BLOG

Bevisbyrden under EU AI Act for deployers: hvem skal bevise hvad — og med hvilke dokumenter?

Når en dansk virksomhed eller offentlig myndighed tager et høj-risiko AI-system i brug — fx en rekrutterings-scoringsmotor, et kreditvurderingssystem eller et workforce-planning-værktøj — opstår spørgsmålet hurtigt: hvem skal bevise hvad, hvis noget går galt? Var systemet defekt? Blev det brugt korrekt? Førte deployeren tilstrækkeligt tilsyn? Bevisbyrden under EU AI Act er hverken triviel eller intuitiv, og den er blevet markant skarpere efter, at Kommissionen i februar 2025 trak forslaget til AI Liability Directive tilbage og i stedet lod det reviderede produktansvarsdirektiv (Directive (EU) 2024/2853) overtage en stor del af det civilretlige spor.

Denne artikel gennemgår, hvor bevisbyrden faktisk ligger i 2026 — administrativt (over for tilsynsmyndigheden), kontraktligt (mellem provider og deployer) og civilretligt (over for den registrerede / skadelidte) — og hvilke konkrete dokumenter en dansk deployer bør have klar i sin compliance-mappe for at kunne løfte bevisbyrden, når den lander.

1. Bevisbyrden er ikke ét spor — den er tre

Det første skridt mod klarhed er at adskille de tre spor, fordi de har vidt forskellige beviskrav og forskellige modparter:

Administrativt spor (AI Act + national tilsynsmyndighed): Når Digitaliseringsstyrelsen eller en sektor-tilsynsmyndighed (fx Finanstilsynet eller Datatilsynet i sin AI-overlap-rolle) beder om dokumentation, ligger bevisbyrden for compliance hos den ansvarlige operator. Hverken Art. 26 (deployer) eller Art. 16 (provider) etablerer en formodning om non-compliance — men praksis fra både GDPR-tilsyn og finansiel regulering viser, at fraværet af dokumentation typisk fortolkes som non-compliance. Bevisbyrden er reelt "produktiv": man skal kunne fremvise registre, logs og vurderinger på anmodning.

Kontraktligt spor (provider ↔ deployer): Forpligtelserne i Art. 26 forudsætter, at provideren har leveret tilstrækkelige instruktioner (Art. 13), teknisk dokumentation (Art. 11 + Annex IV) og oversight-design (Art. 14). Hvis providerens dokumentation er mangelfuld eller misvisende, kan deployeren under dansk aftaleret og købeloven (samt evt. specifik DPA/vendor-aftale) skubbe ansvaret tilbage. Bevisbyrden ligger her hos den part, der gør et brud gældende — typisk deployer, der må vise, at instruktionerne ikke kunne følges som leveret.

Civilretligt spor (skadelidt borger eller medarbejder): Dette er sporet med de største ændringer i 2025–2026. Efter PLD 2024/2853 (transposition-deadline 9. december 2026) klassificeres software og AI-systemer eksplicit som "produkter", og der introduceres en række formodnings­regler, der reelt letter bevisbyrden for den skadelidte. Hertil kommer Art. 86 i AI Act, der giver enkeltpersoner en ret til at få en forklaring på væsentlige beslutninger truffet af et høj-risiko AI-system.

2. Det administrative spor: Art. 26 og deployerens dokumentationspligt

Artikel 26 i EU AI Act (forordning (EU) 2024/1689) opstiller en række konkrete deployer-forpligtelser, der alle implicit forudsætter dokumentation. Når tilsynsmyndigheden spørger, er det disse spor, der efterspørges:

  • Art. 26, stk. 1: Deployeren skal tage tekniske og organisatoriske foranstaltninger for at sikre, at systemet bruges i overensstemmelse med providerens brugsinstruktioner.
  • Art. 26, stk. 2: Menneskeligt tilsyn skal varetages af fysiske personer med nødvendig kompetence, træning og myndighed. Det er bevisbart kun gennem rolle-beskrivelser, træningslog og uddelegerings­dokumenter.
  • Art. 26, stk. 4: Når deployeren har kontrol over inputdata, skal disse være relevante og tilstrækkeligt repræsentative.
  • Art. 26, stk. 5: Driften skal overvåges, og signifikante hændelser samt risici skal rapporteres til provider og — under Art. 73 — til markedsovervågnings­myndigheden.
  • Art. 26, stk. 6: Logs skal opbevares i mindst 6 måneder, medmindre EU-ret eller national lov stiller længere krav.
  • Art. 26, stk. 7: Arbejdsgivere skal — inden ibrugtagning på arbejdspladsen — informere medarbejderrepræsentanter og berørte medarbejdere.
  • Art. 26, stk. 11: Når deployeren træffer eller assisterer beslutninger om fysiske personer, skal disse informeres om, at de er underlagt et høj-risiko AI-system.
  • Hver enkelt af disse forpligtelser udløser et dokumentations-spor. Hvis tilsynet beder om at se, hvordan I har sikret medarbejder­information forud for ibrugtagning af et HR-screeningsystem, er svaret ikke "vi gjorde det" — det er en kopi af e-mail-udsendelsen, MED-udvalgs­referatet og personalehåndbogens opdaterede afsnit.

