Næsten alle danske virksomheder bruger i dag AI-assistenter af en art. Microsoft 365 Copilot er rullet ud i millioner af europæiske virksomheder. ChatGPT Enterprise er adopteret af store konsulentfirmaer, advokatbureauer og finansielle institutioner. Google Workspace med Gemini er standard i mange tech-virksomheder. Og lokale AI-assistenter bygget på OpenAIs API eller Anthropics Claude er blevet standard-redskaber for tusindvis af knowledge workers.
EU AI Act (forordning EU 2024/1689) adresserer disse General Purpose AI-modeller (GPAI) i Art. 51-56, der trådte i kraft 2. august 2025. Hvad kræver forordningen af virksomheder der anvender disse modeller?
Hvad er GPAI? Art. 3 stk. 1 nr. 63
EU AI Act definerer et GPAI-system som et AI-system der er baseret på en general-purpose AI-model og der kan tjene mange formål, både direkte og integreret i andre AI-systemer (Art. 3 stk. 1 nr. 66).
En *general-purpose AI-model* (Art. 3 stk. 1 nr. 63) er en AI-model der:
ChatGPT (OpenAI), Copilot (Microsoft, baseret på GPT-4), Gemini (Google), Claude (Anthropic) og Meta Llama er alle GPAI-modeller i denne forstand. Open-source modeller som Llama og Mistral er det ligeledes.
GPAI-modelleverandøren vs. virksomheden: Ansvarsfordeling
Det centrale point for virksomheder der anvender GPAI-modeller er hvem der er provider og hvem der er deployer:
GPAI-modelleverandøren (OpenAI, Microsoft, Google, Anthropic) er provider af GPAI-modellen og er underlagt Art. 53-55's krav:
Virksomheden der anvender GPAI-modellen er typisk deployer og er ansvarlig for:
Art. 50: Transparenskrav for AI-genereret indhold (fra 2. august 2026)
Art. 50 er det mest direkte relevante EU AI Act-krav for virksomheder der anvender GPAI-modeller til indholdsproduktion:
Art. 50 stk. 1: Udbydere af AI-systemer der interagerer med mennesker (chatbots, AI-assistenter) skal sikre at brugerne informeres om at de interagerer med et AI-system, medmindre dette er åbenbart.
Art. 50 stk. 2: Udbydere af AI-systemer der genererer syntetisk lyd, video, billeder eller tekst, skal mærke output på en måde der muliggør detektion (teknisk watermarking eller metadata).
Art. 50 stk. 4: Udbydere og deployers af AI-systemer der genererer eller manipulerer tekst der fremstår som reelt indhold om aktuelle begivenheder, skal oplyse at indholdet er AI-genereret.
For virksomheder i praksis:
GPAI med systemisk risiko: Hvad angår det virksomheder?
EU AI Act Art. 55 pålægger GPAI-leverandører med modeller over 10^25 FLOPs (den nuværende tærskel for systemisk risiko) yderligere forpligtelser: modelevaluering, adversarial testing, incident-rapportering til AI Office, og cybersikkerhedsforanstaltninger.
AI Office offentliggjorde i 2025 en liste over GPAI-modeller med systemisk risiko. GPT-4o, Claude 3 Opus og Gemini Ultra er eksempler på modeller der er undersøgt — men listen er ikke statisk og opdateres løbende.
For virksomheder: Krav til systemisk risiko-modeller gælder primært leverandøren, ikke deployer. Dog bør virksomheder der anvender disse modeller verificere at leverandøren overholder Art. 55's krav — som del af vendor due diligence.
Interne AI-politikker: Compliance-fundament for GPAI-brug
EU AI Act stiller ingen direkte krav om interne AI-politikker for virksomheder der anvender GPAI. Men i praksis er en intern AI-politik en nødvendig compliance-forudsætning fordi: