Den offentlige sektor er en af de mest AI-intensive sektorer i Danmark. Kommuner anvender AI til borgerservice, sagsbehandling, social screening og vedligeholdelse af infrastruktur. Statslige myndigheder bruger AI til skatte-screening, toldkontrol, politiets analyseredskaber og sundhedsregistre. EU AI Act (forordning EU 2024/1689) stiller skærpede krav til offentlig AI-brug — i mange tilfælde strengere krav end til private virksomheder.
Offentlig sektor som deployer OG provider
Kommuner og statslige myndigheder agerer typisk i to roller under EU AI Act:
Som deployer (bruger): Langt de fleste offentlige AI-anvendelser er baseret på systemer købt fra kommercielle leverandører. En kommunes AI-baserede visiteringssystem, et jobcenters profilings-software eller politiets ansigtsgenkendelse er typisk kommercielle produkter indkøbt og deployet af myndigheder.
Som provider (leverandør): Visse offentlige myndigheder udvikler egne AI-systemer. SKATs risikovurderings-modeller, politiets analyseplatforme eller kommunernes egne ML-baserede prognosesystemer gør myndigheden til provider — med de fulde provider-forpligtelser (Art. 16-27) som konsekvens.
Denne dobbeltrolle er vigtig at kortlægge for den relevante compliance-implementering.
Annex III og offentlig sektor: De typiske høj-risiko kategorier
Offentlige myndigheder er særligt eksponerede for følgende Annex III-kategorier:
Punkt 1 (Biometri): Politiets og retsvæsenets brug af biometrisk identifikation, ansigtsgenkendelsesteknologi ved grænse- og adgangskontrol, biometrisk datahåndtering.
Punkt 2 (Kritisk infrastruktur): AI i forsyningsnet, trafikstyring, vandforsyning — typisk kommunale og statslige driftsopgaver.
Punkt 3 (Uddannelse og erhvervsuddannelse): AI i folkeskoleundervisning, gymnasier, universiteter — scoring af elever, tilpasning af undervisningsmateriale, adgangsvurdering.
Punkt 4 (Beskæftigelse): AI i jobcentre til matchmaking, profiling og sanktionsvurdering af ledige.
Punkt 5 (Kritisk offentlig og privat service): AI i sagsbehandling af sociale ydelser, sundhedsbehandling, vurdering af kreditværdighed.
Punkt 6 (Retshåndhævelse): Politiets AI-analyser, risikovurderingsmodeller, kriminalitetsprediktering.
Punkt 7 (Migration og grænsemanagement): AI i Udlændingestyrelsens og politiets behandling af opholdstilladelser, asylsager.
Punkt 8 (Retsvæsen og demokrati): AI i domstolsadministration, valgkortlægning.
Kategorier 6, 7 og 8 stiller de strengeste krav og er underlagt obligatorisk tredjepartscertificering (notified body) i visse tilfælde.
Fundamental Rights Impact Assessment (FRIA): Offentlig sektors særkrav
EU AI Act Art. 29 stk. 6-7 pålægger et særligt krav til offentlige myndigheder der anvender høj-risiko AI-systemer: en Fundamental Rights Impact Assessment (FRIA).
FRIA er ikke det samme som GDPR's DPIA (Data Protection Impact Assessment), selvom de overlapper i indhold. FRIA er bredere og kræver vurdering af påvirkning på:
FRIA-processen for offentlige myndigheder:
For mange kommunale AI-anvendelser — særligt inden for social sagsbehandling og jobcenter-matchmaking — vil FRIA-processen sandsynligvis afdække behov for væsentlige tilpasninger af eksisterende systemer.
Public Procurement af AI: EU AI Act som kravspecifikation
Kommuner og statslige myndigheder er underlagt EU's udbudsregler (Udbudsloven) ved indkøb af AI-systemer over tærskler for offentlige udbud. EU AI Act ændrer ikke udbudsreglerne, men tilfæjer compliance-krav der bør indgå i udbudsmaterialet.
Kravspecifikation til AI-leverandører bør inkludere:
Statens IT og Digitaliseringsstyrelsen er i gang med at udarbejde vejledninger til offentlige myndigheder om EU AI Act i offentlige indkøb. Kommunerne bør følge disse vejledninger nøje.
Transparenskrav og borgerrettigheder
Offentlig AI-brug er underlagt særlige transparensforpligtelser der kombinerer EU AI Act med forvaltningsret, offentlighedsloven og GDPR:
Art. 13 (EU AI Act) + Forvaltningsloven § 22: Borgere der er genstand for auto