BLOG

Art. 53-55 EU AI Act: GPAI-Udbyders Forpligtelser og Teknisk Dokumentation

Fra den 2. august 2025 er reglerne for General-Purpose AI (GPAI) under EU AI Act, forordning (EU) 2024/1689, fuldt gældende. Det betyder, at udbydere af store sprogmodeller og andre GPAI-modeller — hvad enten det er OpenAI, Google, Meta, Mistral eller en intern virksomhedsudviklet model — skal efterleve en række konkrete dokumentations-, transparens- og risikovurderingskrav.

Denne artikel gennemgår systematisk, hvad Article 53, 54 og 55 i EU AI Act kræver af GPAI-udbydere, hvad open-source-undtagelsen indebærer, hvornår en model klassificeres som havende "systemisk risiko", og hvad du som deployer bør kræve af din leverandør kontraktuelt.

1. Art. 53: Basisforpligtelser for alle GPAI-udbydere (gælder fra 2. august 2025)

Article 53 i EU AI Act (EU) 2024/1689 fastsætter de grundlæggende forpligtelser, der gælder for alle udbydere af GPAI-modeller, der markedsføres eller tages i brug i EU. Det gælder uanset om modellen tilbydes som en API-tjeneste, et softwarebibliotek, en integreret løsning eller på anden vis.

De fire hovedelementer i Art. 53, stk. 1 er:

  • Litra a: Teknisk dokumentation udarbejdes og holdes opdateret og stilles til rådighed for EU AI Office og nationale kompetente myndigheder på anmodning.
  • Litra b: Information og dokumentation stilles til rådighed for downstream-udbydere (virksomheder og udviklere, der bygger ovenpå modellen), så disse kan efterleve deres egne forpligtelser under forordningen.
  • Litra c: En politik for efterlevelse af EU's ophavsretsregler implementeres og offentliggøres, herunder vedrørende text and data mining (TDM).
  • Litra d: Et offentligt tilgængeligt resumé af den anvendte træningsdata offentliggøres.
  • Forpligtelserne er ikke valgfrie. De gælder fra den dag, modellen markedsføres i EU, og den relevante frist er 2. august 2025 for alle GPAI-modeller der sættes i drift efter ikrafttrædelse.

    2. Art. 53 stk. 1 litra a: Teknisk dokumentation til EU AI Office

    Den tekniske dokumentation, som GPAI-udbydere skal udarbejde, er specificeret i Annex XI til EU AI Act og adskiller sig fra den tekniske dokumentation for høj-risiko AI-systemer (Annex IV). For GPAI-modeller skal dokumentationen som minimum indeholde:

  • En generel beskrivelse af GPAI-modellen, herunder de opgaver den er designet til og de modaliteter (tekst, billede, lyd m.v.) den understøtter.
  • Oplysninger om den arkitektur og det antal parametre modellen er bygget på.
  • En beskrivelse af træningsprocessen, herunder de anvendte beregningsressourcer (udtrykt i floating point operations, FLOP), de primære datakilder og eventuelle filtrerings- og rensningsmetoder for træningsdata.
  • En evaluering af modellens ydeevne på relevante benchmarks og testmetoder.
  • Oplysninger om kendte begrænsninger, fejl og forudsigelige misbrug.
  • Dokumentationen skal holdes opdateret og fremsendes til EU AI Office og kompetente nationale myndigheder på anmodning. EU AI Office — etableret under Europa-Kommissionen — er det primære tilsynsorgan for GPAI-modeller og har beføjelse til at anmode om al relevant dokumentation, foretage evalueringer og udstede advarsler eller henstillinger.

    3. Art. 53 stk. 1 litra b: Information og dokumentation til downstream-udbydere

    En central innovation i EU AI Acts GPAI-regime er den såkaldte værdikædeforpligtelse: GPAI-modellens primære udbyder er forpligtet til at forsyne downstream-udbydere med al den information og dokumentation, som er nødvendig for, at disse kan efterleve deres egne forpligtelser under forordningen.

    Det har konkrete implikationer. Hvis en dansk HR-tech virksomhed bygger et ansøgningsscreening-system oven på GPT-4o via OpenAI API, og det system klassificeres som et høj-risiko AI-system under Annex III (kategori: beskæftigelse og arbejdsstyrkeforvaltning), skal OpenAI som GPAI-udbyder levere:

  • Dokumentation, der gør det muligt for HR-tech virksomheden at udarbejde sin egen tekniske dokumentation (Annex IV).
  • Information om modellens kapaciteter og begrænsninger, som er nødvendig for en meningsfuld risikovurdering.
  • Tilstrækkelig beskrivelse af de sikkerhedsmæssige testprocedurer, der er gennemført på modelniveau.
  • Praksis i 2025-2026 viser, at de fleste store GPAI-udbydere leverer dette via såkaldte "model cards", systembeskrivelser og API-dokumentation — men det er langt fra uniformt, og deployers bør aktivt verificere, at det leverede materiale reelt dækker de krav, Annex IV stiller til det samlede system.

    4. Art. 53 stk. 1 litra c: Ophavsretspolitik (EU AI Act + DSA Art. 17)

    Artikel 53, stk. 1, litra c kræver, at GPAI-udbydere vedtager og offentliggør en politik for overholdelse af EU's ophavsretsregler. Det retter sig navnlig mod reglerne om text and data mining (TDM) i Direktiv 2019/790/EU om ophavsret i det digitale indre marked (DSM-direktivet), Article 3 og 4.

    Centralt i dette krav er:

  • GPAI-udbydere skal respektere rettighedshavernes maskinlæsbare opt-out-signaler (f.eks. `robots.txt` og andre tekniske markører), der angiver, at indholdet ikke må bruges til TDM-formål.
  • Politikken skal beskrive, hvordan udbyderen identificerer og håndhæver sådanne opt-out-reservationer i sin dataindsamlings- og træningsproces.
  • Politikken skal offentliggøres og holdes opdateret.
  • Der er desuden en kobling til Digital Services Act (DSA) Article 17, som stiller krav om gennemsigtighed over for indholdsskab

    Klar til at komme i gang?

    PowerQuant leverer AI-inventar og gap-analyse på 5 arbejdsdage.

    Start M1 — 10.999 kr