Når en dansk virksomhed tager et højrisiko-AI-system i brug — hvad enten det er et rekrutteringsværktøj, et præstationsvurderingssystem eller en automatiseret kreditscoring — opstår der øjeblikkeligt en juridisk forpligtelse, der ikke forsvinder ved at underskrive en leverandøraftale. Artikel 29 i Europa-Parlamentets og Rådets forordning (EU) 2024/1689 om kunstig intelligens (EU AI Act) stiller en klar og selvstændig kravstruktur til deployers: de organisationer, der tager AI-systemer i brug i praksis, men ikke er dem, der har udviklet dem.
Forordningen trådte i kraft den 1. august 2024. Forbuddene i artikel 5 har haft retsvirkning siden 2. februar 2025. De generelle AI-modeller (GPAI) er fuldt regulerede fra 2. august 2025, og kravene til højrisiko-AI-systemer i Bilag III finder fuldt anvendelse fra 2. august 2026 — efterfulgt af fuld forordningsmæssig virkning den 2. august 2027. For deployers, der allerede nu anvender AI i HR, økonomi eller forvaltning, er det vigtigt at forstå, at overgangsperioderne ikke er en frisone: forberedelsesinvesteringen begynder nu.
Denne artikel gennemgår de centrale forpligtelser i artikel 29 stk. for stk., og hvad de konkret betyder for en dansk deployer.
1. Art. 29 stk. 1: Hvad vil det sige at "følge brugsinstruktionerne"?
Artikel 29, stk. 1 i EU AI Act fastslår, at deployers af højrisiko-AI-systemer skal anvende systemerne i overensstemmelse med den brugervejledning (instructions for use), som udbyderen har stillet til rådighed, jf. artikel 13, stk. 3, litra b, nr. iv og Bilag XIII.
I praksis betyder dette, at deployers:
"Brugsinstruktioner" er ikke blot en manual i juridisk forstand. Det er et samlet vidensgrundlag: Bilag XIII til forordningen specificerer, at instrukserne som minimum skal indeholde identitetsoplysninger om udbyderen, systemets tilsigtede formål, præstationsniveauer og kendte begrænsninger, vejledning til menneskelig overvågning, forventede input og output, relevante risikogrupper og en klar angivelse af, hvad systemet ikke er godkendt til at gøre.
En deployer, der anvender et rekrutteringsalgoritme til vurdering af kandidater ud over dét, som udbyderens dokumentation dækker — f.eks. ved at anvende det på jobtitler, udbyderen ikke har valideret systemet for — risikerer at befinde sig i "off-label use": en situation, der aktiverer deployers selvstændige ansvar.
2. Bilag XIII: Hvad skal en brugervejledning indeholde?
Bilag XIII i EU AI Act (jf. art. 13, stk. 3) opstiller minimumskravene til den information, som udbyderen skal levere, og som deployers er forpligtede til at kende og efterleve. Vejledningen skal som minimum indeholde:
Deployers, der modtager en systemleverance uden dette indhold, bør kontraktligt kræve det suppleret inden ibrugtagning. Manglende dokumentation er ikke deployers ekskulpering — det er en kontraktuel risiko, der hviler på deployer.
3. Konsekvenser af uoverensstemmende anvendelse (off-label use)
Off-label use opstår, når deployer anvender et højrisiko-AI-system til et formål, en kontekst eller en persongruppe, som udbyderens dokumentation ikke dækker. EU AI Act art. 29, stk. 1, sammenholdt med art. 25, stk. 3, fastlægger, at en deployer i sådanne tilfælde automatisk påtager sig udbyderpligterne — dvs. samtlige forpligtelser i artikel 16-20, herunder kravet om teknisk dokumentation, konformitetsvurdering og EU-databaseregistrering.
Det er et markant ansvarsskift: den organisation, der blot ønskede at anvende et færdigt system, kan pludselig stå som den, der er ansvarlig for systemets EU-overensstemmelseserklæring.
Eksempler på off-label use i HR-kontekst:
Risikoen for ansvarsskift er ikke teoretisk. Tilsynsmyndigheder er efter art. 74 og 75 bemyndiget til at foretage revisioner og pålægge korrigerende foranstaltninger, der direkte kan ramme deployers organisation, hvis en off-label-situation afsløres.