PowerQuant

EU AI Act Art. 87: Whistleblower-beskyttelse og hvad det betyder for din HR-afdeling

PowerQuant · EU AI Act compliance for HR-tech

> Disclaimer: PowerQuant leverer teknisk compliance-dokumentation — ikke juridisk rådgivning. Kontakt en advokat for konkret juridisk vejledning.

Forestil dig dette scenarie: En medarbejder i din virksomhed opdager, at HR-systemets AI-screening af jobansøgere ikke lever op til kravene i EU AI Act. Systemet er klassificeret som høj-risiko AI under Annex III, men virksomheden har aldrig oprettet den tekniske dokumentation, som forordningen kræver. Medarbejderen ved, at noget er galt — men hvad er vedkommendes rettigheder, og hvad er din HR-afdelings forpligtelse?

Svaret finder du i artikel 87 i EU AI Act.

Hvad siger artikel 87 egentlig?

EU AI Act trådte i kraft den 1. august 2024, og forordningens artikel 87 indeholder en specifik beskyttelse af personer, der indberetter overtrædelser. Artiklen slår fast, at personer, der indberetter overtrædelser af forordningen til nationale kompetente myndigheder — eller som offentliggør sådanne oplysninger — er beskyttet i overensstemmelse med EU's whistleblower-direktiv (direktiv 2019/1937).

I praksis betyder det:

  • Indberetter er beskyttet mod repressalier. En medarbejder, der rapporterer, at virksomheden anvender AI i strid med forordningen, må ikke afskediges, degraderes, eller på anden måde diskrimineres som følge af indberetningen.
  • Anonym indberetning er mulig. Systemerne skal understøtte, at indberetninger kan foretages anonymt, hvis den nationale lovgivning tillader det.
  • Beskyttelsen gælder fra det øjeblik, indberetningen indgives — ikke først når overtrædelsen er bekræftet.

    • Artikel 87 er ikke isoleret. Den hænger uløseligt sammen med det bredere whistleblower-direktiv, som Danmark implementerede i whistleblowerloven (lov nr. 1436 af 29. juni 2021, senest opdateret 2023).

    Kobling til EU's whistleblower-direktiv

    Direktiv 2019/1937 om beskyttelse af personer, der indberetter overtrædelser af EU-retten, udgør det retlige fundament for artikel 87. Direktivet dækker en lang række EU-retsområder — og EU AI Act er nu eksplicit tilføjet denne beskyttelsesramme.

    Overlappet er vigtigt at forstå for compliance-ansvarlige:

    | Aspekt | Whistleblower-direktiv 2019/1937 | EU AI Act Art. 87 |

    |---|---|---|

    | Beskyttelse mod repressalier | Ja | Ja (via reference til direktivet) |

    | Interne indberetningskanaler | Kræves (>50 ansatte) | Understøttes |

    | Anonym indberetning | Valgfrit efter national ret | Understøttes |

    | Eksterne kanaler | Nationale myndigheder | Nationale AI-tilsynsmyndigheder |

    | Offentliggørelse | Som sidste udvej | Tilladt under betingelser |

    Den dobbelte beskyttelsesramme betyder, at en medarbejder der indberetter AI Act-overtrædelser nyder godt af begge regelsæt samtidigt. Det er ikke enten-eller — det er et kumulativt værn.

    Hvem er beskyttet? Langt flere end du tror

    En udbredt misforståelse er, at whistleblower-beskyttelse kun gælder fastansatte medarbejdere. Det er forkert. Artikel 87, læst i sammenhæng med direktivet, beskytter en bred kreds:

  • Fastansatte medarbejdere — uanset stillingsniveau og anciennitet
  • Kontraktansatte og freelancere — der udfører arbejde for virksomheden
  • Praktikanter og studerende — også ulønnede
  • Leverandører og underleverandører — som har kendskab til virksomhedens AI-systemer
  • Tidligere ansatte — der indberetter overtrædelser begået under ansættelsen
  • Aktionærer og bestyrelsesmedlemmer — i det omfang de har oplysninger om overtrædelser
  • Personer i rekrutteringsprocessen — som observerer problemer under ansættelsesforløbet

    • For HR-afdelinger er det særligt vigtigt at notere sig punkt 7: Selv en jobansøger, der under et ansættelsesforløb opdager, at virksomhedens AI-screeningsværktøj ikke overholder Art. 50's krav om disclosure, kan potentielt nyde whistleblower-beskyttelse.

