Naar en offentlig myndighed eller stor virksomhed implementerer et AI-system til rekruttering, performancevaerdering eller personaleforvaltning, opstaar der en situation, som EU AI Act behandler med saerlig alvor. Loven introducerer nemlig et krav, der raekker langt ud over den klassiske databeskyttelse: den saakaldte Fundamental Rights Impact Assessment — eller FRIA.
FRIA er ikke blot et skema, der skal udfyldes. Det er en struktureret risikoanalyse, der tvinger deployers til at tage stilling til, om et AI-system kan kraenke de grundlaeggende rettigheder, som EU's Charter om grundlaeggende rettigheder beskytter. For HR-AI drejer det sig om alt fra ligebehandling og privatliv til retten til beskaeftigelse og non-diskrimination.
Denne artikel gennemgaar, hvad FRIA er, hvem der er pligtige til at gennemfoere den, hvad den skal indeholde, og hvad konsekvenserne er, hvis man forsoemmer den.
Hvad er EU AI Act FRIA — og hvorfor eksisterer den?
EU AI Act (forordning 2024/1689) klassificerer visse AI-systemer som hoej-risiko under Bilag III. Det gaelder bl.a. systemer til rekruttering og udvalgelse af kandidater, systemer til evaluering og overvaagning af medarbejderes praestationer, samt AI til forfremmelse, afskedigelse og lignende HR-beslutninger.
For disse systemer stilles der en lang raekke krav til teknisk robusthed, dokumentation, menneskelig overvaagning og transparens. Men for deployers — dem, der tager systemet i brug — tilfoejer Artikel 27 endnu et lag: en forpligtelse til at vurdere, hvilken konkret indvirkning systemet kan have paa menneskers grundlaeggende rettigheder.
Logikken bag FRIA er enkel: Et AI-system, der screener jobansogere eller vurderer medarbejdere, traekker reelt beslutninger med vidtraekende konsekvenser for enkeltpersoners liv. Disse beslutninger kan — bevidst eller utilsigtet — reproducere bias, ekskludere saarbare grupper og underminere rettighederne i EU's Charter. FRIA er lovgivers instrument til at sikre, at disse risici er kortlagt og adresseret, inden systemet gaar i drift.
Artikel 27, stk. 1: Hvem er obligatorisk FRIA-pligtig?
Forpligtelsen til at gennemfoere en FRIA gaelder ikke alle deployers automatisk. Artikel 27, stk. 1 afgraenser kredsen til tre grupper:
1. Offentlige myndigheder og organer
Alle offentlige myndigheder, der deployerer et hoej-risiko AI-system, er forpligtede. I dansk kontekst betyder dette kommuner, regioner, statslige ministerier og styrelser samt selvstyrende institutioner, der varetager offentlige opgaver. En kommunes brug af AI-assisteret rekruttering til at screene ansogninger er et klart eksempel.
2. Private enheder, der udforer offentlige tjenester
Private virksomheder eller organisationer, der leverer tjenesteydelser paa vegne af det offentlige — eksempelvis private leverandoerer af social beskaeftigelsesservice, uddannelsesinstitutioner med offentlig finansiering eller sundhedsleverandoerer under offentlig kontrakt — er ligeledes omfattet, naar de deployerer hoej-risiko AI som led i disse opgaver.
3. Store private virksomheder under visse betingelser
Forordningens nuancerede formulering aabner for, at store private aktorer kan blive FRIA-pligtige, naar de deployerer systemer, der paaviker et tilstraekkeligt stort antal personer med hensyn til grundlaeggende rettigheder. Kommissionen forventes at praecisere taersklerne for dette i delegerede retsakter.
Det er vigtigt at understrege: SMV'er (virksomheder med under 250 ansatte) er som udgangspunkt undtaget, medmindre de specifikt leverer offentlige tjenesteydelser under de ovennachevnte betingelser. Undtagelsen er ikke automatisk — virksomheder boer selv vurdere, om de falder ind under kategori 2 eller 3.
Dansk kontekst: Hvem er "offentlig myndighed"?
I dansk ret er begrebet "offentlig myndighed" veldefineret, men EU AI Acts rammer er bredere. Kommuner er klart omfattede — og de er netop relevante, fordi mange kommuner eksperimenterer med AI i rekruttering til administrative og sociale stillinger. Regioner er ligeledes klart inden for kredsen.
Statslige institutioner som Styrelsen for Arbejdsmarked og Rekruttering (STAR), Skatteforvaltningen, Forsvaret og Politiet er alle FRIA-pligtige, hvis de anvender hoej-risiko HR-AI. Det er relevant at notere, at Datatilsynet allerede foerer tilsyn med GDPR-compliance for disse aktorer — og FRIA er designet til at koordinere med netop disse processer.
Et graazonetilfaelde, der boer afklares: Aktieselskaber, der er 100 % offentligt ejede og varetager monopolopgaver — eksempelvis visse forsyningsselskaber og regionale trafikselskaber — vil sandsynligvis falde ind under artikel 27's anvendelsesomraade, men det afventer afklaring i nationale implementeringsretningslinjer.
Artikel 27, stk. 2: De 8 elementer i en FRIA
En FRIA er ikke en fri form-ovelse. Artikel 27, stk. 2 specificerer, hvad vurderingen skal indeholde. Der er otte obligatoriske elementer:
Element 1: Beskrivelse af systemets formal og anvendelse
Hvad goer AI-systemet konkret? Hvilke beslutninger understotter eller traekker det? Hvem er slutmodtagerne af disse beslutninger? En praecis systembeskrivelse er fundamentet for alle efterfolgende analysetrin.
Element 2: Begrundelse for anvendelse af det paagaeldende system
Hvorfor dette system frem for andre metoder? Er der en saglig, proportional begrundelse for at anvende hoej-risiko AI til den paagaeldende opgave? Begrundelsen skal vaere substantiel — ikke blot "det er mere effektivt."
Element 3: Vurdering af alternative muligheder
Hvad er alternativerne? Kunne opgaven loeses med mindre indgribende metoder — eksempelvis manuel sagsbehandling, enklere algoritmer eller regelbaserede systemer uden maskinlaering? EU AI Act har et proportionalitetsprincip som lodrette stolpe: jo storre indgreb i grundlaeggende rettigheder, jo storre krav til begrundelse for valget.
Element 4: Identifikation af paavirkede grupper
Hvilke befolkningsgrupper, kategorier af arbejdssoegende eller medarbejdersegmenter vil systemet paavike? Er der saerligt saarbare grupper, der er over- eller underreprasenterede? Kortlaegningen boer vaere konkret og ikke blot generisk.
Element 5: Risikovurdering for grundlaeggende rettigheder
Den centrale analyse: Hvilke grundlaeggende rettigheder kan paavikes, og med hvilken sandsynlighed og alvorlighed? Dette punkt er kernen i FRIA og adskiller den fundamentalt fra en ren teknisk risikovurdering.
Element 6: Afboedende foranstaltninger
Hvilke foranstaltninger er ivaerksat for at reducere eller elim