1) Bruge systemet i overensstemmelse med providerens instruktioner (Art. 26(1))
Article 26(1) kræver at deployers anvender high-risk AI-systemer i overensstemmelse med providerens medfølgende brugsanvisninger. Det lyder banalt, men i praksis bruges screening-AI ofte til andre formål end providerens dokumentation eksplicit dækker — fx CV-screening anvendt til intern omflytning eller performance- vurdering. Hver gang I udvider use-casen, er I formelt set ude af providerens scope.
2) Sikre human oversight (Art. 26(2) + Art. 14)
Deployers skal sikre at high-risk-systemer overvåges af fysiske personer der har den nødvendige kompetence, autoritet og ressourcer til at gribe ind. Det er ikke nok at "have HR med i loopen" — der skal være konkrete personer med navn, rolle og dokumenteret kompetence der har myndighed til at tilsidesætte AI'ens output.
3) Sikre input-data er repræsentativ (Art. 26(4))
Når deployers selv styrer hvilke input-data systemet får — fx hvilke kandidat-CV'er der fodres til en screening-AI — er det deployerens ansvar at sikre at data er relevant og tilstrækkelig repræsentativ for systemets påtænkte formål. Dette ansvar kan ikke skubbes tilbage til providere.
4) Logføring (Art. 26(6))
Deployers skal opbevare logs genereret af systemet i mindst 6 måneder, medmindre national lovgivning kræver længere. For HR-systemer i Danmark vil GDPR-sletningsfristerne ofte trække den anden vej — så der skal tages stilling til hvordan log-opbevaringspligten under EU AI Act forenes med dataminimering under GDPR.
5) Informere medarbejdere før et high-risk-system tages i brug (Art. 26(7))
Deployers der er arbejdsgivere skal — inden et high-risk AI-system ibrugtages på arbejdspladsen — informere de berørte medarbejdere og deres repræsentanter. Dette er en selvstændig pligt udover GDPR Art. 13/14 og udover overenskomstmæssige informationskrav. Sker informationen ikke før ibrugtagning, er det formelt et brud.
6) Underretning af berørte personer ved automatiseret beslutning (Art. 26(11))
Hvor et high-risk-system bruges til at træffe eller assistere en beslutning der har konsekvenser for en fysisk person, skal deployeren informere personen om at AI'en er involveret. Det er en bredere pligt end GDPR Art. 22 og er ikke begrænset til "udelukkende automatiserede" beslutninger.
7) Fundamental rights impact assessment (FRIA) — Art. 27
Visse deployers — primært offentlige myndigheder og private der leverer offentlige tjenester, samt deployers af systemer i Annex III punkt 5(b) og 5(c) — skal udføre en grundrettighedskonsekvensvurdering FØR systemet tages i brug. For private HR-tech-deployers er pligten mere begrænset, men hvis I leverer ydelser i den offentlige sektor (fx udlejede screening-services til kommuner), kan den ramme jer.
Hvad med Article 50 — er det også deployer-pligt?
Ja. Article 50(2) og 50(4) lægger transparenskrav direkte på deployers — uanset om systemet er high-risk eller ej. Det inkluderer mærkning af AI-genereret indhold til offentligheden og information ved deepfake-brug. Læs mere i vores artikel om Article 50 transparenskrav.
Den korte tjekliste
- Bruger I systemet inden for providerens dokumenterede formål?
- Hvem konkret er ansvarlig for human oversight — med navn?
- Er input-data dokumenteret repræsentativt?
- Har I log-retention på plads (mindst 6 måneder)?
- Er medarbejdere informeret FØR systemet blev taget i brug?
- Underrettes berørte personer når AI er involveret i beslutninger om dem?
- Er FRIA udført hvis I er i scope?
- Article 50-disclosure-tekster udarbejdet og synlige?
Kilder: Regulation (EU) 2024/1689 Article 14, 26, 27, 50, recitals 91–96.