Når snakken falder på EU AI Act og HR-teknologi, handler diskussionen oftest om leverandørerne og de virksomheder, der installerer systemerne. Men der er en tredje part, som forordningen regulerer direkte og konkret: de mennesker, der rent faktisk bruger AI-systemerne i hverdagen. Rekrutteringschefen, der læser en algoritmisk kandidatrangering. HR Business Partneren, der henter performance-data ud af et AI-drevet analysesystem. Den leder, der baserer en samtale på et AI-genereret vurderingsresultat.
Det er disse personer, som EU AI Act artikel 29 handler om. Og forpligtelserne er langt mere håndgribelige end mange forventer.
Hvad er "brugeren" i EU AI Act?
Inden vi dykker ned i artikel 29, er det værd at afklare, hvem loven faktisk mener med en "bruger" (på EU-retligt kaldes vedkommende en *deployer* — men EU AI Act anvender begge termer, og der er en afgørende distinktion).
EU AI Act skelner mellem tre roller:
Artikel 29 retter sig mod brugeren — altså den individuelle medarbejder, der faktisk sidder med systemet foran sig. Ikke IT-afdelingen, ikke direktøren, ikke leverandøren. Den konkrete person med adgang til AI-grænsefladen.
Dette er en bevidst lovgivningsmæssig beslutning. EU-lovgiver har erkendt, at et AI-system kun er så godt som de mennesker, der anvender det. Et robust system kan misbruges. Et ordentligt system kan omgås. Og konsekvenserne rammer typisk sårbare parter — jobsøgere, medarbejdere under evaluering, kandidater til forfremmelse.
Artikel 29, stk. 1: Brug i overensstemmelse med brugervejledningen
Det første og mest fundamentale krav i artikel 29 er, at brugere af højrisiko-AI-systemer skal anvende systemet i overensstemmelse med den medfølgende brugervejledning.
Det lyder enkelt. Det er det ikke.
Brugervejledningen for et højrisiko-AI-system er ikke en typisk software-manual med screenshots og klik-vejledninger. Den er et lovpligtigt dokument, der ifølge artikel 13 skal indeholde:
Artikel 29, stk. 1 forpligter brugeren til faktisk at kende og følge dette dokument. Det er ikke tilstrækkeligt at have fået en introduktion på to timer ved onboarding. Det er ikke nok at have klikket "acceptér" i en pop-up.
I praksis for HR betyder dette: Rekrutteringsansvarlige, der anvender et AI-baseret screeningssystem, skal kende systemets erklærede anvendelsesområde. Hvis vejledningen specificerer, at systemet er kalibreret til tekniske stillinger med mindst tre års erfaring, og rekrutteringschefen alligevel anvender det til at screene kandidater til en junior-salgsstilling, er det en overtrædelse af artikel 29, stk. 1 — uanset om outputtet "ser fornuftigt ud".
Artikel 29, stk. 2: Ansvaret for inputdata
Det andet stykke handler om noget, der ofte overses i compliance-drøftelser: brugernes ansvar for de data, de fodrer systemet med.
Artikel 29, stk. 2 fastslår, at brugere, der har kontrol over inputdata, skal sikre, at disse data er relevante og tilstrækkelige i relation til systemets formål.
I HR-kontekst er dette ekstremt konkret. Forestil dig et AI-system til performance management, der genererer anbefalinger baseret på input fra lederens vurderinger, 360-graders feedback og produktivitetsdata. Hvis lederen bevidst undlader at indlæse negative feedback fra kollegaer — eller omvendt tilføjer subjektive noter, der ikke er en del af systemets designede inputkategorier — er det en overtrædelse af artikel 29, stk. 2.
Brugeren kan ikke gemme sig bag "systemet sagde det". Hvis inputtet var mangelfuldt, ensidigt eller irrelevant, og brugeren vidste det, bærer brugeren et selvstændigt ansvar.
Det praktiske spørgsmål virksomheder bør stille sig er: Har vores HR-medarbejdere en klar forståelse af, hvilke inputkategorier de angivne AI-systemer er designet til at modtage? Og har de processer, der sikrer konsistente, relevante input?
Artikel 29, stk. 3: Overvågningsforpligtelsen
Det tredje stykke introducerer en forpligtelse, der er endnu mere aktiv: løbende overvågning af systemets adfærd.
Artikel 29, stk. 3 kræver, at brugere overvåger AI-systemets drift og er opmærksomme på tegn på, at systemet ikke fungerer som forventet. Det handler om at holde øje med anomalier, uventede output, mønsterbrud og tegn på, at systemet afviger fra det formål, det er godkendt til.
Dette er en professionel faglig forpligtelse, ikke en teknisk. Det er ikke brugerens ansvar at fejlfinde kode. Men det er brugerens ansvar at bemærke, når outputtet virker forkert — og handle på det.
Hvad ser anomalier ud som i HR-praksis?
Ingen af disse tegn kræver teknisk ekspertise at identificere. De kræver opmærksomhed, faglig indsigt og en bevidsthed om, at det er ens ansvar at reagere.
Artikel 29, stk. 4: Forpligtelsen til at informere deployer
Det fjerde stykke lukker kredsen: brugere, der observerer problemer, skal rapportere dem til deployer.
Det er ikke tilstrækkeligt at notere i sit hoved, at "systemet opfører sig mærkeligt". Artikel 29, stk. 4 pålægger brugeren en aktiv rapporteringsforpligtelse. Oplysninger om anomalier, mistænkelig adfærd eller fund, der tyder på utilstrækkelig performance, skal videregives til den ansvarlige deployer-organisation.
I en HR-kontekst er deployer typisk HR-afdelingen som organisation, IT-funktionen eller den ansvarlige systemejere. Brugeren — lederens eller rekruttererens rolle — er at sikre informationsflow opad.
Hvad kræver dette i praksis? Det kræver, at der eksisterer en intern rapporteringskanal. At brugerne ved, hvem de skal rapportere til. Og at der er en kultur, hvor det at rejse bekymringer om AI-systemers adfærd er n