    Det er ikke en teoretisk mulighed — det er en juridisk realitet, som HR-afdelinger bør tage alvorligt allerede nu, inden Annex III-deadlinen den 2. december 2027.

    HR-afdelingens dobbeltrolle: Påklaget og klagebehandler

    Her opstår et af de mest komplekse spørgsmål i praksis: HR-afdelingen kan befinde sig i to modstridende roller på samme tid.

    Rollen som den påklagede part

    Mange HR-afdelinger anvender i dag AI-systemer til:

  • CV-screening og rangering af jobansøgere
  • Vurdering af kulturel fit og personlighedsanalyse
  • Præstationsevaluering og lønfastsættelse
  • Automatiserede risikovurderinger ved afskedigelse

    • Disse systemer er i vid udstrækning klassificeret som høj-risiko AI under Annex III til EU AI Act, kategori 4 (beskæftigelse, arbejdsstyring og adgang til selvstændig erhvervsvirksomhed). Det medfører en række forpligtelser:

  • Art. 4: Krav om AI-kompetencer hos personale, der anvender systemerne (deadline: 2. februar 2025 — allerede overskredet)
  • Art. 11–17: Teknisk dokumentation, logføring og gennemsigtighed for høj-risiko systemer
  • Art. 50: Krav om disclosure, når personer interagerer med AI-systemer (deadline: 2. august 2026)
  • Annex III, kat. 4: Konformitetsvurdering og registrering i EU-databasen inden 2. december 2027

    • Hvis HR-afdelingen anvender ikke-compliant AI, er det HR-afdelingen selv, der kan være genstand for en indberetning.

    Rollen som klagebehandler

    Samtidig er HR-afdelingen i mange virksomheder ansvarlig for at modtage og håndtere interne whistleblower-indberetninger. Ifølge whistleblowerloven og direktivet skal virksomheder med mere end 50 ansatte etablere interne indberetningskanaler, og HR er ofte den funktion, der administrerer disse.

    Dobbeltrollens problem er åbenlyst: Hvis en medarbejder indberetter, at HR's eget AI-system ikke er compliant, hvem behandler så indberetningen? En indberetning om HR's AI-brug bør aldrig behandles af HR selv. Den bør gå til en uafhængig funktion — typisk compliance-ansvarlig, intern revision eller en ekstern kanal.

    Anbefaling: Sørg for, at jeres indberetningspolitik eksplicit angiver, hvem der behandler indberetninger, der vedrører HR-afdelingens egne systemer.

    Hvad udgør en "overtrædelse" i HR-tech kontekst?

    For at forstå, hvad der kan indberettes under Art. 87, er det nyttigt at gennemgå de mest sandsynlige overtrædelsestyper i en HR-teknologisk kontekst:

    1. Manglende Art. 4-dokumentation

    Siden 2. februar 2025 har der været krav om, at udbydere og deployere af AI-systemer sikrer, at de ansatte, der anvender AI, har de nødvendige kompetencer. Mange virksomheder har endnu ikke etableret dokumentation for, hvem der må anvende hvilke AI-systemer, og hvilken træning de har gennemgået. En medarbejder, der opdager dette hul, har potentielt grund til at indberette.

    2. Ikke-compliant høj-risiko AI uden konformitetsvurdering

    Et AI-system til rekruttering, der er taget i brug uden den påkrævede konformitetsvurdering (Art. 43), teknisk dokumentation (Art. 11) eller registrering i EU-databasen (Art. 71), er i åben overtrædelse af forordningen. Dette er et klassisk indberetningsgrundlag.

    3. Manglende Art. 50 disclosure

    Fra 2. august 2026 skal kandidater og medarbejdere informeres, når de interagerer med AI-systemer. Bruger I et AI-drevet chatbot-system til jobansøgninger? Anvender I automatiseret scoringsanalyse af videointerviews? Så har I fra august 2026 pligt til at oplyse om dette. Sker det ikke, er det en overtrædelse, som enhver berørt person kan indberette.

    4. Manglende gennemsigtighed over for medarbejdere

    Art. 86 giver berørte personer ret til forklaring, når en AI-truffet beslutning påvirker dem væsentligt. En medarbejder, der ikke modtager en forklaring på, hvorfo

    Klar til at komme i gang?

    PowerQuant leverer AI-inventar, Article 4-register og gap-analyse på 5 arbejdsdage.

    Start med M1 — 10.999 kr