PowerQuant

Art. 60 EU AI Act: Regulatory Sandboxes — Hvad Er Reglerne for AI-Sandkassetests?

PowerQuant · EU AI Act compliance

Af PowerQuant | Opdateret maj 2026 | Læsetid: ca. 10 minutter

EU AI Act introducerer et nyt redskab for innovation: regulatoriske sandkasser (regulatory sandboxes). Disse er kontrollerede testmiljøer, hvor AI-systemer kan afprøves under tilsyn af nationale myndigheder — med midlertidig fritagelse fra visse krav i forordningen. For danske startups og SMV'er kan sandkassen være en vej til at teste og modne AI-systemer uden at bære den fulde compliance-byrde fra dag ét.

Hvad er en regulatorisk sandkasse?

En regulatorisk sandkasse er et struktureret testprogram, der giver udvalgte virksomheder mulighed for at udvikle, teste og validere innovative AI-systemer under tæt samarbejde med en national tilsynsmyndighed. Sandkassen giver:

  • Direkte myndighedsdialog om, hvordan forordningens krav fortolkes for det specifikke system
  • Midlertidig fritagelse fra visse forpligtelser, der ellers ville gælde
  • Juridisk klarhed om systemets compliance-status under testen
  • Konkurrencefordel — deltagelse i en officiel sandkasse er et troværdighedssignal

    • Konceptet kendes fra fintech-sektoren (Finanstilsynets fintech-sandkasse) og er nu formaliseret for AI.

    Retsgrundlaget: Art. 57-63 i EU AI Act

    Sandkasserne er reguleret i Kapitel VI (Art. 57-63) i EU AI Act:

    Art. 57 — Etablering af sandkasser:

    Medlemsstater skal etablere mindst én AI-sandkasse inden 2. august 2026. Sandkassen etableres og drives af en eller flere kompetente nationale myndigheder.

    Art. 58 — Deltagerkrav:

    Sandkassedeltagerne skal opfylde grundlæggende krav om:

  • Seriøse hensigter med AI-systemet (ikke misbrug af sandkassen)
  • Tilstrækkelig teknisk kapabilitet til at håndtere sandkasse-testningen
  • Plan for fuld compliance efter sandkasse-perioden

    • Art. 59 — Sandkassebetingelser:

    Deltagelse i sandkassen er tidsafgrænset (typisk 12 måneder) og kræver:

  • Specifik sandkasse-plan godkendt af tilsynsmyndighed
  • Regelmæssig rapportering til tilsynsmyndighed
  • Fuld transparens over for tilsynsmyndighed om systemets virkemåde

    • Art. 60 — Brug af personoplysninger i sandkassen:

    Art. 60 specificerer de specielle regler for behandling af personoplysninger i sandkassen — bl.a. mulighed for at bruge reale (ikke-anonymiserede) data til testning under visse betingelser.

    Art. 61 — SMV-fortrinsret:

    SMV'er og startups har fortrinsret til sandkasse-adgang. Dette er et eksplicit forsøg på at sikre, at sandkassen ikke kun gavner store virksomheder.

    Art. 62 — Ansvarsbegrænsning:

    Deltagelse i sandkassen under tilsynsmyndighedens vejledning reducerer ansvar for skader, der opstår som en direkte følge af god-tro-testning.

    Art. 63 — Koordination:

    EAIB (EU AI Board) koordinerer sandkasse-erfaringer på tværs af EU og publicerer anonymiserede case studies.

    Art. 60 i detaljer: Brug af reale data

    Art. 60 er den del af sandkasse-regelsettet, der er mest kompliceret og mest relevant for AI-udviklere. Det drejer sig om, hvornår og hvordan man kan bruge reale (dvs. ægte, ikke-syntetiske) personoplysninger til at teste og træne AI-systemer i sandkassen.

    Udgangspunktet: GDPR kræver, at al behandling af personoplysninger har et legitimt retsgrundlag. Under normale omstændigheder kan virksomheder ikke bruge kunders eller medarbejderes personoplysninger til AI-testning uden eksplicit samtykke.

