BLOG

EU AI Act og HR-Software: Guide til Valg af Compliant HR-Leverandør

Hvis din virksomhed anvender eller overvejer at anskaffe HR-software med AI-funktioner — rekrutteringsscreening, præstationsvurdering, fraværsprognoser, lønoptimering eller talentudvikling — er du som deployer direkte underlagt kravene i EU AI Act ((EU) 2024/1689). Fra 2. august 2026 gælder de fulde forpligtelser for høj-risiko AI-systemer under Annex III, og et forkert leverandørvalg kan koste op til 15 mio. EUR eller 3 % af global omsætning i bøder.

Denne guide hjælper dig med at stille de rigtige spørgsmål, gennemskue røde flag og opbygge en struktureret due diligence-proces — inden du underskriver kontrakten.

1. Annex III punkt 4: Hvilke HR-AI-systemer er høj-risiko?

EU AI Act klassificerer AI-systemer som høj-risiko, når de falder inden for de domæner, der er oplistet i Annex III til forordningen. Punkt 4 i Annex III omhandler specifikt beskæftigelse, forvaltning af arbejdsstyrken og adgang til selvstændig erhvervsvirksomhed. Følgende systemtyper er eksplicit nævnt eller fortolkningsmæssigt dækket:

Rekruttering og udvælgelse: AI-systemer der bruges til at annoncere stillinger, sortere ansøgninger, screene CV'er, vurdere kandidater under samtaler eller træffe beslutninger om ansættelse. Dette dækker automatisk CV-screening, video-interview-analyse og scored rankingalgoritmer.

Forfremmelse og forflyttelse: Algoritmer der rangerer medarbejdere til forfremmelse, tildeling af ønskeopgaver eller intern mobilitet.

Opsigelse: AI-drevne systemer der indgår i beslutningsprocesser om afskedigelse, omstruktureringer eller valg af medarbejdere til nedskæringsrunder.

Overvågning og ydeevne: Systemer der kontinuerligt monitorerer medarbejderadfærd og genererer præstationsscorer med direkte indvirkning på ansættelsesforholdet.

Adgang til erhvervsvirksomhed: AI der bedømmer adgang til selvstændig virksomhed eller kontraktbaseret arbejde via platforme.

Kilde: Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 (EU AI Act), Annex III, punkt 4 — tilgængelig på EUR-Lex: https://eur-lex.europa.eu/legal-content/DA/TXT/?uri=CELEX:32024R1689

Vigtig undtagelse: Rent administrative HR-systemer uden AI-beslutningsstøtte (f.eks. timeregistrering, lønadministration, feriebestilling) falder uden for Annex III, forudsat at de ikke inkorporerer AI-baseret klassificering eller rangering af medarbejdere.

2. Udbyderens vs. deployers forpligtelser: Ansvarsfordelingen

EU AI Act opererer med to centrale roller: udbyder (provider) og deployer. Forståelsen af denne rollefordeling er afgørende for at vide, hvad du kan kræve af leverandøren, og hvad du selv er ansvarlig for.

Udbyderen er den virksomhed, der udvikler og markedsfører AI-systemet. De bærer det primære ansvar for:

  • Teknisk dokumentation (Annex IV)
  • CE-mærkning og EU-overensstemmelseserklæring
  • Registrering i EU-databasen (Art. 71)
  • Løbende post-market monitoring
  • Deployeren er din virksomhed — den der tager AI-systemet i brug over for medarbejdere eller kandidater. Deployerens forpligtelser under Art. 26 inkluderer:

  • Tekniske og organisatoriske foranstaltninger for korrekt anvendelse
  • Human oversight: sikre at kompetente medarbejdere kan overvåge, forstå og om nødvendigt tilsidesætte systemets output
  • Meddelelse til berørte medarbejdere om AI-beslutningsstøtte (jf. Art. 50)
  • Opbevaring af logs i minimum 6 måneder (Art. 26, stk. 5)
  • Indberetning af alvorlige hændelser (Art. 73)
  • Fundamental Rights Impact Assessment (FRIA) for visse offentlige deployers
  • En grundlæggende fejlforståelse er at tro, at leverandøren bærer alt ansvar. Det gør de ikke. Du som deployer er medansvarlig — og ved et tilsynsbesøg fra Datatilsynet eller den nationale AI-myndighed vil det være din virksomhed, der skal fremvise dokumentation for korrekt anvendelse.

    3. 20 spørgsmål til HR-softwareleverandøren om EU AI Act compliance

    Stil disse spørgsmål skriftligt inden kontraktindgåelse og kræv skriftlige svar. Udokumenterede mundtlige forsikringer tæller ikke ved et tilsyn.

    Klassificering og dokumentation

  • Er jeres AI-system klassificeret som høj-risiko under Annex III til EU AI Act ((EU) 2024/1689)? Kan I dokumentere klassificeringsrationalet?
  • Foreligger der en komplet Annex IV-teknisk dokumentation? Kan vi få adgang til et sammendrag?
  • Er EU-overensstemmelseserklæringen (Art. 47) udstedt og dateret?
  • Er systemet registreret i EU-databasen under Art. 71? Hvad er registreringsnummeret?
  • Gennemsigtighed og forklarbarhed

  • Kan systemet forklare individuelle beslutninger eller anbefalinger på et niveau, som en ikke-teknisk HR-medarbejder kan forstå (Art. 13)?
  • Hvilken type og format af output-forklaring leveres til deployer-brugere?
  • Giver systemet mulighed for menneskelig tilsidesættelse (human override) af alle AI-genererede anbefalinger?
  • Datakvalitet og bias

  • Hvilke træningsdata er systemet bygget på? Inkluderer det historiske data med dokumenterede bias (f.eks. køn, etnicitet, alder)?
  • Er der foretaget bias-tests og fairness-audits? Kan vi se resultaterne?
  • Hvordan håndteres drift (model drift) over tid, og hvornår genvalideres modellen?
  • Post-market og hændelseshåndtering

  • Hvad er jeres proces for post-market monitoring (Art. 72)? Frekvens og rapporteringsformat?
  • Hvordan varsler I os, hvis en opdatering ændrer systemets risikoprofil eller klassificering?
  • Hvad er jeres SLA for at rette
  • Klar til at komme i gang?

    PowerQuant leverer AI-inventar og gap-analyse på 5 arbejdsdage.

    Start M1 — 10.999 kr