PowerQuant

Conformity self-assessment vs. tredjepartsaudit: Hvornår kræver EU AI Act ekstern validering?

PowerQuant · EU AI Act compliance for HR-tech

EU AI Act stiller krav om, at udbydere af høj-risiko AI-systemer skal gennemføre en formel overensstemmelsesvurdering, inden systemet bringes på EU-markedet. Men hvad indebærer den vurdering præcist — og kræver den altid en ekstern revisor? Svaret afhænger af, hvilken kategori dit AI-system falder ind under, og om forordningens artikel 43 peger mod intern self-assessment eller obligatorisk tredjepartsaudit via en såkaldt notified body.

Denne artikel forklarer de to procedurer, hvornår hver enkelt gælder, og hvad du som henholdsvis udbyder (provider) og anvender (deployer) konkret skal gøre — herunder hvad en tjekliste for deployer-compliance bør indeholde.

Artikel 43 overblik: To overensstemmelsesvurderingsprocedurer

EU AI Act artikel 43 fastlægger rammen for, hvordan høj-risiko AI-systemer skal valideres, før de markedsføres eller tages i brug i EU. Forordningen skelner mellem to overordnede procedurer:

Procedure A — Intern kontrol (self-assessment): Udbyderen gennemfører selv vurderingen med udgangspunkt i det krav-sæt, der fremgår af Annex IV (teknisk dokumentation). Der er ingen ekstern revisor involveret — men dokumentationen skal være udtømmende, sporbar og tilgængelig for markedsovervågningsmyndighederne.

Procedure B — Tredjepartsvurdering (notified body): En akkrediteret og EU-notificeret tredjepartsorganisation (notified body) gennemgår systemet, udsteder en EU-typeafprøvningscertifikat og fører løbende kontrol. Procedure B er ressourcekrævende, tidskrævende og forbeholdt de kategorier af AI-systemer, som EU-lovgiver vurderer indebærer særligt høj risiko for grundlæggende rettigheder.

Det afgørende spørgsmål er ikke, om dit system er "høj-risiko" — det er en forudsætning for overhovedet at befinde sig inden for artikel 43's anvendelsesområde. Spørgsmålet er, hvilken af de to procedurer der er obligatorisk for netop din AI-systemkategori.

Self-assessment (Art. 43 stk. 2): Hvornår gælder det for Annex III-systemer?

Artikel 43, stk. 2 fastslår, at udbydere af høj-risiko AI-systemer opført i Annex III — med undtagelse af systemer i Annex III, punkt 1 — kan anvende intern kontrol som overensstemmelsesvurderingsprocedure.

Annex III opregner otte kategorier af høj-risiko AI-applikationer:

  • Biometrisk identifikation og kategorisering af fysiske personer
  • Kritisk infrastruktur
  • Uddannelse og erhvervsuddannelse
  • Beskæftigelse, arbejdsstyrkestyring og adgang til selvstændig erhvervsvirksomhed
  • Adgang til og nydelse af væsentlige private og offentlige ydelser og fordele
  • Retshåndhævelse
  • Migration, asyl og grænseforvaltningskontrol
  • Retspleje og demokratiske processer

    • For kategorier 2-8 er udgangspunktet self-assessment. Det betyder, at en udbyder af eksempelvis et AI-drevet rekrutteringsværktøj (kategori 4) eller et kreditvurderingssystem (kategori 5) ikke automatisk er forpligtet til at hyre en notified body. Udbyderen kan — og skal under normale omstændigheder — gennemføre vurderingen internt, forudsat at den tekniske dokumentation lever op til kravene i Annex IV, og at der er etableret et velfungerende kvalitetsstyringssystem i henhold til artikel 17.

    Self-assessment er ikke et lavere krav. Det er blot et krav om, at udbyderen selv er i stand til at dokumentere, teste og demonstrere overensstemmelse. Hvis myndighederne anmoder om dokumentationen, skal den kunne fremlægges uden forsinkelse.

    Notified body (Art. 43 stk. 1): Hvornår er tredjepartsaudit obligatorisk?

    Artikel 43, stk. 1 indeholder den undtagelse, der i praksis er mest afgørende: For AI-systemer under Annex III, punkt 1 — det vil sige systemer til biometrisk identifikation og kategorisering — er tredjepartsvurdering via notified body obligatorisk.

