PowerQuant

EU AI Act og SMV under 10 ansatte: Gælder loven for mikrovirksomheder?

PowerQuant · EU AI Act compliance for HR-tech

Mange ejere af små virksomheder er i den tro, at EU AI Act er noget, der kun vedrører store teknologivirksomheder, konsulentgiganter eller multinationale selskaber med dedikerede compliance-afdelinger. Den antagelse er delvist forkert — og den fejltagelse kan blive dyr.

EU AI Act trådte i kraft den 1. august 2024. Den indeholder reelle lempelser for SMV'er og mikrovirksomheder. Men lempelserne er selektive og betingede. De fjerner ikke forpligtelserne — de justerer blot visse administrative og økonomiske rammer. Og på de mest kritiske punkter, særligt hvad angår høj-risiko AI-systemer, gælder kravene fuldt ud, uanset om din virksomhed har 3 eller 30.000 ansatte.

Denne artikel gennemgår, hvad EU AI Act konkret siger om virksomheder under 10 ansatte, hvad der er lempet, hvad der ikke er, og hvad du realistisk set bør gøre, hvis du driver en lille virksomhed i dag.

Hvem er en mikrovirksomhed ifølge EU?

EU AI Act trækker sin definition af virksomhedsstørrelser direkte fra Kommissionens SMV-forordning (2003/361/EF), specificeret i Annex I hertil. Definitionen er velkendt fra andre EU-regelsæt som GDPR og momsdirektivet:

  • Mikrovirksomhed: Færre end 10 ansatte og en årlig omsætning eller balance på under 2 mio. EUR.
  • Lille virksomhed: Færre end 50 ansatte og en omsætning eller balance på under 10 mio. EUR.
  • Mellemstor virksomhed: Færre end 250 ansatte og en omsætning på under 50 mio. EUR eller en balance på under 43 mio. EUR.

    • Det er den samlede enhed, der tæller — ikke én juridisk person isoleret. Ejer du tre selskaber med hver 8 ansatte og en fælles omsætning på 5 mio. EUR, er du ikke nødvendigvis en mikrovirksomhed i EU's forstand, hvis selskaberne er indbyrdes afhængige eller knyttet til hinanden via ejerskab. Det er et vigtigt forbehold, som mange overser.

    Hvad loven faktisk siger om SMV'er

    EU AI Act indeholder en række eksplicitte bestemmelser, der letter byrden for SMV'er og mikrovirksomheder. De vigtigste er:

    1. Reducerede gebyrer ved markedsovervågning og notificering

    Artikel 78 i EU AI Act giver Kommissionen og de nationale myndigheder mulighed for at fastsætte reducerede gebyrer for SMV'er i forbindelse med overensstemmelsesvurdering og notificering til nationale myndigheder. Formålet er at undgå, at gebyrstrukturen i sig selv udgør en markedsadgangsbarriere for mindre aktører.

    Det er vigtigt at bemærke, at dette ikke er en automatisk fritagelse. Det er en bemyndigelse — de konkrete gebyrniveauer fastsættes på nationalt niveau og i delegerede retsakter fra Kommissionen. I praksis betyder det, at du ikke kan antage, at du betaler mindre, medmindre du aktivt undersøger den nationale implementering.

    2. Adgang til regulatory sandbox

    Artikel 53 og 54 etablerer et system af AI regulatory sandboxes — regulatoriske laboratorier, hvor virksomheder kan teste og validere innovative AI-systemer under opsyn af myndighederne og med en vis fleksibilitet i forhold til de fulde krav.

    For SMV'er og opstartsvirksomheder gælder en udtrykkelig prioritering: Myndighederne skal give SMV'er og startups fortrinsvis adgang til disse sandkasser. Det er en af de mest konkrete fordele for mikrovirksomheder i hele loven.

    En sandbox giver dig mulighed for at:

  • Teste et høj-risiko AI-system under kontrollerede betingelser, inden du lancerer det fuldt ud.
  • Få vejledning fra de nationale myndigheder om, hvordan kravene fortolkes for netop dit system.
  • Dokumentere din compliance-proces i et miljø med reduceret juridisk risiko.

    • Ansøgning sker via den nationale kompetente myndighed — i Danmark forventes det at være Erhvervsstyrelsen som koordinerende organ, men det nationale implementeringsbillede er endnu ikke fuldt afklaret pr. maj 2026.

