BLOG

Art. 16 EU AI Act: Udbyderens 12 Forpligtelser — Komplet Oversigt og Praktisk Guide

canonical: https://powerquant.dk/blog/eu-ai-act-art16-udbyder-forpligtelser-oversigt-guide

Artikel 16 i EU AI Act er en af de mest centrale bestemmelser for enhver virksomhed, der udvikler eller markedsfører AI-systemer med høj risiko i EU. Listen på 12 specifikke forpligtelser er ikke blot juridisk tekst — den udgør en komplet operationel tjekliste, som myndighederne vil bruge, når de auditerer din virksomhed fra 2. august 2026. Denne guide forklarer alle 12 forpligtelser, hvem de gælder for, og hvordan du prioriterer implementeringen i praksis.

Hvem er "udbyder" under EU AI Act? (Artikel 3, nr. 3)

Forordningens Artikel 3, nr. 3 definerer en udbyder (*provider*) som:

> "en fysisk eller juridisk person, offentlig myndighed, agentur eller andet organ, der udvikler et AI-system eller en AI-model til generelle formål eller lader et sådant udvikle og bringer det i omsætning eller ibrugtager det under eget navn eller varemærke, mod eller uden betaling."

I praksis er du udbyder, hvis én eller flere af følgende er gældende:

  • Du har udviklet AI-systemet — enten selv eller via underleverandører — og bringer det på markedet.
  • Du sætter dit eget navn, brand eller varemærke på systemet, selv om du har genbrugt andres komponenter (f.eks. et Large Language Model).
  • Du modificerer væsentligt et eksisterende AI-system, så det får nye formål eller en ændret risikoklassifikation.
  • Definitionen er med vilje bred. En dansk HR-tech-virksomhed, der sælger et rekrutteringsværktøj bygget oven på en tredjepartsmodel, er stadig udbyder. Det er ikke leverandøren af grundmodellen, der bærer det fulde ansvar — det er den virksomhed, der sætter sit mærke på slutproduktet og placerer det på markedet.

    Vigtigt skel: udbyder vs. deployer

    En deployer (*operatør* i tidlige oversættelser) er den organisation, der anvender et AI-system i sin drift — f.eks. en virksomhed, der køber et rekrutteringsværktøj og bruger det til at screene ansøgere. Udbyderen leverer systemet; deployeren anvender det.

    De to roller kan i princippet overlappe. En virksomhed, der selv udvikler og selv bruger sit AI-system internt, er både udbyder og deployer og bærer begge sæt forpligtelser.

    Art. 25: Hvornår overtager deployeren udbyderens forpligtelser?

    Artikel 25 indeholder en afgørende undtagelsesregel. En deployer overtager udbyderens fulde forpligtelsessæt i tre situationer:

  • Deployeren bringer et høj-risiko AI-system på markedet under eget navn eller varemærke.
  • Deployeren foretager en væsentlig ændring (*substantial modification*) af et allerede markedsført system.
  • Deployeren ændrer systemets tilsigtede formål på en måde, der skifter risikoklassificering.
  • Dette betyder, at en indkøbsafdeling, der køber et standard-AI-rekrutteringssystem og derefter tilpasser det til intern brug uden udbyderens godkendelse, risikerer at påtage sig udbyderforpligtelserne. Det er en risiko, mange virksomheder undervurderer i kontraktforhandlinger.

    De 12 forpligtelser i Artikel 16 — forklaret enkeltvis

    1. Kvalitetsstyringssystem (Art. 17)

    Udbydere af høj-risiko AI-systemer skal etablere et dokumenteret kvalitetsstyringssystem (*QMS*), der dækker hele systemets livscyklus: fra design og udvikling over afprøvning til post-market overvågning. Systemet skal inkludere procedurer for risikovurdering, datavalidering, ændringsstyring og menneskelige oversigtsmekanismer. Kravet minder om ISO 9001-strukturen, men er tilpasset AI-specifikke risici. Virksomheder, der allerede er certificerede under ISO 42001 (AI Management Systems), vil have et naturligt udgangspunkt.

    2. Teknisk dokumentation (Art. 11 + Annex IV)

    Artikel 11 kræver, at udbydere udarbejder teknisk dokumentation, inden systemet bringes på markedet, og holder den opdateret. Annex IV specificerer minimumindholdet i otte punkter, herunder: en generel beskrivelse af systemet og dets tilsigtede formål, design- og udviklingsmetodologi, information om træningsdata og valideringsmetoder, beskrivelse af menneskelig tilsynsfunktion, cybersikkerhedsforanstaltninger og præstationsmålinger. Dokumentationen skal opbevares i mindst 10 år og på forlangende stilles til rådighed for nationale tilsynsmyndigheder.

    3. Overensstemmelse med Annex III-krav

    Annex III lister de kategorier af AI-systemer, der klassificeres som høj-risiko. Inden for HR-tech dækker dette bl.a. systemer til rekruttering, udvælgelse af ansøgere, forfremmelse, opsigelse, performanceevaluering og overvågning af medarbejderes adfærd. Udbydere skal sikre, at systemet opfylder de tekniske krav i Kapitel 2 (Art. 8-15), herunder krav om datakvalitet (Art. 10), gennemsigtighed (Art. 13), menneskelig tilsynskontrol (Art. 14) og robusthed (Art. 15). Annex III-forpligtelserne for HR-tech-kategorien er gældende fra 2. august 2026.

    4. Konformitetsvurdering (Art. 43)

    Udbydere skal gennemføre en konformitetsvurdering (*conformity assessment*) for at dokumentere, at systemet opfylder alle relevante krav. For de fleste høj-risiko AI-systemer (herunder HR-tech) er intern konformitetsvurdering tilstrækkelig, forudsat at der ikke anvendes harmoniserede standarder til biometrisk identifikation eller systemerne ikke er nævnt i Annex III pkt. 1 (strafferetshåndhævelse m.v.). Vurderingen skal dokumenteres og opdateres ved væsentlige ændringer. En noteret organ (*notified body*) er kun obligatorisk for visse kategorier, f.eks. biometriske systemer.

    5. EU-overensstemmelseserklæring (Art. 47)

    På baggrund af konformitetsvurderingen skal udbydere udstede en EU-overensstemmelseserklæring (*Declaration of Conformity*). Erklæringen er udbyderens formelle bekræftelse af, at AI-systemet opfylder alle relevante krav i forordningen. Indholdet er specificeret i Annex V og skal som minimum angive: systemets identifikation, udbyderens navn og adresse, en erklæring om overensstemmelse, en liste over de standarder eller specifikationer, der er lagt til grund, underskrift og dato. Erklæringen skal ligeledes opbevares i mindst 10 år.

    6. CE-mærkning (Art. 48)

    Høj-risiko AI-systemer, der bringes på EU-markedet, skal forsynes med CE-mærket. Mærket indikerer overensstemmelse med gældende EU-lovgivning og er en forudsætning for markedsadgang. For software-produkter, der distribueres digitalt, kan CE-mærket fremgå af dokumentation, brugergrænsefladen eller medfølgende materiale. CE-mærkning kræver, at konformitetsvurdering

    Klar til at komme i gang?

    PowerQuant leverer AI-inventar og gap-analyse på 5 arbejdsdage.

    Start M1 — 10.999 kr