Siden januar 2024 har to EU-forordninger ligget parallelt på HR-chefens bord — og de bliver nu begge operationelle i praksis: EU Data Act finder fuld anvendelse fra den 12. september 2025, mens EU AI Acts højrisiko-forpligtelser for HR-systemer får virkning fra den 2. august 2026. EU Data Act (EU 2023/2854) handler om, hvem der ejer og må dele maskin-genererede data. EU AI Act (EU 2024/1689) handler om, hvilke risici AI-systemer udgør, og hvilken dokumentation der kræves. Alene er begge forordninger komplekse. Tilsammen skaber de overlappende forpligtelser, der rammer enhver organisation, der bruger AI-understøttede HR-systemer — fra rekrutteringsplatforme til performance-vurdering og automatisk tidsplanlægning.
Denne artikel guider dig igennem, hvad de to regelsæt kræver, hvor de overlapper i en HR-tech kontekst, og hvad din HR-afdeling bør gøre nu.
1. EU Data Act — hvad er det, og hvornår gælder det?
EU Data Act (EU 2023/2854) trådte i kraft den 11. januar 2024 og finder fuld anvendelse fra den 12. september 2025. Formålet er at frigøre adgangen til data genereret af tilsluttede produkter og relaterede tjenester — og at sikre, at brugerne af disse produkter og tjenester kan tilgå, dele og flytte de data, som deres brug genererer.
Forordningen gælder for:
- Producenter af tilsluttede produkter (IoT-enheder, sensorer, maskiner) der sælges eller leases i EU.
- Udbydere af relaterede tjenester — herunder software der behandler data fra disse produkter.
- Cloud- og databehandlingstjenester (især relevant for Art. 23-29).
- Brugere — virksomheder og enkeltpersoner der anvender produkterne.
I en HR-tech kontekst er "tilsluttede produkter" ikke kun fysiske maskiner. En rekrutteringsplatform, et medarbejder-performance-system eller en AI-drevet planlægningsløsning kan udgøre "relaterede tjenester", i det omfang de behandler maskin-genererede data fra brugernes interaktion. Hvor grænsen præcist går for rene SaaS-løsninger uden hardware-tilknytning, er endnu ikke endeligt afklaret i praksis — den forsigtige tilgang er at foretage scope-vurderingen aktivt frem for at antage, at man falder udenfor.
2. EU AI Act — krav til HR-tech deployere
EU AI Act (EU 2024/1689) er bygget op om risikoniveauer. AI-systemer der bruges i HR og beskæftigelse er kategoriseret som højrisiko-systemer under Annex III — en klassifikation der medfører betydelige dokumentations- og overvågningskrav. Denne klassifikation træder i kraft for Annex III-systemer pr. 2. august 2026 (gældende frist — Digital Omnibus-ændringen, der vil udskyde den til 2. december 2027 for nye systemer, afventer publicering i EU-Tidende og er endnu ikke i kraft).
Højrisiko-krav for HR-tech deployere inkluderer bl.a.:
- Art. 9 — Risikostyringssystem der løbende identificerer og mitigerer risici forbundet med systemet.
- Art. 10 — Krav til træningsdata og inputdata: god kvalitet, repræsentativitet, kontrolleret bias.
- Art. 11 — Teknisk dokumentation der lever op til Annex IV-formatkravene, herunder arkitekturbeskrivelse, datakilde-oplysninger og ydelsesindikatorer.
- Art. 13 — Transparens og information til brugerne om systemets kapaciteter og begrænsninger.
- Art. 14 — Menneskelig overvågning (human oversight): deployeren skal sikre, at et menneske kan gribe ind i systemets beslutninger.
- Art. 26 — Deployer-specifikke forpligtelser: input-datakontrol, logning, klageadgang, information til berørte medarbejdere.
3. Hvor overlapper de to forordninger i HR-tech?
Her er kernen i problemstillingen: de to forordninger taler til de samme systemer, men fra forskellige juridiske vinkler. Nedenfor er de tre vigtigste overlap-scenarier i en HR-tech kontekst.
Scenario A: AI-drevet rekrutteringsscreening
En virksomhed bruger et ATS (Applicant Tracking System) med integreret AI-scoring. Systemet genererer automatisk rangordninger og fravalg baseret på ansøgernes inputdata.
- EU AI Act (Annex III, pkt. 4a): Systemet er højrisiko. Deployeren skal have teknisk dokumentation (Art. 11), logge beslutninger (Art. 12) og sikre menneskelig overvågning (Art. 14).
- EU Data Act (Art. 3-5): Ansøgerens interaktion med systemet — klikstrømme, tid brugt på hvert spørgsmål, svar på dynamiske formularer — er maskin-genererede data, som brugeren har ret til at tilgå og i visse tilfælde dele med tredjepart.
Overlap: Deployeren skal på samme tid dokumentere AI-systemets beslutningsprocedure (AI Act) OG have et teknisk setup der kan udlevere de maskin-genererede inputdata til brugeren på anmodning (Data Act). Det er ikke nok at opfylde det ene krav.
Scenario B: Performance-vurdering og automatisk målstyring
Et HR-system anvender AI til løbende at vurdere medarbejderperformance baseret på data fra projektledelsessystemer, kommunikationsplatforme og tidsregistrering.
- EU AI Act (Art. 10 + Art. 26): Deployeren skal kontrollere, at inputdata er repræsentative og ikke biasede. Medarbejdere skal informeres om, at AI indgår i vurderingen.
- EU Data Act (Art. 4): Medarbejderen har ret til at anmode om adgang til de data, systemet har behandlet om vedkommende.
Overlap: Deployeren kan ikke opfylde EU AI Act Art. 26's informationspligt uden at have kortlagt, hvilke data systemet bruger. Den kortlægning er præcis det fundament, der også kræves for at håndtere Data Act Art. 4-anmodninger. To sæt pligter — ét teknisk fundament.
Scenario C: Automatisk tidsplanlægning og ressourceallokering
Et AI-system planlægger vagthold eller allokerer projekttimer baseret på tilgængelighed, kompetenceprofiler og historiske data.
- EU AI Act (Art. 9 + Art. 14): Risikostyringssystem på plads; et menneske skal kunne tilsidesætte systemets output.
- EU Data Act (Art. 3): Data genereret af systemet om brugeren — herunder output fra AI'ens allokerings-algoritme — er maskin-genererede data. Brugeren kan have ret til adgang.
Overlap: AI Act kræver, at systemet kan tilsidesættes af et menneske. Data Act kræver, at systemets output kan gøres tilgængeligt for brugeren. Begge dele forudsætter, at systemet logfører, hvad det har besluttet og på hvilket grundlag.
4. Data Act Art. 3-5: Retten til maskin-genererede data — hvad betyder det for AI-output i HR?
Data Act Art. 3 fastslår, at brugeren af et tilsluttet produkt eller en relateret tjeneste har ret til at tilgå de data, der genereres ved brugen. Art. 4 præciserer, at udbyderen skal stille disse data til rådighed i realtid eller tæt på realtid, gratis og i et struktureret, almindeligt anvendt og maskinlæsbart format. Art. 5 giver brugeren ret til at pålægge udbyderen at dele data med en tredjepart.
For HR-tech deployere betyder dette konkret:
- Medarbejderdata fra AI-systemer er ikke udbyderens eksklusive ejendom. Hvis din lønplatform, din performance-app eller dit rekrutteringssystem genererer data om medarbejderen, har medarbejderen ret til adgang til disse data.
- AI-output er data. Systemets vurdering, score eller rangering af en medarbejder er i sig selv data genereret ved brug af tjenesten. Retten til adgang kan derfor også omfatte selve AI-outputtet — ikke kun de rå inputdata.
Hvad bør din HR-afdeling gøre nu? Kortlæg, hvilke HR-systemer der genererer maskin-genererede data. Afklar med leverandørerne, hvordan dataadgang efter Data Act Art. 4 understøttes i praksis. Og saml dokumentationen for begge forordninger i ét register, så AI Act-krav og Data Act-anmodninger kan besvares fra samme fundament.