Af PowerQuant | Opdateret maj 2026 | Læsetid: ca. 11 minutter
Artikel 33 i EU AI Act regulerer, hvilke AI-systemer der kræver tredjepartsverifikation fra et bemyndiget organ (notified body), og hvordan disse organer akkrediteres og fungerer. For de fleste danske virksomheder er dette en del af forordningen, der enten ikke er relevant — eller er afgørende kritisk. Denne artikel hjælper dig med at forstå, hvornår du er i den ene eller anden kategori.
Hvad er et bemyndiget organ (notified body)?
Et bemyndiget organ er en uafhængig tredjepartorganisation, der er akkrediteret og notificeret af en EU-medlemsstat til at udføre overensstemmelsesvurderinger af AI-systemer. Begrebet kendes fra andre sektorer: medicinsk udstyr (MDR), legetøj (Legetøjsdirektivet), elevatorer og mange andre produkter anvender lignende strukturer.
Under EU AI Act er bemyndigede organer ansvarlige for at verificere, at visse høj-risiko AI-systemer overholder de relevante krav — og dermed give udbyderne mulighed for at CE-mærke deres systemer.
I Danmark vil akkrediteringsopgaven sandsynligvis ligge hos DANAK (Danmarks Akkrediteringsfond), der i forvejen akkrediterer bemyndigede organer for en lang række produktdirektiver.
Hvilke AI-systemer kræver notified body-vurdering?
Her er et af de vigtigste spørgsmål for enhver virksomhed: Skal I bruge et bemyndiget organ?
Svaret afhænger af to faktorer:
1. Er systemet omfattet af Bilag III (Annex III)?
Annex III lister de kategorier af høj-risiko AI-systemer, der er underlagt forordningens skrappeste krav. Det inkluderer bl.a.:
De fleste HR-AI-systemer falder under kategorien "beskæftigelse, personaleforvaltning og adgang til selvstændig erhvervsvirksomhed".
2. Kræves harmoniseret standard eller anvender systemet harmoniseret standard?
Dette er den afgørende faktor. Art. 43 specificerer to veje til konformitetsvurdering:
Vej A — Intern konformitetsvurdering (self-assessment):
Bruges, når der *ikke* er specifikke krav om notified body i den sektor-specifikke lovgivning, som AI-systemet er underlagt. For de fleste Annex III-systemer — inklusiv HR-AI — er dette den tilgængelige vej.
Vej B — Notified body-vurdering:
Obligatorisk for Annex III-systemer i kategori 1 (biometrisk identifikation og kategorisering), medmindre systemet er certificeret under en harmoniseret standard. Biometriske systemer er dermed den primære gruppe, der i praksis vil kræve notified body.
Konklusion for de fleste danske HR-AI-virksomheder: Notified body er sandsynligvis *ikke* obligatorisk. Self-assessment (intern konformitetsvurdering med fuld dokumentation) er den relevante vej.
Hvornår kan en frivillig notified body-vurdering give mening?
Selvom det ikke er obligatorisk, kan en frivillig ekstern vurdering have forretningsmæssig værdi i disse situationer:
1. B2B-salg til store kunder
Hvis I sælger HR-AI til store virksomheder eller offentlige institutioner, kan en notified body-vurdering fungere som et troværdighedssignal — tilsvarende ISO-certificeringer i andre sektorer.
2. Offentlige udbud
Offentlige myndigheder kan i fremtiden stille krav om dokumenteret tredjepartsverifikation i udbudsbetingelser for AI-systemer.
3. Eksport til ikke-EU-markeder
CE-mærket, der følger af en godkendt konformitetsvurdering, kan lette adgang til markeder, der gensidigt anerkender CE-mærket.
4. Intern governance
Virksomheder med høj risikoaversion (fx forsikringsselskaber, banker, healthcare) kan vælge ekstern vurdering som en intern governance-foranstaltning.
Krav til notified bodies under Art. 33
For at blive akkrediteret som notified body for EU AI Act skal organisationen opfylde en lang række krav, bl.a.:
Uafhængighed:
Notified body'en og dens ansatte må ikke have interessekonflikter med de virksomheder, de vurderer. De kan ikke have ejerandele i eller forretningsmæssige bindinger til udbyderne.
Teknisk kompetence:
Organisationen skal have demonstreret teknisk ekspertise inden for AI — herunder machine learning, risikovurdering, databehandling og softwareingeniørfærdigheder. Dette er et højt krav og forventes at begrænse antallet af akkrediterede organer i de første år.
Processer:
Notified bodies skal have dokumenterede processer for:
Fortrolighed:
Kommercielt følsomme oplysninger om udbydernes tekniske systemer skal behandles fortroligt.
Ansvarsforsikring:
Notified bodies skal have tilstrækkelig ansvarsforsikring.
Status på akkreditering af notified bodies i EU
Per maj 2026 er EU's notified body-struktur for AI Act endnu i opbygningsfasen. EU AI Act trådte i kraft 1. august 2024, og de fulde krav for Annex III-systemer aktiveres 2. august 2026. Det giver relativt kort tid til at etablere det nødvendige antal kompetente notified bodies.
Forventede udfordringer:
EAIB (European Artificial Intelligence Board) — det rådgivende organ nedsat under Art. 65 — arbejder på harmoniserede retningslinjer for notified bodies. Virksomheder bør følge med i EAIB's publikationer.
CE-mærkning af høj-risiko AI-systemer
Et korrekt gennemført konformitetsvurderingsforløb — enten via self-assessment eller notified body — giver virksomheden ret til at påsætte CE-mærket på sit høj-risiko AI-system (Art. 48).
CE-mærket for AI er ikke en godkendelse i sig selv — det er en erklæring om, at systemet overholder gældende krav. Udbyderne har det fulde ansvar for, at erklæringen er korrekt.
CE-mærket skal ledsages af:
Manglende CE-mærkning på et system, der er obligatorisk mærket, er en overtrædelse der kan udløse bøder op til 30 millioner euro eller 6% af global omsætning — den højeste bødekategori under forordningen.
EU-databasen for høj-risiko AI-systemer
Art. 71 etablerer en offentligt tilgængelig EU-database, der registrerer alle høj-risiko AI-systemer, der bringes i omsætning. Registreringen er obligatorisk og skal ske inden systemet bringes i omsætning.
Databasen giver: