BLOG

EU AI Act Art. 20-21: Korrigerende foranstaltninger og tilbagetrækning fra markedet

Når et højrisiko-AI-system ikke lever op til kravene i EU AI Act (Forordning EU 2024/1689), gælder der klare pligter om at handle hurtigt og dokumenteret. Artiklerne 20 og 21 udgør kernen i forordningens reaktive compliance-regime: udbyderen skal ikke blot konstatere ikke-overensstemmelse, men iværksætte konkrete korrigerende foranstaltninger — og i yderste konsekvens trække systemet fra markedet. Denne artikel gennemgår de juridiske forpligtelser trin for trin, med fokus på hvad danske AI-udbydere og deployers skal gøre, hvornår de skal gøre det, og hvem de skal informere.

1. Ikke-overensstemmelse og korrigerende foranstaltninger: det lovmæssige grundlag

EU AI Act art. 20 og 21 skal forstås i sammenhæng med forordningens overordnede tilsyn- og håndhævelsesarkitektur, der bygger på princippet om, at udbydere bærer det primære ansvar for, at deres AI-systemer til enhver tid overholder kravene i Kapitel III, Afdeling 2 (artiklerne 8-15) samt kravene til gennemsigtighed (art. 13), menneskelig kontrol (art. 14) og nøjagtighed og robusthed (art. 15).

Ikke-overensstemmelse kan opstå på mange måder: en teknisk opdatering ændrer et systems adfærd uden fornyet konformitetsvurdering, nye data afslører systematisk bias i beslutningsoutput, et internt audit identificerer mangler i den tekniske dokumentation, eller en myndighed konstaterer under markedsovervågning, at systemet ikke fungerer som angivet i brugsanvisningen.

Uanset årsagen fastsætter art. 20, stk. 1, at udbyderen straks skal iværksætte de nødvendige korrigerende foranstaltninger for at bringe systemet i overensstemmelse — eller om nødvendigt trække det tilbage fra markedet eller tilbagekalde det (art. 21). Forordningen bygger hermed på et "act first, document after"-princip, der afspejler EU's erfaring fra produktsikkerhedslovgivningen (Forordning EU 2023/988 om produktsikkerhed i almindelighed).

Centrale begreber:

  • Udbyder (provider): Den fysiske eller juridiske person, der bringer et højrisiko-AI-system på markedet eller tager det i brug under eget navn eller varemærke (art. 3, nr. 3).
  • Deployer: Den, der anvender et AI-system under sit professionelle ansvar (art. 3, nr. 4).
  • Tilbagetrækning fra markedet (withdrawal): Foranstaltninger med henblik på at forhindre, at et AI-system i forsyningskæden gøres tilgængeligt (art. 3, nr. 48).
  • Tilbagekaldelse (recall): Foranstaltninger med henblik på at returnere et allerede leveret eller i brug taget AI-system (art. 3, nr. 49).
  • 2. Art. 20: udbydernes forpligtelse ved opdaget ikke-overensstemmelse

    Art. 20 er den primære handlingsnorm. Den fastsætter, at udbydere af højrisiko-AI-systemer, der ved eller med rimelighed har grund til at antage, at et system, de har bragt på markedet eller taget i brug, ikke overholder forordningen, straks skal foretage de nødvendige korrigerende foranstaltninger for at bringe det i overensstemmelse, trække det tilbage eller tilbagekalde det, alt efter hvad der er hensigtsmæssigt.

    Forpligtelsen aktiveres ved to typer af viden:

  • Faktisk viden: Udbyderen ved med sikkerhed, at systemet er ikke-overensstemmende — f.eks. fordi en intern test har afsløret en fejl, eller fordi en deployer har indberettet en alvorlig hændelse.
  • Konstruktiv viden: Udbyderen "med rimelighed har grund til at antage" ikke-overensstemmelse — dette er et objektivt standard, der pålægger udbyderen en aktiv opmærksomhedspligt via post-market monitoring (art. 72).
  • Forpligtelserne er kumulative: udbyderen skal:

  • Afhjælpe ikke-overensstemmelsen teknisk eller organisatorisk (patch, opdatering af dokumentation, ændring af brugsvejledning), eller
  • Begrænse skaden ved midlertidigt at suspendere systemet, og/eller
  • Trække systemet tilbage fra markedet, hvis afhjælpning ik
  • Klar til at komme i gang?

    PowerQuant leverer AI-inventar og gap-analyse på 5 arbejdsdage.

    Start M1 — 10.999 kr