    3. PLD 2024/2853: bevisbyrden lettes for skadelidte

    Det reviderede produktansvarsdirektiv, Directive (EU) 2024/2853, trådte i kraft den 8. december 2024 og skal være transponeret i national ret senest den 9. december 2026. Det erstatter det gamle direktiv 85/374/EØF og — vigtigst af alt — det dækker eksplicit software og AI-systemer som "produkter". For en dansk deployer, der hidtil måske antog, at ansvaret for et SaaS-leveret AI-system lå hos providerens hjemland, betyder dette et paradigmeskifte.

    PLD 2024/2853 introducerer tre særligt relevante bevisbyrde-mekanismer:

    Formodning om defekt: Hvis sagsøger kan vise, at produktet ikke overholdt obligatoriske sikkerheds­krav fastsat i EU-ret eller national ret — eksempelvis at et høj-risiko AI-system ikke opfyldte AI Acts Art. 9 risikostyrings­krav — formodes produktet at være defekt. Formodningen er ikke automatisk; den skal udløses af en konstateret regelovertrædelse, men når den først er aktiveret, vendes bevisbyrden om.

    Formodning om årsagssammenhæng: Hvis det er uforholdsmæssigt vanskeligt for sagsøger at bevise den kausale forbindelse mellem defekten og skaden — typisk pga. produktets tekniske kompleksitet — kan retten formode årsagssammenhæng. Dette er særligt relevant for AI-systemer, hvor "black-box"-karakteren ofte gør traditionel kausalitetsbevisførelse umulig for en lægmand.

    Disclosure-forpligtelse: Sagsøger kan begære, at den producent, importør eller distributør, der er sagsøgt, fremlægger relevant bevismateriale. Hvis den sagsøgte ikke efterkommer en sådan kendelse, formodes produktet at være defekt. Dette er en markant ændring af dansk processuel tradition, hvor parts­materiale typisk er beskyttet.

    For deployers betyder dette to ting: For det første kan de blive sagsøgt direkte under PLD, hvis de optræder som "importer" eller "distributør" af systemet på det danske marked — eksempelvis ved at indkøbe et amerikansk HR-AI-system og rulle det ud til 300 medarbejdere. For det andet bør deployerens AI Act-compliance-dokumentation være tilstrækkelig til at modbevise formodningen om defekt: hvis I kan vise, at I fulgte providerens instruktioner, sikrede oversight og overholdt Art. 26, er den civilretlige risiko markant reduceret.

    4. Art. 86 i AI Act: retten til forklaring

    Artikel 86 i EU AI Act giver enhver berørt person ret til at få en klar og meningsfuld forklaring af et høj-risiko AI-systems rolle i en beslutningsproces, der har retsvirkninger eller tilsvarende væsentlig indvirkning. Dette er et procesuelt minimum — det er ikke en ret til at få algoritmen offentliggjort, men en ret til at få oplyst, hvilke faktorer der vægtede, og hvordan beslutningen blev til.

    Bevisbyrden ligger her hos deployeren: når en medarbejder, der ikke blev forfremmet, eller en ansøger, der blev sorteret fra, anmoder om en forklaring, er det ikke nok at sige "systemet gjorde det". Deployeren skal kunne dokumentere:

  • Hvilken rolle systemet faktisk spillede i beslutningen (rådgivende vs. afgørende).
  • Hvilke inputs der gik ind, og hvilke outputs der kom ud.
  • Hvordan det menneskelige tilsyn forholdt sig til systemets output.
  • Hvilke hovedfaktorer — så vidt det er teknisk muligt — der drev resultatet.
  • Bemærk samspillet med GDPR Art. 22 og Art. 15: hvor GDPR giver ret til menneskelig indgriben i fuldt automatiserede beslutninger, udvider AI Act Art. 86 retten til også at gælde for delvist automatiserede høj-risiko-beslutninger. For HR-tech betyder dette, at "vi havde en menneskelig HR-konsulent i loopet" ikke længere undtager beslutningen fra forklarings­pligten.

