PowerQuant

EU AI Act Art. 50: Hvad chatbot-deployere skal gøre inden 2. august 2026

PowerQuant · EU AI Act compliance for HR-tech

Der er ca. 80 dage til, at EU AI Act Art. 50 træder i kraft. Mange virksomheder, der i dag benytter chatbots i kundeservice, HR og intern support, ved endnu ikke, at de fra 2. august 2026 er juridisk forpligtet til at oplyse brugere om, at de interagerer med et AI-system — eller risikerer bøder på op til 15 millioner euro.

Denne artikel gennemgår de fire transparensforpligtelser i Art. 50, hvem der er ansvarlig, hvad det konkret betyder i praksis — og hvad du skal have styr på inden fristen.

Hvad siger Art. 50? De fire forpligtelser

Art. 50 i EU AI Act indeholder fire selvstændige transparensforpligtelser rettet mod henholdsvis deployere og udbydere:

1. Chatbot-disclosure (Art. 50, stk. 1)

Deployere af AI-systemer, der interagerer direkte med fysiske personer, skal sikre, at brugerne oplyses om, at de kommunikerer med en AI — og dette skal ske *inden* interaktionen begynder, altså ved eller inden det første input. Undtagelsen er snæver: hvis det er åbenbart for en rimeligt informeret person, at vedkommende taler med et AI-system.

2. Syntetisk indhold — lyd og billede (Art. 50, stk. 2)

Udbydere og deployere af AI-systemer, der genererer syntetisk lyd, billeder eller video, skal markere outputtet maskinlæsbart, så det kan identificeres som AI-genereret. Det gælder også i automatiserede pipelines.

3. Deepfake (Art. 50, stk. 4)

Deployere, der anvender AI til at generere eller manipulere billed-, video- eller lydindhold, der fremstår som ægte, skal tydeligt oplyse, at indholdet er AI-genereret eller -manipuleret.

4. AI-genereret tekst om offentlige anliggender (Art. 50, stk. 3)

Udbydere af AI-systemer, der genererer tekst til offentlig distribution om samfundsmæssige emner, politik eller offentlige anliggender, skal markere dette som AI-genereret på en maskinlæsbar måde.

For de fleste HR-tech og kundeservice-virksomheder er det stk. 1 (chatbot-disclosure) og stk. 2, der er de mest akutte forpligtelser.

Hvem er omfattet — deployer eller provider?

EU AI Act opererer med to centrale roller: provider (den der udvikler og markedsfører AI-systemet) og deployer (den der anvender AI-systemet i sin egen kontekst over for slutbrugere).

Art. 50, stk. 1 retter sig specifikt mod deployere — altså den virksomhed, der sætter en chatbot i drift over for sine kunder, medarbejdere eller borgere. Det er derfor ikke tilstrækkeligt at sige, at chatbot-leverandøren tager sig af compliance. Ansvaret for at brugeren faktisk oplyses, inden interaktionen starter, ligger hos den virksomhed, der deployer systemet.

Praktisk konsekvens: Køber du en chatbot-løsning fra en SaaS-udbyder og integrerer den på din hjemmeside eller i din HR-platform, er det dig som deployer, der skal sikre, at disclosure-kravet opfyldes korrekt i det pågældende interface.

Art. 50, stk. 2 og 3 om syntetisk indhold og AI-genereret tekst retter sig derimod primært mod providers — de der bygger og distribuerer systemet.

HR-kontekst: Chatbots i rekruttering, onboarding og employee self-service

HR-funktionen er et af de områder, hvor chatbot-deployment vokser hurtigst — og samtidig et af de mest regulatorisk følsomme, netop fordi interaktionerne vedrører ansættelse, arbejdsforhold og persondata.

Rekruttering: AI-chatbots bruges til at screene kandidater, besvare spørgsmål om jobopslag og guide ansøgere igennem processen. Mange kandidater er i dag ikke klar over, om de kommunikerer med et menneske eller et AI-system — og det er præcis denne usikkerhed Art. 50 skal eliminere.

Onboarding: Nye medarbejdere møder hyppigt chatbots, der hjælper med at besvare spørgsmål om procedurer, IT-adgang og personalepolitik. Hvis systemet ikke tydeligt identificerer sig som AI *inden* interaktionen begynder, er forpligtelsen overtrådt.

