Fra den 2. august 2025 er reglerne for General-Purpose AI (GPAI) under EU AI Act, forordning (EU) 2024/1689, fuldt gældende. Det betyder, at udbydere af store sprogmodeller og andre GPAI-modeller — hvad enten det er OpenAI, Google, Meta, Mistral eller en intern virksomhedsudviklet model — skal efterleve en række konkrete dokumentations-, transparens- og risikovurderingskrav.
Denne artikel gennemgår systematisk, hvad Article 53, 54 og 55 i EU AI Act kræver af GPAI-udbydere, hvad open-source-undtagelsen indebærer, hvornår en model klassificeres som havende "systemisk risiko", og hvad du som deployer bør kræve af din leverandør kontraktuelt.
1. Art. 53: Basisforpligtelser for alle GPAI-udbydere (gælder fra 2. august 2025)
Article 53 i EU AI Act (EU) 2024/1689 fastsætter de grundlæggende forpligtelser, der gælder for alle udbydere af GPAI-modeller, der markedsføres eller tages i brug i EU. Det gælder uanset om modellen tilbydes som en API-tjeneste, et softwarebibliotek, en integreret løsning eller på anden vis.
De fire hovedelementer i Art. 53, stk. 1 er:
Forpligtelserne er ikke valgfrie. De gælder fra den dag, modellen markedsføres i EU, og den relevante frist er 2. august 2025 for alle GPAI-modeller der sættes i drift efter ikrafttrædelse.
2. Art. 53 stk. 1 litra a: Teknisk dokumentation til EU AI Office
Den tekniske dokumentation, som GPAI-udbydere skal udarbejde, er specificeret i Annex XI til EU AI Act og adskiller sig fra den tekniske dokumentation for høj-risiko AI-systemer (Annex IV). For GPAI-modeller skal dokumentationen som minimum indeholde:
Dokumentationen skal holdes opdateret og fremsendes til EU AI Office og kompetente nationale myndigheder på anmodning. EU AI Office — etableret under Europa-Kommissionen — er det primære tilsynsorgan for GPAI-modeller og har beføjelse til at anmode om al relevant dokumentation, foretage evalueringer og udstede advarsler eller henstillinger.
3. Art. 53 stk. 1 litra b: Information og dokumentation til downstream-udbydere
En central innovation i EU AI Acts GPAI-regime er den såkaldte værdikædeforpligtelse: GPAI-modellens primære udbyder er forpligtet til at forsyne downstream-udbydere med al den information og dokumentation, som er nødvendig for, at disse kan efterleve deres egne forpligtelser under forordningen.
Det har konkrete implikationer. Hvis en dansk HR-tech virksomhed bygger et ansøgningsscreening-system oven på GPT-4o via OpenAI API, og det system klassificeres som et høj-risiko AI-system under Annex III (kategori: beskæftigelse og arbejdsstyrkeforvaltning), skal OpenAI som GPAI-udbyder levere:
Praksis i 2025-2026 viser, at de fleste store GPAI-udbydere leverer dette via såkaldte "model cards", systembeskrivelser og API-dokumentation — men det er langt fra uniformt, og deployers bør aktivt verificere, at det leverede materiale reelt dækker de krav, Annex IV stiller til det samlede system.
4. Art. 53 stk. 1 litra c: Ophavsretspolitik (EU AI Act + DSA Art. 17)
Artikel 53, stk. 1, litra c kræver, at GPAI-udbydere vedtager og offentliggør en politik for overholdelse af EU's ophavsretsregler. Det retter sig navnlig mod reglerne om text and data mining (TDM) i Direktiv 2019/790/EU om ophavsret i det digitale indre marked (DSM-direktivet), Article 3 og 4.
Centralt i dette krav er:
Der er desuden en kobling til Digital Services Act (DSA) Article 17, som stiller krav om gennemsigtighed over for indholdsskab