    5. Hvad bør en dansk deployer have klar — konkret dokumentationsmappe

    Den praktiske konsekvens af alle tre spor er, at deployeren bør vedligeholde en struktureret compliance-mappe pr. høj-risiko AI-system. Vores anbefaling — afledt af M1-leverancen — er som minimum:

  • Systemkort: identifikation, provider, version, kategori under Annex III, intended purpose.
  • Providerens brugsinstruktioner (Art. 13): arkiveret kopi i den version, der var gældende ved ibrugtagningen.
  • Oversight-design (Art. 14) som leveret af provideren + jeres organisatoriske oversight-protokol (Art. 26(2)).
  • Trænings- og kompetencelog for de personer, der varetager tilsynet.
  • Inputdata-vurdering: hvor data kommer fra, om de er repræsentative, om der er gennemført bias-test.
  • Logs: systematisk arkiveret i mindst 6 måneder.
  • Medarbejderinformation: dokumentation for, at MED-udvalg, samarbejdsudvalg eller berørte medarbejdere er informeret før ibrugtagning (Art. 26(7)).
  • Beslutningsinformation: standard­tekst og rutine for at oplyse berørte personer om, at AI bidrager til beslutningen (Art. 26(11)).
  • FRIA (hvis I er omfattet af Art. 27 som offentlig myndighed eller stor privat deployer).
  • Hændelsesregister: log af alle signifikante hændelser, korrigerende foranstaltninger og rapporter til provider/myndighed.
  • Forklarings-template (Art. 86): en standard­procedure for, hvordan I besvarer anmodninger om forklaring inden for en rimelig frist.
  • Pointen er ikke, at mappen skal være tyk for tykkelsens skyld. Pointen er, at fraværet af et af disse dokumenter på det tidspunkt, hvor tilsynet eller en skadelidt beder om det, vil blive fortolket — administrativt såvel som civilretligt — som non-compliance.

    6. Når Art. 99 udløses: bevisbyrden i et bødeforløb

    Hvis tilsynsmyndigheden indleder en bødesag under Art. 99, er proportionalitets­vurderingen i Art. 99, stk. 7 afhængig af bl.a. samarbejde med myndighederne og graden af forsæt eller uagtsomhed. Begge dele dokumenteres bedst gennem den compliance-mappe, der allerede eksisterer. En deployer, der ved første anmodning kan fremlægge instruktioner, logs, oversight-roller og hændelses­register, har en betydeligt bedre proportionalitets­position end en, der starter med at samle dokumenter sammen midt i forløbet.

    Til perspektiv: bøderne under Art. 99 går fra op til 7,5 mio. EUR eller 1 % af global årsomsætning (for forkerte eller misvisende oplysninger til myndighederne, jf. Art. 99, stk. 5), via 15 mio. EUR eller 3 % (for de fleste operator-forpligtelser inkl. Art. 26, jf. Art. 99, stk. 4), op til 35 mio. EUR eller 7 % for overtrædelse af de forbudte praksisser i Art. 5 (Art. 99, stk. 3). Den højeste af de to størrelser anvendes som loft — og for SMV'er gælder omvendt den lavere.

    Konklusion: bevisbyrden ligger i dokumentationen — eller dens fravær

    Bevisbyrden under EU AI Act er ikke et abstrakt juridisk spørgsmål, der venter på, at man bliver sagsøgt. Den manifesterer sig hver gang tilsynet skriver, hver gang en medarbejder beder om en forklaring, hver gang en skadelidt borger henvender sig. For en dansk deployer er den praktiske disciplin enkel: byg dokumentations­mappen før ibrugtagning, vedligehold den løbende, og sørg for, at de personer, der varetager menneskeligt tilsyn, kender deres rolle og kan dokumentere den.

    Hvis I i 2026 endnu ikke har en struktureret mappe pr. høj-risiko AI-system, bør det være en af de første ting på roadmap'en. Det er billigere at bygge den nu end at samle den sammen, mens et tilsyn ringer på døren.

    Bygger I dokumentationen før eller efter tilsynet ringer?

    PowerQuant M1 leverer AI-inventar, Article 4-register og gap-analyse på 5 arbejdsdage — strukturen, der løfter bevisbyrden, når den lander.

    Start M1 — 10.999 kr