PowerQuant

EU AI Act møder EU Data Act: Dobbeltpligter for HR-tech deployere

PowerQuant · EU AI Act compliance

Siden januar 2024 har to EU-forordninger ligget parallelt på HR-chefens bord — og fra september 2025 er begge fuldt operative. EU Data Act (EU 2023/2854) handler om, hvem der ejer og må dele maskin-genererede data. EU AI Act (EU 2024/1689) handler om, hvilke risici AI-systemer udgør, og hvilken dokumentation der kræves. Alene er begge forordninger komplekse. Tilsammen skaber de overlappende forpligtelser, der rammer enhver organisation, der bruger AI-understøttede HR-systemer — fra rekrutteringsplatforme til performance-vurdering og automatisk tidsplanlægning.

Denne artikel guider dig igennem, hvad de to regelsæt kræver, hvor de overlapper i en HR-tech kontekst, og hvad din HR-afdeling bør gøre nu.

1. EU Data Act — hvad er det, og hvornår gælder det?

EU Data Act (EU 2023/2854) trådte i kraft den 11. januar 2024 og finder fuld anvendelse fra den 12. september 2025. Formålet er at frigøre adgangen til data genereret af tilsluttede produkter og relaterede tjenester — og at sikre, at brugerne af disse produkter og tjenester kan tilgå, dele og flytte de data, som deres brug genererer.

Forordningen gælder for:

  • Producenter af tilsluttede produkter (IoT-enheder, sensorer, maskiner) der sælges eller leases i EU.
  • Udbydere af relaterede tjenester — herunder software der behandler data fra disse produkter.
  • Cloud- og databehandlingstjenester (især relevant for Art. 23-29).
  • Brugere — virksomheder og enkeltpersoner der anvender produkterne.

    • I en HR-tech kontekst er "tilsluttede produkter" ikke kun fysiske maskiner. En rekrutteringsplatform, et medarbejder-performance-system eller en AI-drevet planlægningsløsning er alle "relaterede tjenester", der genererer data på baggrund af brugernes interaktion — og dermed falder de inden for forordningens scope, i det omfang de behandler maskin-genererede data.

    2. EU AI Act — krav til HR-tech deployere

    EU AI Act (EU 2024/1689) er bygget op om risikoniveauer. AI-systemer der bruges i HR og beskæftigelse er kategoriseret som højrisiko-systemer under Annex III — en klassifikation der medfører betydelige dokumentations- og overvågningskrav. Denne klassifikation træder i kraft for Annex III-systemer pr. 2. december 2027 (revideret frist, Omnibus-aftale 7. maj 2026).

    Højrisiko-krav for HR-tech deployere inkluderer bl.a.:

  • Art. 9 — Risikostyringssystem der løbende identificerer og mitigerer risici forbundet med systemet.
  • Art. 10 — Krav til træningsdata og inputdata: god kvalitet, repræsentativitet, kontrolleret bias.
  • Art. 11 — Teknisk dokumentation der lever op til Annex IV-formatkravene, herunder arkitekturbeskrivelse, datakilde-oplysninger og ydelsesindikatorer.
  • Art. 13 — Transparens og information til brugerne om systemets kapaciteter og begrænsninger.
  • Art. 14 — Menneskelig overvågning (human oversight): deployeren skal sikre, at et menneske kan gribe ind i systemets beslutninger.
  • Art. 26 — Deployer-specifikke forpligtelser: input-datakontrol, logning, klageadgang, information til berørte medarbejdere.

    • 3. Hvor overlapper de to forordninger i HR-tech?

    Her er kernen i problemstillingen: de to forordninger taler til de samme systemer, men fra forskellige juridiske vinkler. Nedenfor er de tre vigtigste overlap-scenarier i en HR-tech kontekst.

    Scenario A: AI-drevet rekrutteringsscreening

    En virksomhed bruger et ATS (Applicant Tracking System) med integreret AI-scoring. Systemet genererer automatisk rangordninger og fravalg baseret på ansøgernes inputdata.

  • EU AI Act (Annex III, pkt. 4a): Systemet er højrisiko. Deployeren skal have teknisk dokumentation (Art. 11), logge beslutninger (Art. 12) og sikre menneskelig overvågning (Art. 14).
  • EU Data Act (Art. 3-5): Ansøgerens interaktion med systemet — klikstrømme, tid brugt på hvert spørgsmål, svar på dynamiske formularer — er maskin-genererede data, som brugeren har ret til at tilgå og i visse tilfælde dele med tredjepart.

    • Overlap: Deployeren skal på samme tid dokumentere AI-systemets beslutningsprocedure (AI Act) OG have et teknisk setup der kan udlevere de maskin-genererede inputdata til brugeren på anmodning (Data Act). Det er ikke nok at opfylde det ene krav.

    Scenario B: Performance-vurdering og automatisk målstyring

    Et HR-system anvender AI til løbende at vurdere medarbejderperformance baseret på data fra projektledelsessystemer, kommunikationsplatforme og tidsregistrering.

  • EU AI Act (Art. 10 + Art. 26): Deployeren skal kontrollere, at inputdata er repræsentative og ikke biasede. Medarbejdere skal informeres om, at AI indgår i vurderingen.
  • EU Data Act (Art. 4): Medarbejderen har ret til at anmode om adgang til de data, systemet har behandlet om vedkommende.

    • Overlap: Deployeren kan ikke opfylde EU AI Act Art. 26's informationspligt uden at have kortlagt, hvilke data systemet bruger. Den kortlægning er præcis det fundament, der også kræves for at håndtere Data Act Art. 4-anmodninger. To sæt pligter — ét teknisk fundament.

    Scenario C: Automatisk tidsplanlægning og ressourceallokering

    Et AI-system planlægger vagthold eller allokerer projekttimer baseret på tilgængelighed, kompetenceprofiler og historiske data.

  • EU AI Act (Art. 9 + Art. 14): Risikostyringssystem på plads; et menneske skal kunne tilsidesætte systemets output.
  • EU Data Act (Art. 3): Data genereret af systemet om brugeren — herunder output fra AI'ens allokerings-algoritme — er maskin-genererede data. Brugeren kan have ret til adgang.

    • Overlap: AI Act kræver, at systemet kan overrides af et menneske. Data Act kræver, at systemets output kan gøres tilgængeligt for brugeren. Begge dele forudsætter, at systemet logfører, hvad det har besluttet og på hvilket grundlag.

    4. Data Act Art. 3-5: Retten til maskin-genererede data — hvad betyder det for AI-output i HR?

    Data Act Art. 3 fastslår, at brugeren af et tilsluttet produkt eller en relateret tjeneste har ret til at tilgå de data, der genereres ved brugen. Art. 4 præciserer, at udbyderen skal stille disse data til rådighed i realtid eller tæt på realtid, gratis og i et struktureret, almindeligt anvendt og maskinlæsbart format. Art. 5 giver brugeren ret til at pålægge udbyderen at dele data med en tredjepart.

    For HR-tech deployere betyder dette konkret:

  • Medarbejderdata fra AI-systemer er ikke udbyderens eksklusive ejendom. Hvis din lønplatform, din performance-app eller dit rekrutteringssystem genererer data om medarbejderen, har medarbejderen ret til adgang til disse data.
  • AI-output er data. Systemets vurdering, score eller ra

    • Klar til at komme i gang?

    PowerQuant leverer AI-inventar, Article 4-register og gap-analyse på 5 arbejdsdage.

    Start med M1 — 10.999 kr