    3. Forenklede krav ved fuld selvvurdering

    For visse høj-risiko AI-systemer kan leverandøren gennemføre en selvvurdering (intern overensstemmelsesvurdering) frem for at involvere et eksternt notificeret organ. Reglerne for dette er specificeret i Artikel 43. For SMV'er, der opfylder betingelserne for selvvurdering, reduceres de administrative og økonomiske omkostninger markant sammenlignet med en ekstern audit.

    Hvad SMV-lempelserne IKKE dækker

    Her er kernen i, hvad mange små virksomhedsejere misforstår: SMV-lempelserne handler primært om økonomi og administration. De ændrer ikke de indholdsmæssige krav til høj-risiko AI-systemer.

    Hvis din virksomhed anvender et AI-system, der falder ind under Annex III's liste over høj-risiko anvendelsesområder — og den liste er bred — gælder følgende fuldt ud, uanset din størrelse:

    Teknisk dokumentation (Artikel 11 og Annex IV): Du skal kunne dokumentere systemets formål, ydeevne, begrænsninger, træningsdata, evalueringsmetoder og meget mere. Det kræver samarbejde med din leverandør.

    Risikoledelsessystem (Artikel 9): Et kontinuerligt system til identifikation, vurdering og afbødning af risici tilknyttet AI-systemet skal være på plads gennem hele systemets levetid.

    Menneskelig overvågning (Artikel 14): Høj-risiko AI-systemer skal designes og implementeres, så mennesker kan overvåge, gribe ind og om nødvendigt afbryde systemet. Du har som deployer pligt til at sikre, at dine medarbejdere forstår og kan udøve denne overvågning.

    Medarbejderinformation (Artikel 26, stk. 6): Medarbejdere, der arbejder med eller påvirkes af et høj-risiko AI-system, skal informeres. Det gælder uanset, om din virksomhed har 4 eller 400 ansatte.

    Registerføring (Artikel 12): Høj-risiko AI-systemer skal logge deres aktiviteter i relevant omfang. Som deployer har du ansvaret for, at dette sker korrekt.

    EU-databaseregistrering: Visse høj-risiko AI-systemer skal registreres i EU's AI-database (Artikel 71). Pligten påhviler leverandøren, men som deployer har du et selvstændigt ansvar for at sikre, at registreringen er foretaget.

    Art. 4 kompetencekrav: Gælder fra 2. februar 2025 — for alle

    En af de mest overset bestemmelser for SMV'er er Artikel 4 om AI-kompetencer. Den trådte i kraft den 2. februar 2025 og har ingen størrelsesbetingelse.

    Artikel 4 kræver, at alle udbydere og deployere af AI-systemer — og det inkluderer mikrovirksomheder — sikrer, at deres medarbejdere har tilstrækkelige kompetencer til at anvende AI-systemer forsvarligt. Loven specificerer ikke præcis, hvad "tilstrækkelige kompetencer" indebærer, men det er en forpligtelse, der allerede er gældende ret nu.

    I praksis betyder det:

  • Du bør dokumentere, at dine medarbejdere har fået relevant introduktion til de AI-systemer, I bruger.
  • Hvis du bruger et AI-rekrutterings- eller lønsystem, bør de medarbejdere, der betjener det, forstå dets begrænsninger og fejlkilder.
  • Træning behøver ikke at være dyr eller formel — men den skal eksistere og helst være dokumenterbar.

    • For en virksomhed med 5 ansatte er dette realistisk håndterbart. Men det kræver, at man aktivt forholder sig til det.

    Annex III i praksis: Hvad er egentlig høj-risiko?

    Annex III til EU AI Act lister de AI-anvendelsesområder, der klassificeres som høj-risiko. Den fulde Annex III-frist er 2. december 2027 for en stor del af systemerne — men visse forpligtelser gælder tidligere.

    Annex III-listen dækker bl.a.:

  • Rekruttering og ansættelse: AI-systemer til screening af CV'er, rangering af ansøgere, vurdering af egnethed.
  • Adgang til uddannelse: Systemer til optagelse og eksamination.
  • Adgang til ydelser: AI anvendt i forbindelse med social bistand, kreditvurdering, forsikring.
  • Kritisk infrastruktur: Visse systemer til styring af energi, vand og transport.
  • Retshåndhævelse og migration: Systemer i offentlig myndighedsudøvelse.

    • Be

    Klar til at komme i gang?

    PowerQuant leverer AI-inventar, Article 4-register og gap-analyse på 5 arbejdsdage.

    Start med M1 — 10.999 kr