EU AI Act ((EU) 2024/1689) trådte formelt i kraft den 1. august 2024. Fra den 2. august 2026 gælder kravene til højrisiko-AI-systemer i Annex III fuldt ud — og med dem aktiveres det tilsyns- og håndhævelsesapparat, der er nedfældet i forordningens Kapitel X, Artikel 74-83. Denne artikel forklarer, hvad disse bestemmelser betyder i praksis for danske virksomheder, hvilke myndigheder der har kompetence, og hvilken dokumentation der skal ligge klar den dag, tilsynsmyndigheden ringer på.
1. Art. 74: Den nationale markedsovervågningsmyndighed — hvem er det i Danmark?
Artikel 74, stk. 1, i EU AI Act forpligter hver medlemsstat til at udpege én eller flere nationale kompetente myndigheder til at fungere som markedsovervågningsmyndigheder. Disse myndigheder er ansvarlige for at sikre, at AI-systemer, der bringes i omsætning eller ibrugtages på det nationale marked, overholder forordningens krav.
Danmark har endnu ikke vedtaget den endelige nationale gennemførelseslov, men den politiske og administrative retning er klar. Erhvervsministeriet og Digitaliseringsstyrelsen (DIGST) har siden 2023 været de primære koordinerende aktører i den danske EU AI Act-implementering. DIGST har publiceret vejledning og deltager aktivt i EU's nationale AI-koordinationsnetværk.
Det forventede billede er en delt myndighedsstruktur afhængigt af anvendelsesdomænet:
Artikel 74, stk. 1, præciserer, at markedsovervågningsmyndighederne skal have tilstrækkelige beføjelser og ressourcer til at udføre deres opgaver. Det inkluderer adgang til AI-systemers tekniske dokumentation, logfiler og risikovurderingsrapporter.
2. Datatilsynet vs. DIGST: Kompetencefordeling ved AI-tilsyn
Kompetencefordelingen mellem Datatilsynet og DIGST er et centralt spørgsmål for danske virksomheder, der anvender AI i HR-processer — rekruttering, performancevurdering, afskedigelsesrisikovurdering og lønfastsættelse. Disse systemer falder typisk under Annex III, punkt 4, som eksplicit nævner "AI til rekruttering og udvælgelse af jobkandidater" og "AI til beslutninger om forfremmelse, afskedigelse og opgavetildeling."
Datatilsynets rolle vil primært være knyttet til GDPR-kompatibilitet og de krav i EU AI Act, der har direkte berøring med personoplysninger — herunder:
DIGST's rolle forventes at være bredere og dække det tekniske compliance-lag:
Virksomheder bør forberede sig på, at begge myndigheder i princippet kan rette henvendelse — og at et svar til den ene ikke nødvendigvis dækker den andens krav. Det anbefales at opbygge en integreret compliance-mappe, der adresserer begge myndigheders perspektiver.
3. Art. 74, stk. 8: EU AI Office's rolle vs. nationale myndigheders
Artikel 74, stk. 8, fastlægger, at EU AI Office — oprettet ved Kommissionens afgørelse af 24. januar 2024 — har en koordinerende og vejledende rolle over for nationale myndigheder, men uden direkte håndhævelseskompetence over for individuelle virksomheder, medmindre de anvender GPAI-modeller (general-purpose AI) med systemiske risici.
EU AI Office har kompetence til at:
For de fleste danske virksomheder, der anvender Annex III-AI-systemer købt af en ekstern leverandør, vil den relevante kontaktflade primært være de nationale myndigheder. EU AI Office optræder primært som en second-line aktør, der kan eskalere sager og sikre ensartet fortolkning på tværs af EU.
Denne struktur er vigtig at forstå, fordi den betyder, at en afgørelse fra DIGST eller Datatilsynet kan appelleres via de normale nationale klageveje — men at EU AI Office samtidig kan initiere fælles tilsynsaktioner, der involverer myndigheder fra flere lande, hvis en leverandør opererer på tværs af EU.
4. Art. 75: Undersøgelsesbeføjelser — hvad kan myndighederne kræve?
Artikel 75 er kernen i tilsynsapparatets praktiske rækkevidde. Bestemmelsen giver markedsovervågningsmyndigheder vidtrækkende beføjelser til at undersøge potentielle overtrædelser.
De centrale beføjelser i Art. 75 inkluderer:
Adgang til dokumentation: Myndighederne kan kræve adgang til al teknisk dokumentation, jf. Annex IV — herunder systembeskrivelse, risikovurderingsmetodologi, testresultater, data governance-dokumentation og post-market monitoring-rapporter.
Adgang til logfiler: Artikel 12 EU AI Act kræver automatisk logning af hændelser, og Art. 75