PowerQuant

EU AI Act og performance management AI: Det oversete compliance-spørgsmål

PowerQuant · EU AI Act compliance for HR-tech

De fleste HR-ledere har efterhånden hørt om EU AI Act. Mange ved, at loven stiller krav til AI i rekruttering. Men spørger du dem, om deres performance management system er omfattet — om det OKR-tracking-værktøj der scorer medarbejdernes præstation, eller den produktivitetsplatform der analyserer arbejdsmønstre — så ryster de som regel på hovedet.

Det er det oversete compliance-spørgsmål i 2026: Performance management AI er sandsynligvis høj-risiko AI under Annex III, og fristen for at have styr på det nærmer sig hurtigt.

Annex III kategori 4: Hvad ordlyden faktisk siger

EU AI Act Annex III opregner de AI-systemkategorier, der automatisk klassificeres som høj-risiko. Kategori 4 handler om beskæftigelse og forvaltning af arbejdstagere. Den præcise ordlyd dækker AI-systemer, der bruges til:

  • Rekruttering og udvælgelse
  • "Monitoring or evaluation of persons in contractual relationships"
  • Beslutninger om forfremmelse, afskedigelse og opgavefordeling

    • Det er den midterste kategori, der oftest overses: overvågning eller evaluering af personer i kontraktforhold. Ordvalget er bredt og bevidst. Det er ikke begrænset til ansættelsesforhold i snæver forstand — det dækker ethvert kontraktuelt forhold, herunder konsulentkontrakter og tidsbegrænsede ansættelser.

    "Monitoring" dækker løbende observation af adfærd, output eller aktivitet. "Evaluation" dækker vurdering og bedømmelse. Kombinationen rammer præcis det, som moderne performance management systemer gør.

    Hvad er "performance management AI"?

    Begrebet performance management AI dækker bredere end mange antager. Det handler ikke kun om de systemer, der eksplicit er markedsført som "AI-drevne". Det handler om, hvad systemet gør — ikke hvad leverandøren kalder det.

    Et performance management system indeholder AI-komponenter i EU AI Act's forstand, når det:

  • Automatisk vurderer og scorer medarbejdernes præstation baseret på data
  • Rangerer medarbejdere i forhold til hinanden på baggrund af algoritmer
  • Identificerer mønstre i adfærd og konkluderer noget om performance-niveau
  • Genererer anbefalinger om hvem der skal have bonus, forfremmelse eller udviklingssamtale

    • Mange virksomheder har sådanne systemer uden at tænke på dem som "AI". De er integreret i kendte HR-platforme — Workday, SAP SuccessFactors, Microsoft Viva, Oracle HCM — og aktiveret som standardfunktioner eller add-ons.

    Tre konkrete eksempler der rammes

    1. OKR-tracking med AI-scoring

    Mange OKR-platforme (Objectives and Key Results) har AI-moduler, der ikke blot registrerer, om mål er nået, men også scorer medarbejderens indsats og fremgang. Systemet kan vurdere, om en medarbejder er "on track", "at risk" eller "underperforming" baseret på en algoritme, der vægter aktivitetsdata, opdateringsfrekvens og mødelogsdata.

    Det er ikke et dashboard, der viser tal. Det er et system, der evaluerer en person i et ansættelsesforhold.

    2. Produktivitetsmåling via arbejdsmønstre

    Platforme som Microsoft Viva Insights og tilsvarende produkter analyserer kommunikationsmønstre — hvornår sendes mails, hvor mange møder deltager medarbejderen i, hvornår på dagen er aktivitetsniveauet højest. Baseret på denne analyse genereres en "collaboration score" eller tilsvarende metric.

    Hvis denne score bruges til at vurdere medarbejderens effektivitet eller engagement, er der tale om AI-baseret evaluering af en person i et kontraktforhold.

    3. Automatisk præstationsrangering

    Nogle systemer genererer automatisk en relativ rangering af medarbejdere inden for et team eller en afdeling. Rangeringen baseres på et sammensat mål — salgsmål, kundetilfredshed, projektlevering — og produceres af en algoritme, ikke af en leder der sidder og vurderer.

    Denne rangering bruges derefter som input til beslutninger om lønjustering, bonuspuljer eller fortsat ansættelse. Det er et høj-risiko AI-system, der påvirker medarbejdernes rettigheder og livssituation direkte.

