BLOG

EU AI Act Art. 74-83: Markedsovervågning, Tilsyn og Håndhævelse i Danmark

EU AI Act ((EU) 2024/1689) trådte formelt i kraft den 1. august 2024. Fra den 2. august 2026 gælder kravene til højrisiko-AI-systemer i Annex III fuldt ud — og med dem aktiveres det tilsyns- og håndhævelsesapparat, der er nedfældet i forordningens Kapitel X, Artikel 74-83. Denne artikel forklarer, hvad disse bestemmelser betyder i praksis for danske virksomheder, hvilke myndigheder der har kompetence, og hvilken dokumentation der skal ligge klar den dag, tilsynsmyndigheden ringer på.

1. Art. 74: Den nationale markedsovervågningsmyndighed — hvem er det i Danmark?

Artikel 74, stk. 1, i EU AI Act forpligter hver medlemsstat til at udpege én eller flere nationale kompetente myndigheder til at fungere som markedsovervågningsmyndigheder. Disse myndigheder er ansvarlige for at sikre, at AI-systemer, der bringes i omsætning eller ibrugtages på det nationale marked, overholder forordningens krav.

Danmark har endnu ikke vedtaget den endelige nationale gennemførelseslov, men den politiske og administrative retning er klar. Erhvervsministeriet og Digitaliseringsstyrelsen (DIGST) har siden 2023 været de primære koordinerende aktører i den danske EU AI Act-implementering. DIGST har publiceret vejledning og deltager aktivt i EU's nationale AI-koordinationsnetværk.

Det forventede billede er en delt myndigheds­struktur afhængigt af anvendelsesdomænet:

  • Datatilsynet vil have tilsynskompetence, når AI-systemer behandler personoplysninger — særligt i HR, rekruttering og medarbejderovervågning.
  • DIGST forventes at varetage den generelle markedsovervågningsfunktion og koordinering af Annex III-tilsyn.
  • Sektorspecifikke myndigheder (Finanstilsynet, Styrelsen for Patientsikkerhed, Uddannelses- og Forskningsministeriet) vil sandsynligvis have koordinerende roller inden for deres respektive sektorer.
  • Artikel 74, stk. 1, præciserer, at markedsovervågningsmyndighederne skal have tilstrækkelige beføjelser og ressourcer til at udføre deres opgaver. Det inkluderer adgang til AI-systemers tekniske dokumentation, logfiler og risikovurderingsrapporter.

    2. Datatilsynet vs. DIGST: Kompetencefordeling ved AI-tilsyn

    Kompetencefordelingen mellem Datatilsynet og DIGST er et centralt spørgsmål for danske virksomheder, der anvender AI i HR-processer — rekruttering, performancevurdering, afskedigelsesrisikovurdering og lønfastsættelse. Disse systemer falder typisk under Annex III, punkt 4, som eksplicit nævner "AI til rekruttering og udvælgelse af jobkandidater" og "AI til beslutninger om forfremmelse, afskedigelse og opgavetildeling."

    Datatilsynets rolle vil primært være knyttet til GDPR-kompatibilitet og de krav i EU AI Act, der har direkte berøring med personoplysninger — herunder:

  • Gennemsigtighed over for registrerede (Art. 13 EU AI Act + GDPR Art. 13/14)
  • Menneskelig oversight ved profilering med retsvirkning (Art. 14 EU AI Act + GDPR Art. 22)
  • Data governance og datastyring (Art. 10 EU AI Act)
  • DIGST's rolle forventes at være bredere og dække det tekniske compliance-lag:

  • Kontrol af teknisk dokumentation (Annex IV)
  • Overvågning af CE-mærkning og EU-overensstemmelseserklæringer
  • Koordinering med EU AI Office (Art. 74, stk. 8)
  • Virksomheder bør forberede sig på, at begge myndigheder i princippet kan rette henvendelse — og at et svar til den ene ikke nødvendigvis dækker den andens krav. Det anbefales at opbygge en integreret compliance-mappe, der adresserer begge myndigheders perspektiver.

    3. Art. 74, stk. 8: EU AI Office's rolle vs. nationale myndigheders

    Artikel 74, stk. 8, fastlægger, at EU AI Office — oprettet ved Kommissionens afgørelse af 24. januar 2024 — har en koordinerende og vejledende rolle over for nationale myndigheder, men uden direkte håndhævelseskompetence over for individuelle virksomheder, medmindre de anvender GPAI-modeller (general-purpose AI) med systemiske risici.

    EU AI Office har kompetence til at:

  • Udstede retningslinjer og standardiserede skabeloner
  • Koordinere fælles undersøgelser på tværs af medlemsstater (Art. 74, stk. 11)
  • Håndhæve regler om GPAI-modeller direkte (Art. 88 og 89 — dog uden for dette artikels scope)
  • For de fleste danske virksomheder, der anvender Annex III-AI-systemer købt af en ekstern leverandør, vil den relevante kontaktflade primært være de nationale myndigheder. EU AI Office optræder primært som en second-line aktør, der kan eskalere sager og sikre ensartet fortolkning på tværs af EU.

    Denne struktur er vigtig at forstå, fordi den betyder, at en afgørelse fra DIGST eller Datatilsynet kan appelleres via de normale nationale klageveje — men at EU AI Office samtidig kan initiere fælles tilsynsaktioner, der involverer myndigheder fra flere lande, hvis en leverandør opererer på tværs af EU.

    4. Art. 75: Undersøgelsesbeføjelser — hvad kan myndighederne kræve?

    Artikel 75 er kernen i tilsynsapparatets praktiske rækkevidde. Bestemmelsen giver markedsovervågningsmyndigheder vidtrækkende beføjelser til at undersøge potentielle overtrædelser.

    De centrale beføjelser i Art. 75 inkluderer:

    Adgang til dokumentation: Myndighederne kan kræve adgang til al teknisk dokumentation, jf. Annex IV — herunder systembeskrivelse, risikovurderings­metodologi, testresultater, data governance-dokumentation og post-market monitoring-rapporter.

    Adgang til logfiler: Artikel 12 EU AI Act kræver automatisk logning af hændelser, og Art. 75

    Klar til at komme i gang?

    PowerQuant leverer AI-inventar og gap-analyse på 5 arbejdsdage.

    Start M1 — 10.999 kr