Når dit AI-system falder ind under kategorien høj-risiko i henhold til EU AI Act (forordning (EU) 2024/1689), er du som udbyder underlagt et detaljeret regelsæt, der strækker sig fra det første designvalg til løbende markedsovervågning. Artiklerne 16-21 udgør kernen i dette regelsæt: de definerer præcist, hvad du skal have på plads, inden du sætter dit system på markedet, og hvad du skal gøre, efter det er lanceret.
Denne artikel gennemgår samtlige forpligtelser systematisk — med fokus på, hvad loven kræver, hvornår det kræves, og hvilke dokumenter og systemer din organisation konkret skal etablere inden den kritiske Annex III-deadline den 2. august 2026.
1. Art. 16: Overblik over udbyderens 10 kernekrav
Artikel 16 i EU AI Act (EU) 2024/1689 er indgangsporten til hele udbydersporet. Den opstiller de overordnede forpligtelser, som alle efterfølgende artikler udfoldet i detaljer. Som udbyder af et høj-risiko AI-system skal du:
Sikre overensstemmelse med kravene i kapitel 2 (Art. 8-15), herunder risikoledelse, datakvalitet, transparens, menneskelig kontrol, robusthed og nøjagtighed.Etablere et kvalitetsstyringssystem (QMS) i overensstemmelse med Art. 17.Udarbejde teknisk dokumentation i overensstemmelse med Art. 18 og Annex IV.Opbevare automatisk genererede logs i overensstemmelse med Art. 20, i det omfang systemet genererer disse.Gennemføre overensstemmelsesvurdering i overensstemmelse med Art. 43, inden systemet bringes på markedet.Registrere systemet i EU's database i overensstemmelse med Art. 49, inden markedsføring.Udarbejde og underskrive EU-overensstemmelseserklæringen i overensstemmelse med Art. 47.Anbringe CE-mærkning på systemet i overensstemmelse med Art. 48.Overholde informationspligterne over for distributører, importører og deployere, herunder instruktioner og brugervendt dokumentation.Iværksætte korrigerende foranstaltninger og rapportere alvorlige hændelser i overensstemmelse med Art. 20 og 21.Art. 16, stk. 2 indeholder en vigtig lempelse for mikro- og små virksomheder: disse kan i visse tilfælde opfylde QMS-kravet med en forenklet tilgang, forudsat at proportionalitetsprincippet overholdes (se afsnit 9 nedenfor).
2. Art. 17: Kvalitetsstyringssystem — 12 obligatoriske elementer
Artikel 17 er en af de mest substansrige bestemmelser for udbyderens interne organisation. Et kvalitetsstyringssystem (QMS) for høj-risiko AI-systemer skal ifølge Art. 17, stk. 1 mindst indeholde følgende 12 elementer:
En strategi for lovgivningsmæssig overholdelse, herunder overholdelse af overensstemmelsesvurderingsprocedurer og standarder.Klare procedurer for systemdesign, herunder designkrav, designkontrol og designverifikation.Procedurer for kontrol og kvalitetssikring af datasæt, jf. Art. 10 om datastyring og datakvalitet.Systemer til ressourcestyring, herunder kompetence, opmærksomhed og uddannelse.Dokumentations- og registreringsprocedurer, herunder opbevaring af alle relevante dokumenter.Procedurer for risikoledelse i overensstemmelse med Art. 9, herunder løbende overvågning og opdatering.En post-market monitoring-plan i overensstemmelse med Art. 72, der beskriver, hvordan systemets ydeevne overvåges i drift.Procedurer for håndtering af korrigerende og forebyggende foranstaltninger, herunder afvigelsesstyring.Kommunikationsprocedurer, herunder intern og ekstern kommunikation vedrørende compliance.Procedurer for forvaltning af ændringer, herunder ændringer af systemet, dets formål og dets omgivende processer.Procedurer for hændelseshåndtering og rapportering, jf. Art. 73 om alvorlige hændelser.Revisionsplaner og -procedurer, herunder intern og ekstern auditering af QMS'et.QMS'et skal tilpasses virksomhedens størrelse. En startup med tre udviklere behøver ikke et ISO 9001-tungt bureaukrati, men skal dokumentere de 12 elementer proportionelt og troværdigt.
3. Art. 18: Teknisk dokumentation — Annex IV-krav og 10 års opbevaringspligt
Artikel 18 pålægger udbyderen at udarbejde og ajourføre teknisk dokumentation, inden et høj-risiko AI-system bringes på markedet eller ibrugtages. Dokumentationen skal udformes i overensstemmelse med Annex IV til forordningen og mindst indeholde:
En detaljeret systembeskrivelse: formål, version, AI-teknik, algoritme, datakilder.Systemets ydeevneparametre: præcision, robusthed, nøjagtighed, og de testscenarier der er brugt.Datastyringsbeskrivelse: dataindsamlingsmetoder, præprocessering, datasætkarakteristika og kendte begrænsninger.Risikostyringsdokumentation jf. Art. 9: alle identificerede risici, afbødende foranstaltninger og restrisici.Verifikations- og valideringsresultater: testrKlar til at komme i gang?
PowerQuant leverer AI-inventar og gap-analyse på 5 arbejdsdage.
Start M1 — 10.999 kr