PowerQuant

EU AI Act sandkasse: Sådan bruger HR-tech startups Art. 53-54 til at teste høj-risiko AI lovligt

PowerQuant · EU AI Act compliance for HR-tech

> Disclaimer: PowerQuant leverer teknisk compliance-dokumentation — ikke juridisk rådgivning. Denne artikel er vejledende og erstatter ikke individuel juridisk bistand.

Fra 2. december 2027 skal alle udbydere af høj-risiko AI-systemer i EU — herunder HR-tech-løsninger til rekruttering, performancevurdering og arbejdsstyring — overholde EU AI Acts fulde krav under Annex III. Det er en deadline, der allerede nu presser startups til at prioritere compliance tidligt i produktudviklingen.

Men hvad gør man, hvis man endnu ikke har det fulde compliance-apparat på plads, og man vil teste sit AI-system i praksis? Her kommer Article 53-54 og det regulatoriske sandkasse-program ind i billedet.

Sandkassen er ikke et smuthul. Den er et kontrolleret testmiljø, som nationale tilsynsmyndigheder opretter for at give innovative virksomheder mulighed for at udvikle og validere høj-risiko AI under regulatorisk vejledning — inden fuld markedsadgang. For HR-tech startups, der bevæger sig i et af de mest regulerede AI-segmenter, er det et afgørende instrument at kende til.

Hvad er en regulatory sandbox under EU AI Act?

En regulatory sandbox er et tidsbegrænset, godkendt testmiljø, hvor AI-systemer kan udvikles, trænes og valideres under lempeligere compliance-krav — men under direkte overvågning af den nationale tilsynsmyndighed.

Konceptet er hentet fra fintech-verdenen, hvor regulatoriske sandkasser har gjort det muligt for banker og betalingsløsninger at teste nye produkter uden at skulle opfylde alle krav fra dag ét. EU AI Act overfører denne mekanisme til AI-regulering med det eksplicitte mål at balancere innovation og risikostyring.

Det centrale formål er dobbelt: på den ene side at reducere innovationsbarrierer for startups og SMVer, der ikke har ressourcerne til fuld compliance fra produktets spæde start. På den anden side at give tilsynsmyndigheder tidlig indsigt i nye AI-systemer, der ellers ville komme på markedet uden forudgående dialog.

Sandkassen er reguleret i to primære artikler:

  • Art. 53 definerer rammerne for sandkassen og fastlægger, hvem der kan ansøge.
  • Art. 54 specificerer betingelserne for deltagelse, herunder krav til overvågning, transparens og databeskyttelse.

    • Art. 53: Hvem kan søge om adgang til sandkassen?

    Artikel 53 giver to kategorier af aktører ret til at ansøge om deltagelse i en national regulatory sandbox:

    1. Udbydere af høj-risiko AI-systemer

    HR-tech-løsninger, der falder ind under Annex III-kategorierne, er per definition høj-risiko AI. Det gælder blandt andet:

  • AI-systemer til rekruttering og udvælgelse af kandidater (screening, ranking, afvisning)
  • Systemer til vurdering af medarbejderpræstation
  • AI til overvågning af medarbejderes adfærd og produktivitet
  • Systemer der påvirker forfremmelse, opsigelse eller kontrakttildeling

    • Disse systemer er præcis de typer, der dominerer moderne HR-tech-stacks — og de er alle underlagt Annex III-kravene med fuld virkning fra 2. december 2027.

    2. Udbydere af GPAI-modeller (General Purpose AI)

    Virksomheder, der udvikler eller tilpasser store sprogmodeller og foundation models med systemic risk-klassifikation, kan ligeledes ansøge. For HR-tech-startups er dette relevant, hvis man bygger egne LLM-baserede værktøjer til eksempelvis CV-analyse eller kandidatscreening.

    SMV-prioritering (Art. 53(6)):

    Artiklen indeholder en eksplicit bestemmelse om, at nationale myndigheder skal prioritere SMVer og startups i adgangen til sandkassen. Desuden pålægges myndighederne at yde vejledning og støtte til disse aktører — herunder forklare krav, hjælpe med at identificere mangler i dokumentationen og guide processen frem mod fuld markedsadgang.

    Det er en vigtig nuance: sandkassen er ikke kun for store aktører med compliance-teams. Den er designet til at inkludere dem, der har idéerne, men endnu ikke infrastrukturen.

