PowerQuant

EU AI Act Art. 26: Deployers forpligtelser over for leverandøren — hvad du skal vide inden 2. december 2027

PowerQuant · EU AI Act compliance for HR-tech

Når din virksomhed tager et højrisiko-AI-system i brug — det gælder HR-platforme, kreditscoring, rekrutterings­software og en lang række andre systemer — skifter EU AI Acts juridiske tyngdepunkt fra leverandøren til dig. Artikel 26 er det centrale deployer-ansvar-artikel i forordningen, og det er her de ni konkrete forpligtelser er oplistet. Fra den 2. december 2027 kan manglende overholdelse føre til bøder på op til 15 mio. euro eller 3 % af global omsætning.

Denne artikel gennemgår Artikel 26 punkt for punkt, forklarer hvad hvert stykke kræver i praksis, beskriver hvad du som deployer kan kræve af din leverandør — og hvad der sker, hvis leverandøren ikke leverer.

> Disclaimer: PowerQuant leverer teknisk compliance-dokumentation — ikke juridisk rådgivning. Artiklen er vejledende; søg juridisk bistand ved konkrete tvivlsspørgsmål.

Hvad er en "deployer" i EU AI Acts forstand?

EU AI Act definerer en deployer som en fysisk eller juridisk person, der anvender et AI-system under eget ansvar — med undtagelse af privat, ikke-erhvervsmæssig brug. Det betyder, at din HR-afdeling der anvender en tredjeparts rekrutteringsplatform med AI-scoring, er deployer. Din finansafdeling der bruger et AI-kreditvurderingsværktøj, er deployer. Skolen der anvender et adaptivt læringssystem, er deployer.

Leverandøren (provideren) sætter systemet op og er ansvarlig for den tekniske konstruktion. Du som deployer er ansvarlig for selve anvendelsen. Det er denne distinktion, Artikel 26 bygger på.

Overblik: De ni forpligtelser i Artikel 26

Artikel 26 indeholder stk. 1–9 og dækker alt fra korrekt brug og menneskelig overvågning til medarbejder­orientering og log-opbevaring. Herunder gennemgås hvert stykke.

Stk. 1 — Brug systemet i overensstemmelse med brugsanvisningen

Det første og mest grundlæggende krav er enkelt: du skal bruge systemet præcis som leverandørens brugsanvisning foreskriver. Det lyder banalt, men konsekvenserne er vidtrækkende.

Hvad det betyder i praksis:

  • Du må ikke anvende systemet til formål, der falder uden for den godkendte "intended purpose". Et AI-rekrutteringsværktøj der er CE-mærket til at screene CV'er, må du ikke genbruge til løbende medarbejdervurdering, medmindre leverandøren eksplicit har dokumenteret dette som et tilladt anvendelsestilfælde.
  • Brugsanvisningen er et juridisk dokument, ikke blot en onboarding-vejledning. Gem den og versionér den. Opdaterer leverandøren den, skal du sikre, at din interne praksis opdateres tilsvarende.
  • Afvigelser fra brugsanvisningen kan i sig selv udgøre overtrædelse af forordningen — uanset om det konkrete AI-system i øvrigt fungerer korrekt.

    • Praktisk anbefaling: Lav en intern "use-case register" der mapper hvert godkendt anvendelses­tilfælde til de relevante afsnit i brugsanvisningen. Opdater registeret ved hver softwareopdatering.

    Stk. 2 — Udpeg en ansvarlig person (Human Oversight Officer)

    Artikel 26, stk. 2 kræver, at deployer udpeger en eller flere fysiske personer med ansvar for menneskelig overvågning af systemet. I praksis svarer denne rolle til det, mange virksomheder nu begynder at kalde en Human Oversight Officer (HOO).

    Hvad rollen indebærer:

  • Overvåge systemets output løbende og gribe ind, hvis AI-systemet producerer anbefalinger, der er åbenlyst fejlagtige, diskriminerende eller ude af trit med brugsanvisningen.
  • Have beføjelse til at stoppe systemet eller overrule dets beslutninger uden ledelsesmæssig forsinkelse.
  • Dokumentere alle interventioner, herunder tidspunkt, begrundelse og konsekvenser.

    • Kompetencekrav: Personen skal have tilstrækkelig viden om AI-systemets funktionsmåde til at forstå, hvornår en output er potentielt problematisk. Det kræver ikke en tekniker, men det kræver systematisk oplæring — en forpligtelse der i øvrigt også er forankret i Artikel 4 (AI-kompetence­kravet, gældende fra 2. februar 2025).

