BLOG

EU AI Act og Offentlig Sektor: Krav til Kommuner og Statslige Myndigheder

Den offentlige sektor er en af de mest AI-intensive sektorer i Danmark. Kommuner anvender AI til borgerservice, sagsbehandling, social screening og vedligeholdelse af infrastruktur. Statslige myndigheder bruger AI til skatte-screening, toldkontrol, politiets analyseredskaber og sundhedsregistre. EU AI Act (forordning EU 2024/1689) stiller skærpede krav til offentlig AI-brug — i mange tilfælde strengere krav end til private virksomheder.

Offentlig sektor som deployer OG provider

Kommuner og statslige myndigheder agerer typisk i to roller under EU AI Act:

Som deployer (bruger): Langt de fleste offentlige AI-anvendelser er baseret på systemer købt fra kommercielle leverandører. En kommunes AI-baserede visiteringssystem, et jobcenters profilings-software eller politiets ansigtsgenkendelse er typisk kommercielle produkter indkøbt og deployet af myndigheder.

Som provider (leverandør): Visse offentlige myndigheder udvikler egne AI-systemer. SKATs risikovurderings-modeller, politiets analyseplatforme eller kommunernes egne ML-baserede prognosesystemer gør myndigheden til provider — med de fulde provider-forpligtelser (Art. 16-27) som konsekvens.

Denne dobbeltrolle er vigtig at kortlægge for den relevante compliance-implementering.

Annex III og offentlig sektor: De typiske høj-risiko kategorier

Offentlige myndigheder er særligt eksponerede for følgende Annex III-kategorier:

Punkt 1 (Biometri): Politiets og retsvæsenets brug af biometrisk identifikation, ansigtsgenkendelsesteknologi ved grænse- og adgangskontrol, biometrisk datahåndtering.

Punkt 2 (Kritisk infrastruktur): AI i forsyningsnet, trafikstyring, vandforsyning — typisk kommunale og statslige driftsopgaver.

Punkt 3 (Uddannelse og erhvervsuddannelse): AI i folkeskoleundervisning, gymnasier, universiteter — scoring af elever, tilpasning af undervisningsmateriale, adgangsvurdering.

Punkt 4 (Beskæftigelse): AI i jobcentre til matchmaking, profiling og sanktionsvurdering af ledige.

Punkt 5 (Kritisk offentlig og privat service): AI i sagsbehandling af sociale ydelser, sundhedsbehandling, vurdering af kreditværdighed.

Punkt 6 (Retshåndhævelse): Politiets AI-analyser, risikovurderingsmodeller, kriminalitetsprediktering.

Punkt 7 (Migration og grænsemanagement): AI i Udlændingestyrelsens og politiets behandling af opholdstilladelser, asylsager.

Punkt 8 (Retsvæsen og demokrati): AI i domstolsadministration, valgkortlægning.

Kategorier 6, 7 og 8 stiller de strengeste krav og er underlagt obligatorisk tredjepartscertificering (notified body) i visse tilfælde.

Fundamental Rights Impact Assessment (FRIA): Offentlig sektors særkrav

EU AI Act Art. 29 stk. 6-7 pålægger et særligt krav til offentlige myndigheder der anvender høj-risiko AI-systemer: en Fundamental Rights Impact Assessment (FRIA).

FRIA er ikke det samme som GDPR's DPIA (Data Protection Impact Assessment), selvom de overlapper i indhold. FRIA er bredere og kræver vurdering af påvirkning på:

  • Retten til privatlivets fred (og GDPR)
  • Forbud mod diskrimination og lighed for loven
  • Retten til effektiv retsmiddel og fair procedure
  • Ytrings- og informationsfriheden
  • Retten til beskyttelse i tilfælde af fjernelse mv.
  • FRIA-processen for offentlige myndigheder:

  • Identifikation af berørte rettigheder: Hvilke grundlæggende rettigheder kan systemet potentielt påvirke?
  • Risikovurdering: Hvad er sandsynlighed og alvor for potentielle rettigheds-krænkelser? Hvem er i særlig risiko (sårbare grupper, mindreårige, personer i udsatte livssituationer)?
  • Afbødende foranstaltninger: Hvilke tekniske og organisatoriske tiltag reducerer risiciene?
  • Proportionalitetstest: Er AI-systemets brug proportionalt med det tilsigtede mål — er der et behov der ikke kan opfyldes på en mindre indgribende måde?
  • Dokumentation og offentliggørelse: FRIA-rapporten bør offentliggøres som del af myndighedens transparens-forpligtelse.
  • For mange kommunale AI-anvendelser — særligt inden for social sagsbehandling og jobcenter-matchmaking — vil FRIA-processen sandsynligvis afdække behov for væsentlige tilpasninger af eksisterende systemer.

    Public Procurement af AI: EU AI Act som kravspecifikation

    Kommuner og statslige myndigheder er underlagt EU's udbudsregler (Udbudsloven) ved indkøb af AI-systemer over tærskler for offentlige udbud. EU AI Act ændrer ikke udbudsreglerne, men tilfæjer compliance-krav der bør indgå i udbudsmaterialet.

    Kravspecifikation til AI-leverandører bør inkludere:

  • Erklæring om AI-systemets Annex III-klassificering
  • Krav om EU-overensstemmelseserklæring (Art. 48) inden leveringstidspunkt
  • Adgang til teknisk dokumentation (Annex IV) til myndighedens compliance-dokumentation
  • Logfil-adgang og opbevaringsret til de logfiler Art. 29 stk. 4 kræver
  • Forpligtelse til at vedligeholde compliance ved systemopdateringer
  • Incident-rapporteringsprocedurer ved alvorlige hændelser
  • Statens IT og Digitaliseringsstyrelsen er i gang med at udarbejde vejledninger til offentlige myndigheder om EU AI Act i offentlige indkøb. Kommunerne bør følge disse vejledninger nøje.

    Transparenskrav og borgerrettigheder

    Offentlig AI-brug er underlagt særlige transparensforpligtelser der kombinerer EU AI Act med forvaltningsret, offentlighedsloven og GDPR:

    Art. 13 (EU AI Act) + Forvaltningsloven § 22: Borgere der er genstand for auto

    Klar til at komme i gang?

    PowerQuant leverer AI-inventar og gap-analyse på 5 arbejdsdage.

    Start M1 — 10.999 kr