    Art. 54: Betingelserne for at deltage

    Adgang til sandkassen er ikke automatisk. Artikel 54 opstiller en række betingelser, som ansøgere skal opfylde for at blive godkendt — og overholde under hele testperioden.

    Godkendelsesproces:

    Ansøgeren skal indsende en detaljeret beskrivelse af det AI-system, der ønskes testet, herunder dets tilsigtede formål, de data det anvender, den påtænkte brugergruppe og de potentielle risici. Tilsynsmyndigheden vurderer herefter, om systemet er egnet til sandkasse-testning.

    Aktiv overvågning under testen:

    Deltagelse i sandkassen sker under løbende tilsyn. Myndigheden har ret til at inspicere systemet, kræve dokumentation og om nødvendigt sætte testen på pause eller afbryde den, hvis der identificeres uforudsete risici.

    Transparens og rapportering:

    Ansøgeren er forpligtet til at give tilsynsmyndigheden fuld adgang til relevante oplysninger om systemets udvikling, ændringer og testresultater. Der kræves løbende statusrapporter, og væsentlige ændringer i systemet skal meddeles myndigheden inden implementering.

    Tidsbegrænsning:

    Sandkasse-perioden er tidsbegrænset — typisk 12 måneder med mulighed for forlængelse på yderligere 12 måneder. Det er ikke en permanent undtagelse, men en midlertidig ramme for kontrolleret udvikling med et klart slutpunkt: fuld markedsadgang.

    Fordelene for en HR-tech startup

    Sandkassen tilbyder konkrete fordele, som rækker langt ud over den umiddelbare compliance-lettelse:

    1. Tidlig regulatorisk vejledning

    I stedet for at gætte sig frem til, hvad tilsynsmyndigheden forventer, får man direkte adgang til de fagfolk, der skal godkende ens system. Det er uvurderligt for startups, der bygger i et regulatorisk komplekst område som HR-AI.

    2. Reduceret compliance-byrde under test

    Under sandkasse-perioden kan visse krav lettes eller tilpasses. Det betyder, at man kan fokusere på at validere systemets kernefunktionalitet og sikkerhed, uden at skulle have det fulde compliance-apparat på plads fra dag ét.

    3. Forbedret markedsadgangsberedskab

    Gennemførslen af en regulatorisk sandkasse giver virksomheden dokumentation for, at systemet er testet og valideret under myndighedsovervågning. Det er et stærkt signal til potentielle kunder, investorer og partnere — og det forkorter vejen til fuld markedsadgang.

    4. Reduceret retlig usikkerhed

    For komplekse HR-AI-systemer kan det være uklart, præcis hvilken Annex III-kategori de falder ind under, og hvilke krav der gælder. Sandkasse-dialogen afklarer dette tidligt — og undgår potentielle overtrædelser, der ellers først opdages ved en formel tilsynskontrol.

    Den vigtige nuance: Sandkassen fritager ikke for GDPR

    Her begår mange startups en alvorlig fejltagelse: De antager, at adgang til sandkassen betyder, at man kan se bort fra alle andre regler.

    Det er forkert.

    Sandkassen fritager udelukkende for visse krav under EU AI Act. Den ændrer ikke på forpligtelserne under:

  • GDPR (Forordning 2016/679) — herunder grundlæggende krav om lovlig behandlingshjemmel, dataminimering og den registreredes rettigheder
  • Arbejdsretlig lovgivning — herunder krav til begrundelse ved ansættelse og afskedigelse
  • Charteret om grundlæggende rettigheder — herunder non-diskriminationsprincipperne

    • For HR-tech er dette særligt relevant. Rekrutteringsalgoritmer og performancevurderingssystemer behandler som udgangspunkt personoplysninger i stor skala. GDPR-forpligtelserne — inklusive Data Protection Impact Assessment (DPIA) — gælder fuldt ud, uanset om man er i en sandkasse eller ej.

    Sandkassen er et AI Act-instrument. Den er ikke et frirum fra EU's bredere regulatoriske ramme. En startup, der fejlagtigt antager det modsatte,

    Klar til at komme i gang?

    PowerQuant leverer AI-inventar, Article 4-register og gap-analyse på 5 arbejdsdage.

    Start med M1 — 10.999 kr