    Praktisk anbefaling: Udpeg HOO-rollen formelt i et organisationsdiagram, dokumentér ansvarsområdet i en stillingsbeskrivelse, og sørg for at rollen er koblet direkte til leverandørens support-kanal.

    Stk. 3 — Informér berørte arbejdstagere og deres repræsentanter

    Stk. 3 er særligt relevant i en dansk kontekst. Deployer skal informere berørte arbejdstagere om, at de er udsat for AI-beslutningsstøtte eller AI-overvågning — inden systemet tages i brug.

    Dansk kontekst: tillidsrepræsentanter og SU

    I Danmark er der en veletableret tradition for medindflydelse via samarbejdsudvalg (SU) og tillidsrepræsentanter (TR). EU AI Act-forpligtelsen i stk. 3 supplerer — og skærper — eksisterende forpligtelser i samarbejdsaftaler og overenskomster.

  • SU og TR skal orienteres i god tid inden ibrugtagning — ikke blot notificeres dagen for go-live.
  • Orienteringen skal indeholde oplysninger om, hvad systemet gør, hvilke data det behandler, og hvilken rolle AI-outputtet spiller i beslutningsprocessen.
  • Eventuelle aftaler om AI i virksomheden (hvad enten de er indgået via lokal SU-aftale eller sektoroverenskomst) skal harmonere med forordningens minimumskrav.

    • Praktisk anbefaling: Udarbejd et orienteringsnotat til SU/TR ved hvert nyt højrisiko-AI-system. Gem det daterede notat som compliance-dokumentation.

    Stk. 4 — Overvåg systemet og indberettelse af hændelser til leverandøren

    Artikel 26, stk. 4 kræver, at deployer aktivt overvåger AI-systemets performance i dets operative levetid og indberetter hændelser og fejl til leverandøren.

    Hvad "overvågning" dækker:

  • Løbende monitorering af systemets output med henblik på at identificere afvigelser fra forventet adfærd.
  • Tracking af om systemets accuracy, fairness-metrikker eller andre performance-indikatorer forringes over tid (model drift).
  • Dokumenteret procedure for, hvornår og hvordan hændelser eskaleres.

    • Indberetning til leverandøren: Hvis du opdager, at systemet konsekvent giver fejlbehæftede anbefalinger for en bestemt medarbejdergruppe, er du forpligtet til at underrette leverandøren. Leverandøren har på sin side pligt til at reagere og om nødvendigt opdatere systemet eller trække CE-mærkningen tilbage.

    Praktisk anbefaling: Etablér en intern "incident log" med en fast template: dato, beskrivelse af hændelse, påvirkede brugere, trufne foranstaltninger, kommunikation til leverandør.

    Stk. 5 og 6 — Log-retention: minimum 6 måneder for HR-højrisiko-AI

    Stk. 5 og 6 handler om opbevaring af logs. Deployer skal opbevare logs genereret af AI-systemet i minimum 6 måneder, medmindre anden lovgivning foreskriver en længere opbevaringsperiode.

    Hvad der skal logges:

  • Tidsstempler for alle kørselshændelser der falder under Annex III-kategorierne.
  • Outputdata i det omfang, det er teknisk muligt og lovligt i forhold til databeskyttelsesreglerne.
  • Hændelser og interventioner foretaget af Human Oversight Officer.

    • GDPR-krydspres: Log-retention for HR-AI-systemer skal balanceres med GDPR's dataminimeringsprincip og opbevaringsbegrænsning. Oplysninger om enkeltpersoner (fx en kandidats AI-score) kan ikke opbevares ubegrænset. I praksis anbefales det at adskille:

  • Systemlogs (tekniske metadata, ikke persondata) → opbevar minimum 6 måneder.
  • Personrelaterede AI-output → anvend GDPR-konforme opbevaringsperioder, typisk kortere.

    • Praktisk anbefaling: Lav en log-retention-politik der eksplicit skelner mellem systemlogs og personoplysninger, og som er godkendt af både compliance-ansvarlig og DPO.

    Stk. 7 — Workforce notification inden ibrugtagning

    Stk. 7 præciserer, at arbejdstagere der direkte påvirk

    Klar til at komme i gang?

    PowerQuant leverer AI-inventar, Article 4-register og gap-analyse på 5 arbejdsdage.

    Start med M1 — 10.999 kr