    Dette omfatter primært:

  • Real-time fjernbiometrisk identifikationssystemer i offentlige rum (medmindre de er forbudt efter Art. 5)
  • Post-hoc fjernbiometrisk identifikation, når systemet anvendes af retshåndhævende myndigheder
  • Biometrisk kategorisering baseret på følsomme attributter som race, politisk overbevisning eller seksuel orientering

    • Begrundelsen for at kræve ekstern validering i netop disse tilfælde er veldokumenteret i forordningens præambel: Biometriske systemer har et særligt højt fejlratepotentiale kombineret med vidtrækkende konsekvenser for grundlæggende rettigheder. En selvvurdering fra producenten selv giver ikke tilstrækkelig uafhængig kvalitetssikring.

    Notified body-proceduren indebærer:

  • Ansøgning til en akkrediteret notified body registreret i NANDO-databasen
  • EU-typeafprøvning (artikel 44): Gennemgang af teknisk dokumentation og tests af repræsentative systemer
  • Udstedelse af EU-typeafprøvningscertifikat, der som udgangspunkt er gyldigt i fem år
  • Løbende kontrol og revurdering ved væsentlige ændringer af systemet

    • For virksomheder, der ikke opererer med biometrisk identifikation, er denne procedure som udgangspunkt irrelevant.

    HR-tech konklusion: De fleste HR-AI-systemer er self-assessment

    Dette er et punkt, der skaber unødvendig bekymring hos mange virksomheder: De antager, at et AI-system til rekruttering, medarbejdervurdering eller arbejdstidsplanlægning automatisk kræver ekstern auditering.

    Det er forkert.

    HR-AI-systemer, der falder under Annex III, kategori 4 — herunder CV-screening og kandidatrangering, automatiseret assessment og testscoring, AI-understøttet præstationsvurdering og systemer der påvirker forfremmelse, afskedigelse eller opgavefordeling — er underlagt self-assessment-proceduren, ikke notified body-proceduren. Udbyderen (leverandøren af HR-AI-softwaren) skal gennemføre og dokumentere overensstemmelsesvurderingen internt. Der er ikke krav om at involvere en ekstern certificeringsenhed, medmindre der integreres biometriske komponenter i systemet.

    Det betyder ikke, at compliance er simpelt. Det betyder, at compliance er udbyderens eget ansvar — og at dokumentationen skal holde til ekstern kontrol, hvis myndighederne banker på.

    Hvad self-assessment konkret indebærer

    Når self-assessment-proceduren er den relevante, er udbyderens forpligtelser fastsat i en kombination af artikel 9, 10, 11, 12, 13, 14, 15, 17 og Annex IV. Samlet kan de struktureres i tre blokke:

    1. Teknisk dokumentation (Annex IV)

    Annex IV specificerer, hvad den tekniske dokumentation skal indeholde. Listen er udtømmende og dækker blandt andet:

  • Systemets generelle beskrivelse, herunder formål og anvendelseskontekst
  • Systemets design: arkitektur, algoritmer, dataindsamling og -behandling
  • Risikovurdering og risikostyringsforanstaltninger (Art. 9)
  • Datastyring og governance (Art. 10): datakvalitet, repræsentativitet og bias-håndtering
  • Logning og monitorering (Art. 12): automatisk hændelsesregistrering
  • Brugerinformation og transparens (Art. 13)
  • Human oversight-mekanismer (Art. 14)
  • Nøjagtigheds-, robustheds- og cybersikkerhedsmål (Art. 15)
  • Testresultater og validering, herunder metrikker

    • Dokumentationen skal opdateres løbende og navnlig ved væsentlige ændringer af systemet.

    2. Kvalitetsstyringssystem (Art. 17)

    Udbyderen skal have et formaliseret kvalitetsstyringssystem, der sikrer, at overensstemmelse med forordningens krav er systematisk forankret i virksomhedens processer — ikke blot i ét dokument, men i procedurer, ansvar og kontroller.

    3. EU-overensstemmelseserklæring og CE-mærkning

    Når vurderingen er gennemført, og udbyderen konkluderer, at systemet opfylder forordningens krav, udstedes en EU-overensstemmelseserklæring (Art. 47). Erklæringen indeholder oplysninger om systemet, ud

    Klar til at komme i gang?

    PowerQuant leverer AI-inventar, Article 4-register og gap-analyse på 5 arbejdsdage.

    Start med M1 — 10.999 kr