BLOG

EU AI Act Art. 16-21: Udbyderens Forpligtelser fra Registrering til Post-Market Monitoring

Når dit AI-system falder ind under kategorien høj-risiko i henhold til EU AI Act (forordning (EU) 2024/1689), er du som udbyder underlagt et detaljeret regelsæt, der strækker sig fra det første designvalg til løbende markedsovervågning. Artiklerne 16-21 udgør kernen i dette regelsæt: de definerer præcist, hvad du skal have på plads, inden du sætter dit system på markedet, og hvad du skal gøre, efter det er lanceret.

Denne artikel gennemgår samtlige forpligtelser systematisk — med fokus på, hvad loven kræver, hvornår det kræves, og hvilke dokumenter og systemer din organisation konkret skal etablere inden den kritiske Annex III-deadline den 2. august 2026.

1. Art. 16: Overblik over udbyderens 10 kernekrav

Artikel 16 i EU AI Act (EU) 2024/1689 er indgangsporten til hele udbydersporet. Den opstiller de overordnede forpligtelser, som alle efterfølgende artikler udfoldet i detaljer. Som udbyder af et høj-risiko AI-system skal du:

  • Sikre overensstemmelse med kravene i kapitel 2 (Art. 8-15), herunder risikoledelse, datakvalitet, transparens, menneskelig kontrol, robusthed og nøjagtighed.
  • Etablere et kvalitetsstyringssystem (QMS) i overensstemmelse med Art. 17.
  • Udarbejde teknisk dokumentation i overensstemmelse med Art. 18 og Annex IV.
  • Opbevare automatisk genererede logs i overensstemmelse med Art. 20, i det omfang systemet genererer disse.
  • Gennemføre overensstemmelsesvurdering i overensstemmelse med Art. 43, inden systemet bringes på markedet.
  • Registrere systemet i EU's database i overensstemmelse med Art. 49, inden markedsføring.
  • Udarbejde og underskrive EU-overensstemmelseserklæringen i overensstemmelse med Art. 47.
  • Anbringe CE-mærkning på systemet i overensstemmelse med Art. 48.
  • Overholde informationspligterne over for distributører, importører og deployere, herunder instruktioner og brugervendt dokumentation.
  • Iværksætte korrigerende foranstaltninger og rapportere alvorlige hændelser i overensstemmelse med Art. 20 og 21.
  • Art. 16, stk. 2 indeholder en vigtig lempelse for mikro- og små virksomheder: disse kan i visse tilfælde opfylde QMS-kravet med en forenklet tilgang, forudsat at proportionalitetsprincippet overholdes (se afsnit 9 nedenfor).

    2. Art. 17: Kvalitetsstyringssystem — 12 obligatoriske elementer

    Artikel 17 er en af de mest substansrige bestemmelser for udbyderens interne organisation. Et kvalitetsstyringssystem (QMS) for høj-risiko AI-systemer skal ifølge Art. 17, stk. 1 mindst indeholde følgende 12 elementer:

  • En strategi for lovgivningsmæssig overholdelse, herunder overholdelse af overensstemmelsesvurderingsprocedurer og standarder.
  • Klare procedurer for systemdesign, herunder designkrav, designkontrol og designverifikation.
  • Procedurer for kontrol og kvalitetssikring af datasæt, jf. Art. 10 om datastyring og datakvalitet.
  • Systemer til ressourcestyring, herunder kompetence, opmærksomhed og uddannelse.
  • Dokumentations- og registreringsprocedurer, herunder opbevaring af alle relevante dokumenter.
  • Procedurer for risikoledelse i overensstemmelse med Art. 9, herunder løbende overvågning og opdatering.
  • En post-market monitoring-plan i overensstemmelse med Art. 72, der beskriver, hvordan systemets ydeevne overvåges i drift.
  • Procedurer for håndtering af korrigerende og forebyggende foranstaltninger, herunder afvigelsesstyring.
  • Kommunikationsprocedurer, herunder intern og ekstern kommunikation vedrørende compliance.
  • Procedurer for forvaltning af ændringer, herunder ændringer af systemet, dets formål og dets omgivende processer.
  • Procedurer for hændelseshåndtering og rapportering, jf. Art. 73 om alvorlige hændelser.
  • Revisionsplaner og -procedurer, herunder intern og ekstern auditering af QMS'et.
  • QMS'et skal tilpasses virksomhedens størrelse. En startup med tre udviklere behøver ikke et ISO 9001-tungt bureaukrati, men skal dokumentere de 12 elementer proportionelt og troværdigt.

    3. Art. 18: Teknisk dokumentation — Annex IV-krav og 10 års opbevaringspligt

    Artikel 18 pålægger udbyderen at udarbejde og ajourføre teknisk dokumentation, inden et høj-risiko AI-system bringes på markedet eller ibrugtages. Dokumentationen skal udformes i overensstemmelse med Annex IV til forordningen og mindst indeholde:

  • En detaljeret systembeskrivelse: formål, version, AI-teknik, algoritme, datakilder.
  • Systemets ydeevneparametre: præcision, robusthed, nøjagtighed, og de testscenarier der er brugt.
  • Datastyringsbeskrivelse: dataindsamlingsmetoder, præprocessering, datasætkarakteristika og kendte begrænsninger.
  • Risikostyringsdokumentation jf. Art. 9: alle identificerede risici, afbødende foranstaltninger og restrisici.
  • Verifikations- og valideringsresultater: testr
  • Klar til at komme i gang?

    PowerQuant leverer AI-inventar og gap-analyse på 5 arbejdsdage.

    Start M1 — 10.999 kr