De generelle AI-modeller (GPAI) er fuldt regulerede fra 2. august 2025, og kravene til højrisiko-AI-systemer i Bilag III finder fuldt anvendelse fra 2. august 2026 — efterfulgt af fuld forordningsmæssig virkning den 2. august 2027. For deployers, der allerede nu anvender AI i HR, økonomi eller forvaltning, er det vigtigt at forstå, at overgangsperioderne ikke er en frisone: forberedelsesinvesteringen begynder nu.

Denne artikel gennemgår de centrale forpligtelser i artikel 29 stk. for stk., og hvad de konkret betyder for en dansk deployer.

1. Art. 29 stk. 1: Hvad vil det sige at "følge brugsinstruktionerne"?

Artikel 29, stk. 1 i EU AI Act fastslår, at deployers af højrisiko-AI-systemer skal anvende systemerne i overensstemmelse med den brugervejledning (instructions for use), som udbyderen har stillet til rådighed, jf. artikel 13, stk. 3, litra b, nr. iv og Bilag XIII.

I praksis betyder dette, at deployers:

  • Ikke må benytte systemet til formål, der ligger uden for det tilsigtede anvendelsesområde som defineret af udbyderen.
  • Skal sætte sig grundigt ind i de begrænsninger og risici, som udbyderen har dokumenteret.
  • Må ikke tilpasse eller konfigurere systemet på en måde, der underminerer de tekniske sikkerhedsforanstaltninger.
  • "Brugsinstruktioner" er ikke blot en manual i juridisk forstand. Det er et samlet vidensgrundlag: Bilag XIII til forordningen specificerer, at instrukserne som minimum skal indeholde identitetsoplysninger om udbyderen, systemets tilsigtede formål, præstationsniveauer og kendte begrænsninger, vejledning til menneskelig overvågning, forventede input og output, relevante risikogrupper og en klar angivelse af, hvad systemet ikke er godkendt til at gøre.

    En deployer, der anvender et rekrutteringsalgoritme til vurdering af kandidater ud over dét, som udbyderens dokumentation dækker — f.eks. ved at anvende det på jobtitler, udbyderen ikke har valideret systemet for — risikerer at befinde sig i "off-label use": en situation, der aktiverer deployers selvstændige ansvar.

    2. Bilag XIII: Hvad skal en brugervejledning indeholde?

    Bilag XIII i EU AI Act (jf. art. 13, stk. 3) opstiller minimumskravene til den information, som udbyderen skal levere, og som deployers er forpligtede til at kende og efterleve. Vejledningen skal som minimum indeholde:

  • Identitet og kontaktoplysninger for udbyderen.
  • Systemets tilsigtede formål, herunder den specifikke kontekst og de brugergrupper, det er designet til.
  • Præstationsniveauer — herunder nøjagtighed, robusthed og eventuelle kendte bias-mønstre.
  • Input-krav: hvilken type data systemet skal modtage for at fungere korrekt, og hvilke datatyper der kan producere fejlbehæftede resultater.
  • Kendte risici for bestemte persongruppers rettigheder eller sikkerhed.
  • Beskrivelse af forventede output og deres fortolkningsgrænser.
  • Vejledning i menneskelig overvågning — herunder specifikt hvornår og hvordan en menneskelig beslutningsansvarlig bør gribe ind.
  • Forventede ressourcer til drift, herunder personalekompetencer.
  • Post-market overvågningsprocedurer, som deployer skal understøtte.
  • Deployers, der modtager en systemleverance uden dette indhold, bør kontraktligt kræve det suppleret inden ibrugtagning. Manglende dokumentation er ikke deployers ekskulpering — det er en kontraktuel risiko, der hviler på deployer.

    3. Konsekvenser af uoverensstemmende anvendelse (off-label use)

    Off-label use opstår, når deployer anvender et højrisiko-AI-system til et formål, en kontekst eller en persongruppe, som udbyderens dokumentation ikke dækker. EU AI Act art. 29, stk. 1, sammenholdt med art. 25, stk. 3, fastlægger, at en deployer i sådanne tilfælde automatisk påtager sig udbyderpligterne — dvs. samtlige forpligtelser i artikel 16-20, herunder kravet om teknisk dokumentation, konformitetsvurdering og EU-databaseregistrering.

    Det er et markant ansvarsskift: den organisation, der blot ønskede at anvende et færdigt system, kan pludselig stå som den, der er ansvarlig for systemets EU-overensstemmelseserklæring.

    Eksempler på off-label use i HR-kontekst:

  • Anvende et CV-screeningsystem til intern karriereudviklingsvurdering, selvom det kun er certificeret til eksternt rekrutteringsscreening.
  • Bruge et præstationsovervågningssystem til at vurdere medarbejdere i en anden afdeling end den, systemet er valideret for.
  • Sætte et system i drift i en anden EU-medlemsstat end den, udbyderen har dokumenteret lokale lovkrav for.
  • Risikoen for ansvarsskift er ikke teoretisk. Tilsynsmyndigheder er efter art. 74 og 75 bemyndiget til at foretage revisioner og pålægge korrigerende foranstaltninger, der direkte kan ramme deployers organisation, hvis en off-label-situation afsløres.

    Klar til at komme i gang?

    PowerQuant leverer AI-inventar og gap-analyse på 5 arbejdsdage.

    Start M1 — 10.999 kr