    Grænsetilfældet: Dashboard vs. vurderingssystem

    Det vigtigste skel i praksis er forskellen mellem et system, der viser data, og et system, der vurderer og konkluderer.

    Minimal-risiko (dashboard): Et system, der samler KPI-data og præsenterer dem visuelt til lederen. Lederen ser, at en medarbejder har solgt X produkter og haft Y kundemøder. Lederen drager sine egne konklusioner. Systemet evaluerer ikke — det informerer.

    Høj-risiko (vurderingssystem): Et system, der tager de samme data og producerer en samlet score, kategori eller rangering. Systemet konkluderer "medarbejder A performer bedre end medarbejder B". Det er en evaluering, der er sket automatisk.

    Grænsen er ikke altid klar. Et system, der beregner en "performance index" og farver den rød, gul eller grøn, er næppe bare et dashboard — det vurderer aktivt. Et system, der viser rå data uden fortolkning, er sandsynligvis minimal-risiko.

    Den praktiske test: Producerer systemet en konklusion om en persons præstationsniveau, som personen ikke selv ville nå frem til ved blot at se de samme tal? Hvis ja, er der sandsynligvis tale om et vurderingssystem.

    Dobbelt regulering: EU AI Act og arbejdsovervågningsloven

    Performance management AI er ikke kun reguleret af EU AI Act. Virksomheder i Danmark (og de fleste EU-lande) er underlagt et dobbelt reguleringsregime:

    EU AI Act (Annex III, høj-risiko):

  • Teknisk dokumentation og conformity assessment
  • Registrering i EU-databasen (for offentlige deployers fra 2027)
  • Løbende overvågning og hændelsesrapportering
  • Menneskelig overvågning (Art. 14)
  • Medarbejderinformation (Art. 26, stk. 3)

    • Nationale arbejdsretlige regler og databeskyttelse:

  • GDPR Art. 88 giver EU-lande mulighed for at fastsætte særregler for behandling af medarbejderdata — i Danmark via overenskomster og Datatilsynets vejledninger
  • Aftale om kontrolforanstaltninger (DA/LO-aftalen): Nye kontrolforanstaltninger skal varsles og drøftes med tillidsrepræsentanter
  • Databeskyttelsesloven § 12: Særlige regler for behandling af medarbejderes personoplysninger
  • GDPR Art. 22: Ret til ikke at være genstand for udelukkende automatiserede afgørelser med retsvirkning eller tilsvarende væsentlig påvirkning

    • Dertil kommer for virksomheder med kritisk infrastruktur: NIS2-direktivet stiller krav til risikostyring, herunder i relation til interne systemer der behandler følsomme data.

    Det betyder i praksis, at en virksomhed, der indfører et AI-baseret performance management system, ikke blot skal overholde EU AI Act — den skal også igennem en databeskyttelseskonsekvensvurdering (DPIA), sikre korrekt varsling og inddragelse af medarbejdere og tillidsrepræsentanter, og vurdere systemet op mod Art. 22-reglerne.

    Art. 26, stk. 3: Medarbejderne skal informeres

    EU AI Act Art. 26, stk. 3 pålægger deployers (virksomheder der tager AI-systemer i brug) en eksplicit informationspligt: Medarbejdere skal informeres om, at der bruges høj-risiko AI-systemer til at overvåge eller evaluere dem.

    Dette er en af de krav, der mest direkte rammer HR-afdelingerne. Det er ikke tilstrækkeligt at have et punkt i privatlivspolitikken eller en generel GDPR-oplysning. Informationen skal:

  • Specifikt nævne, at et høj-risiko AI-system bruges
  • Forklare, hvad systemet vurderer
  • Gøres tilgængeligt for de berørte medarbejdere

    • I praksis betyder det, at virksomheden skal gennemgå alle performance management systemer, identificere hvilke der er høj-risiko AI, og sikre, at medarbejderne informeres herom — enten via ansættelseskontrakter, personalehåndbog eller dedikerede oplysningsbreve.

    Art. 14: Kravet om menneskelig overvågning

    Ar

    Klar til at komme i gang?

    PowerQuant leverer AI-inventar, Article 4-register og gap-analyse på 5 arbejdsdage.

    Start med M1 — 10.999 kr