Detailhandlen er en af de sektorer, der har adopteret kunstig intelligens hurtigst og bredest. Algoritmer bestemmer i dag minutiøst hvilke varer der bestilles hjem, hvad de koster i realtid, og hvilke produkter du ser øverst i en app eller webshop. Men med EU AI Act (Forordning EU 2024/1689), der trådte i kraft 1. august 2024 og rulles ud gradvist frem mod 2027, stiller lovgivningen nu konkrete krav til, hvordan disse systemer udvikles, dokumenteres og bruges.
Denne artikel gennemgår, hvad retail-virksomheder i Danmark — fysiske butikker såvel som e-handelsplatforme — skal forholde sig til, når det gælder risikoklassifikation, transparenskrav, forbudte AI-praksisser og dokumentationspligter.
1. Detailhandlen og AI: fra lagerprognoser til personaliseret shopping
Retail-sektoren anvender i dag AI på tværs af hele værdikæden. Et supermarked bruger maskinlæringsmodeller til at forudsige udsving i efterspørgslen og justere indkøbsordrer automatisk. En e-handelsvirksomhed kører dynamiske prisalgoritmer, der opdaterer hundredvis af produktpriser i minuttet baseret på konkurrentpriser, lagerstatus og historisk kundeopførsel. En butiksapp tilbyder personaliserede push-notifikationer med rabatter tilpasset den individuelle kundes købehistorik.
Fælles for disse applikationer er, at de bruger data om personer — enten direkte (en identificerbar kundeprofil) eller indirekte (anonymiserede adfærdsmønstre) — til at drive forretningsmæssige beslutninger. Det er netop dette møde mellem automatisering, persondata og beslutningspåvirkning, som EU AI Act regulerer.
De fleste AI-systemer i detailhandlen falder i kategorien minimal-risiko eller lav-risiko under forordningen. Det betyder, at de ikke er forbudt og ikke kræver forudgående tredjepartscertificering. Men det betyder ikke, at de er reguleringsmæssigt neutrale. Transparenskrav, dokumentationspligter og sektorspecifikke forbudsregler under artikel 5 gælder fortsat og kan medføre bøder på op til 35 millioner euro eller 7 % af global årlig omsætning ved alvorlige overtrædelser (Art. 99, EU 2024/1689).
2. Risikoklassifikation af retail-AI: hvad er høj-risiko, hvad er lav-risiko?
EU AI Act opererer med fire risikokategorier: forbudt, høj-risiko, begrænset-risiko og minimal-risiko. Klassifikationen bestemmer hvilke forpligtelser, der gælder for udbyderen (producenten/leverandøren) og deployeren (den virksomhed, der anvender systemet).
Høj-risiko AI (Bilag III, Art. 6) i detailkontekst er snævert afgrænset. De fleste almindelige retail-AI-applikationer — prissætningsalgoritmer, anbefalingsmotorer, lagerprognoser — falder *ikke* ind under Bilag III's høj-risiko-kategorier. Høj-risiko er primært forbeholdt systemer der påvirker adgang til uddannelse, beskæftigelse, kritisk infrastruktur, retshåndhævelse, migration og adgang til essentielle private og offentlige ydelser.
Der er dog undtagelser: Hvis en retailer anvender AI til kreditscoring i forbindelse med BNPL-løsninger (Buy Now Pay Later) eller renteprofiler på finansiering, kan systemet klassificeres som høj-risiko under Bilag III, punkt 5b (AI-systemer til kreditvurdering af fysiske personer). Tilsvarende vil et system til biometrisk identifikation i butikker — eksempelvis ansigtsgenkendelsebaseret adgangskontrol — falde under høj-risiko-kategorien.
Lav- og minimal-risiko-systemer — herunder de fleste anbefalingssystemer, prisalgoritmer og adfærdsanalyseværktøjer — er underlagt forordningens generelle principper: transparens, robusthed og dokumentation. For deployeren (retaileren) gælder Art. 26 om deployer-forpligtelser uanset risikoniveau, herunder korrekt brug i henhold til udbyderens instruktioner og grundlæggende human oversight.