PowerQuant

EU AI Act og GPAI: Hvad betyder forudtrænede sprogmodeller for HR-tech?

PowerQuant · EU AI Act compliance for HR-tech

I 2023 og 2024 integrerede de fleste store HR-tech platforme ChatGPT eller tilsvarende store sprogmodeller i deres produkter. Jobbeskrivelse-generering, kandidatopsummering, samtalecoaching, kompetencevurdering — pludselig var der AI overalt i HR-tech stakken. EU AI Act har et svar på det. Det hedder GPAI-reglerne, og de tilføjer et nyt lag af kompleksitet til compliance-billedet.

Hvad er GPAI under EU AI Act?

GPAI står for General Purpose AI — AI-modeller med generelle formål. EU AI Act definerer et GPAI-system i Art. 3, stk. 63 som et AI-system, der er baseret på en GPAI-model, og som kan bruges til mange formål — herunder formål, som provideren ikke specifikt har designet eller markedsført det til.

GPAI-reglerne i EU AI Act (Art. 51–56) retter sig primært mod providers af GPAI-modellerne — altså de virksomheder, der træner og stiller modellerne til rådighed: OpenAI, Anthropic, Google, Meta. Disse virksomheder er underlagt:

  • Dokumentationskrav (teknisk dokumentation af modellen)
  • Politikker for AI-litteratur og ophavsret
  • Registrering i EU-databasen

    • For GPAI-modeller med systemisk risiko (defineret som modeller med beregningsmæssig kapacitet over 10^25 FLOP under træning) gælder yderligere krav: adversarial testing, modstandsdygtighedsvurderinger og incidentrapportering til EU-Kommissionen.

    Hvad betyder GPAI-reglerne for din HR-tech?

    Det interessante spørgsmål er ikke primært, hvad reglerne kræver af OpenAI. Det er, hvad de betyder for dig, når du bruger et HR-system, der er bygget oven på GPT-4o, Claude eller Gemini.

    Scenario A: Din HR-platform har integreret en GPAI-model

    Mange HR-tech platforme er nu bygget oven på en GPAI-model. De leverer en brugergrænseflade og workflow-logik, men den faktiske AI-kapacitet — naturlig sprogforståelse, tekstgenerering, vurdering — stammer fra en underliggende GPAI-model.

    I dette tilfælde er HR-tech platformen selv en AI-provider. De har taget en GPAI-model og specialiseret den til HR-formål. De er dermed ansvarlige for compliance af det samlede system — inklusive GPAI-modelkomponenten, for så vidt de bruger den til høj-risiko formål.

    Scenario B: Din virksomhed bruger direkte API-adgang til GPAI

    Hvis din virksomhed direkte integrerer GPT eller tilsvarende via API til at udføre HR-opgaver — for eksempel til at analysere kandidatprofiler, opsummere samtalenotater eller generere performance-feedback — er din virksomhed provider af det specifikke AI-system, I har bygget.

    Det er ikke tilstrækkeligt at sige "vi bruger bare OpenAI's API". Det er jer, der har taget beslutningen om at bruge GPAI til høj-risiko HR-formål, og I er ansvarlige for den samlede compliance.

    Scenario C: HR-medarbejdere bruger ChatGPT direkte til HR-opgaver

    Hvis medarbejdere i HR-afdelingen bruger ChatGPT.com direkte til at skrive jobopslag, opsummere CV'er eller forberede interviewspørgsmål, er der tale om generel brug af en GPAI-applikation til ikke-specifikke formål. Det er ikke en deployment af et høj-risiko AI-system i EU AI Acts forstand, men det rejser GDPR-spørgsmål om behandling af kandidatdata.

    Den kritiske sondring: Hvornår er GPAI-brug høj-risiko?

    EU AI Act opererer med en vigtig sondring: GPAI-modeller er i sig selv ikke klassificeret som høj-risiko. Det er den konkrete anvendelse i et specifikt system til specifikke formål, der kan gøre systemet høj-risiko.

    En GPAI-model der bruges til at generere jobbeskrivelser er ikke høj-risiko AI. En GPAI-model der bruges til automatisk at vurdere, rangere og screene kandidater til en stilling er sandsynligvis høj-risiko AI under Annex III kategori 4.

    Kriteriet er: Bruges AI-systemet til at træffe eller informere beslutninger, der påvirker personers adgang til beskæftigelse, og sker det på en systematisk og automatiseret måde?