    Sandkasse-undtagelsen: Art. 60 specificerer, at behandling af personoplysninger til AI-testning i sandkassen *kan* ske uden samtykke, hvis:

  • Der er specifik tilladelse fra tilsynsmyndighed og (i Danmark) Datatilsynet
  • Data er anonymiseret, pseudonymiseret eller underlagt strenge adgangskontroller
  • Behandlingen er strengt nødvendig for sandkasse-formålet
  • Data slettes efter sandkasse-perioden
  • Der er ingen risiko for, at data bruges til andre formål

    • Praktisk: Art. 60 er ikke en blanko-tilladelse til at behandle al data frit. Det er en smal undtagelse, der kræver aktiv myndighedsgodkendelse. For HR-AI der behandler medarbejderoplysninger er undtagelsen potentielt relevant, men kun i begrænset omfang.

    Hvem administrerer sandkassen i Danmark?

    Danmark har endnu ikke (per maj 2026) officielt annonceret, hvilken myndighed der vil administrere AI-sandkassen. Mulige kandidater:

    Erhvervsstyrelsen: Har erfaring med erhvervsregulering og digital innovation. Sandsynlig kandidat for generelle AI-systemer.

    Datatilsynet: Har allerede en sandkasse (etableret i 2021) og erfaring med det regulatoriske sandkasse-koncept. Relevant for AI-systemer der behandler personoplysninger.

    Finanstilsynet: Administrerer allerede en fintech-sandkasse. Relevant for AI i finansielle produkter.

    Det er muligt, at Danmark vælger en model med flere myndigheder, der samarbejder om sandkassen afhængig af sektorspecifikke karakteristika.

    Ansøgningsprocessen for sandkasse-deltagelse

    Sandkasse-ansøgningsprocessen er endnu ikke fuldt etableret i Danmark, men baseret på lignende ordninger i andre sektorer forventes:

    Ansøgningspakke:

  • Beskrivelse af AI-systemet og dets beregnet formål
  • Redegørelse for, hvorfor sandkasse-testning er nødvendig
  • Sandkasse-plan med klare mål og tidsplan
  • Kompetencedokumentation for udviklingsholdet
  • Plan for compliance efter sandkasse-perioden

    • Udvælgelseskriterier:

  • Innovationsgrad (sandkassen er ikke beregnet til standardsystemer)
  • Compliance-potentiale (systemet bør kunne overholde fuld compliance efter perioden)
  • Samfundsnytte
  • SMV- og startup-status (giver fortrinsret)

    • Typisk tidsplan: 2-3 måneder fra ansøgning til godkendelse, 12 måneder sandkasse-periode.

    Hvad sandkassen IKKE er

    Det er vigtigt at forstå sandkassens begrænsninger:

    Sandkassen er ikke en compliance-fritagelse efter perioden:

    Systemet skal overholde fuld EU AI Act-compliance inden det bringes i omsætning uden for sandkassen. Sandkassen giver tid og myndighedsvejledning — ikke en permanent undtagelse.

    Sandkassen er ikke tilgængelig for alle:

    Adgang er begrænset til systemer med ægte innovationspotentiale. Et standard rekrutteringssystem der allerede er tilgængeligt på markedet, er ikke et sandkasse-kandidat.

    Sandkassen beskytter ikke mod GDPR:

    Art. 60's undtagelse er smal. De fleste GDPR-krav gælder fortsat i sandkassen. Datatilsynet er stadig tilsynsmyndighed for personoplysningsaspekter.

    Sandkassen fjerner ikke produktansvar:

    Hvis et system forårsager skade under sandkasse-perioden, gælder produktansvarsloven fortsat (Art. 62 reducerer ansvar — men fjerner det ikke).

    Sandbox-erfaringer fra andre EU-lande

    Flere EU-lande har allerede etableret AI-sandkasser:

    Spanien: AESIA (den spanske AI-tilsynsmyndighed) har etableret en af de første EU AI Act-sandkasser. Erfaringerne publiceres løbende.

    Holland: Nederlandene har en aktiv sandkasse-tradition og forventes at være tidligt ude.

    Sverige: Datainspektionen og IMY arbejder

    Klar til at komme i gang?

    PowerQuant leverer AI-inventar, Article 4-register og gap-analyse på 5 arbejdsdage.

    Start med M1 — 10.999 kr