Offentlige myndigheder i Danmark — kommuner, regioner og statslige institutioner — befinder sig i en ny og kompleks reguleringsmæssig situation, når de indkøber AI-systemer. Fra den 2. august 2026 gælder EU AI Act (Forordning EU 2024/1689) fuldt ud for høj-risiko AI-systemer. Det betyder, at en kommune, der anskaffer et sagsbehandlingsværktøj med AI-funktioner, ikke blot skal overholde Udbudsloven og EU's udbudsregler — den skal også leve op til EU AI Acts krav om risikovurdering, menneskelig kontrol, transparens og registrering.
Denne guide gennemgår, hvad der gælder, og hvad offentlige indkøbere konkret skal gøre — fra kravspecifikation til kontraktindgåelse.
1. Offentlig AI-indkøb: to regelsæt i samspil
Offentligt AI-indkøb er underlagt to parallelle regelsæt, der hvert især stiller krav — og tilsammen skaber en ny indkøbslogik.
Udbudsloven (lov nr. 1564 af 15. december 2015, implementering af direktiv 2014/24/EU) regulerer selve indkøbsprocessen: kravspecifikation, udbudsform, tildelingskriterier og kontraktindgåelse. Formålet er at sikre konkurrence, ligebehandling og gennemsigtighed.
EU AI Act (Forordning EU 2024/1689) regulerer AI-systemerne selv og de roller, der er knyttet til dem. En offentlig myndighed, der tager et eksternt AI-system i brug, er som udgangspunkt en "deployer" i AI Acts terminologi — og dette medfører en selvstændig kompliansforpligtelse, uanset at det er leverandøren, der har udviklet og sat systemet på markedet.
De to regelsæt supplerer hinanden, men de har ikke direkte overlap. Udbudsloven siger ikke noget om AI-risikostyring. EU AI Act siger ikke noget om tildelingskriterier. Det er den offentlige myndigheds ansvar at sammentænke begge regelsæt i det konkrete indkøb.
Praktisk konsekvens: Allerede i behovs- og planlægningsfasen skal myndigheden vurdere, hvilken risikokategori et potentielt AI-system tilhører. Denne vurdering skal derefter afspejles i kravspecifikationen, tildelingskriterierne og kontrakten.
2. EU AI Act Art. 26: deployer-forpligtelserne for offentlige myndigheder
Artikel 26 i EU AI Act (Forordning EU 2024/1689, Art. 26) opstiller en række forpligtelser for deployere — altså de organisationer, der anvender et AI-system i en faglig sammenhæng. For offentlige myndigheder er disse forpligtelser særligt relevante, fordi de supplerer leverandørens eget ansvar uden at erstatte det.
Ifølge Art. 26 skal deployeren af et høj-risiko AI-system bl.a.:
For offentlige myndigheder gælder desuden Art. 26, stk. 9, der pålægger dem at gennemføre en Fundamental Rights Impact Assessment (FRIA) inden ibrugtagning af visse høj-risiko AI-systemer — herunder systemer, der anvendes til myndighedsudøvelse, tildeling af ydelser eller vurdering af borgere.
Hvad betyder det i praksis? En kommune, der anskaffer et AI-system til visitering af plejeydelser, skal inden ibrugtagning gennemføre en FRIA, etablere menneskelige kontrolprocedurer og sikre, at relevant personale har kompetencer til at