Employee self-service: Chatbots i HR-portaler, der hjælper medarbejdere med lønsedler, ferieanmodninger eller orlovsregler, er ligeledes omfattet — selv når den primære bruger er en intern medarbejder, ikke en ekstern kunde.

Det er vigtigt at understrege: Art. 50 gælder uanset om interaktionen foregår over for kunder, jobkandidater eller medarbejdere. Enhver fysisk person, der interagerer med et AI-system i et deployer-kontrolleret interface, er beskyttet.

Hvad betyder "oplysning" præcist i praksis?

Art. 50 specificerer ikke ét bestemt format for disclosure, men det er muligt at udlede klare krav fra lovteksten og de ledsagende betragtninger.

Timing: Oplysningen skal ske *inden* interaktionen begynder. Det er ikke tilstrækkeligt at nævne AI-karakteren i en privatlivspolitik eller i en fodnote, som brugeren aldrig ser. Kravet er en aktiv, forudgående meddelelse.

Tydelighed: Oplysningen skal være klar og forståelig. Formuleringer som "dette system er drevet af avanceret teknologi" opfylder sandsynligvis ikke kravet. En direkte formulering som "Du kommunikerer nu med en AI-assistent" er mere robust.

Placering: Oplysningen bør fremgå tydeligt i det interface, hvor interaktionen sker — typisk som en synlig besked i toppen af chatvinduet eller som en velkomstbesked, inden brugeren skriver det første tegn.

Permanent synlighed vs. engangsbesked: Loven kræver ikke, at oplysningen vises ved hvert enkelt svar, men det er god praksis at gøre AI-karakteren løbende synlig — f.eks. ved at chatbot-interfacet konsekvent viser et AI-ikon eller en permanent header som "AI-assistent".

Undtagelse: Undtagelsen for "åbenbart AI" er meget snæver. Den gælder eksempelvis en stemmeassistent, der tydeligt er designet som en robot. Den gælder *ikke* et system, der bevidst efterligner menneskelig kommunikation.

Art. 50 vs. GDPR Art. 13, stk. 2, litra f: Overlappende oplysningspligter

Art. 50 er ikke den eneste regulering, der pålægger virksomheder oplysningspligter i forbindelse med AI-anvendelse. GDPR Art. 13, stk. 2, litra f kræver, at den registrerede oplyses om, hvorvidt der finder automatiseret beslutningstagning sted — herunder profilering — samt meningsfuld information om logikken og den forventede betydning heraf.

Hvad overlapper:

Begge regler kræver proaktiv information til den person, der er udsat for et AI-system. Begge kræver, at oplysningen er klar og tilgængelig.

Hvad adskiller sig:

  • GDPR Art. 13 fokuserer på *behandling af personoplysninger* og *automatiseret beslutningstagning med retlig eller tilsvarende effekt*. Den gælder ikke for rene informationsinteraktioner uden personoplysningsbehandling.
  • Art. 50 EU AI Act fokuserer på *interaktion med AI-systemer* generelt og kræver disclosure allerede ved første interaktion — uanset om der behandles personoplysninger.
  • Tidsrummet for GDPR-oplysning kan i praksis ligge i en privatlivspolitik; Art. 50 kræver aktivt *forudgående* besked inden interaktionen.

    • For HR-chatbots, der behandler personoplysninger om ansøgere og medarbejdere, er begge regelsæt relevante og skal begge opfyldes. Det anbefales at koordinere compliance-arbejdet for de to forpligtelser, da de delvist adresserer det samme interface-design-problem.

    Konsekvenser ved manglende compliance

    Art. 99, stk. 4 i EU AI Act fastsætter, at overtrædelse af Art. 50-forpligtelserne kan sanktioneres med bøder på op til:

  • 15.000.000 EUR, eller
  • 3 % af den globale årsomsætning i det foregående regnskabsår — alt efter hvad der er højest.

    • For SMV'er og startups gælder reducerede sanktionsniveauer efter Art. 99, stk. 6, men dette er markedsovervågning og national tilsynsmyndigheds skøn — ikke en automatisk beskyttelse.

    Vigtig nuance: EU AI Act forventes håndhævet graduelt og med fokus på gentagne

    Klar til at komme i gang?

    PowerQuant leverer AI-inventar, Article 4-register og gap-analyse på 5 arbejdsdage.

    Start med M1 — 10.999 kr