Når et højrisiko-AI-system ikke lever op til kravene i EU AI Act (Forordning EU 2024/1689), gælder der klare pligter om at handle hurtigt og dokumenteret. Artiklerne 20 og 21 udgør kernen i forordningens reaktive compliance-regime: udbyderen skal ikke blot konstatere ikke-overensstemmelse, men iværksætte konkrete korrigerende foranstaltninger — og i yderste konsekvens trække systemet fra markedet. Denne artikel gennemgår de juridiske forpligtelser trin for trin, med fokus på hvad danske AI-udbydere og deployers skal gøre, hvornår de skal gøre det, og hvem de skal informere.
1. Ikke-overensstemmelse og korrigerende foranstaltninger: det lovmæssige grundlag
EU AI Act art. 20 og 21 skal forstås i sammenhæng med forordningens overordnede tilsyn- og håndhævelsesarkitektur, der bygger på princippet om, at udbydere bærer det primære ansvar for, at deres AI-systemer til enhver tid overholder kravene i Kapitel III, Afdeling 2 (artiklerne 8-15) samt kravene til gennemsigtighed (art. 13), menneskelig kontrol (art. 14) og nøjagtighed og robusthed (art. 15).
Ikke-overensstemmelse kan opstå på mange måder: en teknisk opdatering ændrer et systems adfærd uden fornyet konformitetsvurdering, nye data afslører systematisk bias i beslutningsoutput, et internt audit identificerer mangler i den tekniske dokumentation, eller en myndighed konstaterer under markedsovervågning, at systemet ikke fungerer som angivet i brugsanvisningen.
Uanset årsagen fastsætter art. 20, stk. 1, at udbyderen straks skal iværksætte de nødvendige korrigerende foranstaltninger for at bringe systemet i overensstemmelse — eller om nødvendigt trække det tilbage fra markedet eller tilbagekalde det (art. 21). Forordningen bygger hermed på et "act first, document after"-princip, der afspejler EU's erfaring fra produktsikkerhedslovgivningen (Forordning EU 2023/988 om produktsikkerhed i almindelighed).
Centrale begreber:
2. Art. 20: udbydernes forpligtelse ved opdaget ikke-overensstemmelse
Art. 20 er den primære handlingsnorm. Den fastsætter, at udbydere af højrisiko-AI-systemer, der ved eller med rimelighed har grund til at antage, at et system, de har bragt på markedet eller taget i brug, ikke overholder forordningen, straks skal foretage de nødvendige korrigerende foranstaltninger for at bringe det i overensstemmelse, trække det tilbage eller tilbagekalde det, alt efter hvad der er hensigtsmæssigt.
Forpligtelsen aktiveres ved to typer af viden:
Forpligtelserne er kumulative: udbyderen skal: