BLOG

GPAI-Modeller i Virksomheden: Compliance-Guide til ChatGPT, Copilot og Gemini

Næsten alle danske virksomheder bruger i dag AI-assistenter af en art. Microsoft 365 Copilot er rullet ud i millioner af europæiske virksomheder. ChatGPT Enterprise er adopteret af store konsulentfirmaer, advokatbureauer og finansielle institutioner. Google Workspace med Gemini er standard i mange tech-virksomheder. Og lokale AI-assistenter bygget på OpenAIs API eller Anthropics Claude er blevet standard-redskaber for tusindvis af knowledge workers.

EU AI Act (forordning EU 2024/1689) adresserer disse General Purpose AI-modeller (GPAI) i Art. 51-56, der trådte i kraft 2. august 2025. Hvad kræver forordningen af virksomheder der anvender disse modeller?

Hvad er GPAI? Art. 3 stk. 1 nr. 63

EU AI Act definerer et GPAI-system som et AI-system der er baseret på en general-purpose AI-model og der kan tjene mange formål, både direkte og integreret i andre AI-systemer (Art. 3 stk. 1 nr. 66).

En *general-purpose AI-model* (Art. 3 stk. 1 nr. 63) er en AI-model der:

  • Er trænet med store mængder data med bredt-baserede selvovervågningsmetoder (self-supervision/reinforcement)
  • Er generelt anvendelig og kan bruges til et bredt spektrum af opgaver
  • Integreres i en mangfoldighed af downstream-systemer eller applikationer
  • ChatGPT (OpenAI), Copilot (Microsoft, baseret på GPT-4), Gemini (Google), Claude (Anthropic) og Meta Llama er alle GPAI-modeller i denne forstand. Open-source modeller som Llama og Mistral er det ligeledes.

    GPAI-modelleverandøren vs. virksomheden: Ansvarsfordeling

    Det centrale point for virksomheder der anvender GPAI-modeller er hvem der er provider og hvem der er deployer:

    GPAI-modelleverandøren (OpenAI, Microsoft, Google, Anthropic) er provider af GPAI-modellen og er underlagt Art. 53-55's krav:

  • Teknisk dokumentation af modellen
  • Overensstemmelse med EU's ophavsretslovgivning og GDPR
  • Transparency-forpligtelse (Art. 53 stk. 1 litra d)
  • For systemer med systemisk risiko (>10^25 FLOP): Yderligere krav om modelevaluering og adversarial testing
  • Virksomheden der anvender GPAI-modellen er typisk deployer og er ansvarlig for:

  • At anvende modellen i overensstemmelse med udbydernes brugsvilkår
  • At sikre at GPAI-brugen ikke skaber høj-risiko AI-applikationer uden compliance
  • At opfylde Art. 50's transparenskrav over for egne brugere og kunder
  • At implementere interne AI-politikker der sikrer ansvarlig GPAI-brug
  • Art. 50: Transparenskrav for AI-genereret indhold (fra 2. august 2026)

    Art. 50 er det mest direkte relevante EU AI Act-krav for virksomheder der anvender GPAI-modeller til indholdsproduktion:

    Art. 50 stk. 1: Udbydere af AI-systemer der interagerer med mennesker (chatbots, AI-assistenter) skal sikre at brugerne informeres om at de interagerer med et AI-system, medmindre dette er åbenbart.

    Art. 50 stk. 2: Udbydere af AI-systemer der genererer syntetisk lyd, video, billeder eller tekst, skal mærke output på en måde der muliggør detektion (teknisk watermarking eller metadata).

    Art. 50 stk. 4: Udbydere og deployers af AI-systemer der genererer eller manipulerer tekst der fremstår som reelt indhold om aktuelle begivenheder, skal oplyse at indholdet er AI-genereret.

    For virksomheder i praksis:

  • Hvis I anvender AI-genereret indhold i ekstern kommunikation, markedsføring eller nyhedsbreve der kan opfattes som human-generated, bør I oplyse om AI-brug
  • Chatbots på jeres hjemmeside der driver kundeservice skal identificere sig som AI
  • AI-genererede kundebreve eller kontrakter skal enten identificeres som AI-genererede eller gennemgås og signeres af et menneske der påtager sig ansvaret
  • GPAI med systemisk risiko: Hvad angår det virksomheder?

    EU AI Act Art. 55 pålægger GPAI-leverandører med modeller over 10^25 FLOPs (den nuværende tærskel for systemisk risiko) yderligere forpligtelser: modelevaluering, adversarial testing, incident-rapportering til AI Office, og cybersikkerhedsforanstaltninger.

    AI Office offentliggjorde i 2025 en liste over GPAI-modeller med systemisk risiko. GPT-4o, Claude 3 Opus og Gemini Ultra er eksempler på modeller der er undersøgt — men listen er ikke statisk og opdateres løbende.

    For virksomheder: Krav til systemisk risiko-modeller gælder primært leverandøren, ikke deployer. Dog bør virksomheder der anvender disse modeller verificere at leverandøren overholder Art. 55's krav — som del af vendor due diligence.

    Interne AI-politikker: Compliance-fundament for GPAI-brug

    EU AI Act stiller ingen direkte krav om interne AI-politikker for virksomheder der anvender GPAI. Men i praksis er en intern AI-politik en nødvendig compliance-forudsætning fordi:

  • Art. 4 AI-literacy krav: Medarbejdere der anvender GPAI skal have tilstrækkelig forståelse af systemernes muligheder og begrænsninger
  • Art. 50 transparens: Virksomheden er ansvarlig for at Art. 50's krav opfyldes i den kontekst modellen bruges
  • **GDPR-c
  • Klar til at komme i gang?

    PowerQuant leverer AI-inventar og gap-analyse på 5 arbejdsdage.

    Start M1 — 10.999 kr