    Hvis ja, gælder alle Annex III høj-risiko kravene — uanset om systemet er bygget på en GPAI-model.

    Fem HR-GPAI-scenarier vurderet

    1. AI-genereret jobopslag og stillingsbeskrivelse

    Risikovurdering: Minimal risiko — lav.

    Generering af jobopslag er en generisk tekstopgave uden direkte indvirkning på individers rettigheder. Det er dog relevant at sikre, at AI-genererede jobopslag ikke indeholder implicitte køns- eller aldersdiskriminerende sprogbrug.

    2. CV-opsummering til rekrutterer

    Risikovurdering: Grå zone — afhænger af brug.

    Hvis AI opsummerer et CV til brug for en rekrutterer, der derefter tager en selvstændig vurdering, er det i udgangspunktet et støtteværktøj uden direkte afgørelsesindvirkning. Hvis AI-opsummeringen erstatter rekruttererens eget CV-gennemlæsning og systematisk screener kandidater ud, nærmer det sig høj-risiko-territoriet.

    3. AI-baseret kompetencevurdering via chatbot-samtale

    Risikovurdering: Sandsynligvis høj-risiko.

    Et system der bruger en GPAI-baseret chatbot til at vurdere en kandidats kompetencer og generere en vurderingsrapport til brug i en ansættelsesbeslutning, vurderer automatisk en person i forbindelse med ansættelse. Det er høj-risiko AI.

    4. AI-generated performance feedback

    Risikovurdering: Grå zone — afhænger af formål og konsekvenser.

    AI der genererer performancefeedback til medarbejdere som støtte til en leder er et støtteværktøj. AI der automatisk genererer performancevurderinger brugt direkte i beslutninger om løntillæg eller forfremmelse er høj-risiko AI.

    5. AI-baseret løbende engagementsmåling og afgangsprediction

    Risikovurdering: Sandsynligvis høj-risiko for afgangsprediction.

    Et system der løbende overvåger kommunikationsmønstre for at predicere hvilke medarbejdere der er ved at søge andet arbejde, og som bruges til at informere beslutninger om fastholdelsesforanstaltninger, vurderer og overvåger personer i et ansættelsesforhold. Annex III kategori 4 rammer direkte.

    Hvad GPAI-providere skal levere til dig

    Hvis du bruger et HR-tech produkt der er bygget oven på en GPAI-model, har du krav på visse oplysninger fra leverandøren:

    Fra GPAI-modelprovider (OpenAI, Anthropic etc.):

  • Teknisk dokumentation om modellens kapaciteter og begrænsninger
  • Politik for accept brug (acceptable use policy)
  • Oplysninger om træningsdata og kendte bias (i det omfang de er offentliggjort)

    • Fra HR-tech platformen (der bruger GPAI):

  • Dokumentation for, at integrationen af GPAI er vurderet i relation til compliance-kravene
  • Brugervejledning for høj-risiko funktioner
  • Oplysninger om, hvilke GPAI-komponenter der bruges til hvad

    • Art. 50 og GPAI: Oplysningspligten for AI-genereret indhold

    Art. 50, stk. 2 kræver, at GPAI-modelproviders sikrer, at AI-genereret tekst mærkes maskinlæseligt, så det kan detekteres. Fristen for Art. 50 er 2. august 2026.

    I HR-kontekst har dette relevans for:

  • AI-genererede jobbeskrivelser: Bør de mærkes som AI-genererede?
  • AI-genererede evalueringsrapporter: Kandidater bør vide, om de modtager AI-genereret feedback
  • Automatiserede afvisningsbreve: Et AI-genereret afvisningsbrev bør identificeres som sådant

    • Tre anbefalinger til virksomheder med GPAI i HR-tech-stakken

    1. Kortlæg GPAI-integrationer i jeres HR-tech

    Gå igennem jeres HR-platform og spørg systematisk: Bruger dette modul en underliggende GPAI-model? Til hvad? Producerer det output, der informerer beslutninger om enkeltpersoner? En simpel matrix over HR-tech-komponenter og GPAI-tilstedeværelse er et godt udgangspunkt.

    2. Vurdér høj-risiko klassificering for hvert GPAI-aktiveret modul

    For hvert modul med GPAI: Bruges det til noget, der falder under Annex III kategori 4? Rekruttering, performance evaluation, løn

    Klar til at komme i gang?

    PowerQuant leverer AI-inventar, Article 4-register og gap-analyse på 5 arbejdsdage.

    Start med M1 — 10.999 kr