PowerQuant

Pilottest og EU AI Act: Hvornår aktiveres compliance-kravene?

PowerQuant · EU AI Act compliance for HR-tech

*PowerQuant leverer teknisk compliance-dokumentation — ikke juridisk rådgivning.*

Mange HR-afdelinger og digitaliseringsteams befinder sig i øjeblikket i det samme dilemma: De har sat et AI-system i gang på prøve. Måske er det et rekrutteringsværktøj, der screener ansøgninger. Måske er det et system, der prioriterer jobkandidater ud fra CV-analyse. Projektet hedder "pilottest" eller "POC" — og ledelsens forventning er, at compliance-kravene først træder i kraft, når systemet er "live" for alvor.

Det er en farlig antagelse.

EU AI Act skelner ikke mellem pilot og produktion på den måde, mange forventer. Denne artikel gennemgår præcist, hvornår forpligtelserne aktiveres, hvad der er afgørende for klassificeringen, og hvad din organisation bør have på plads — uanset om systemet endnu kun kører i testmiljø.

Hvad siger EU AI Act om "deployer"?

Det første spørgsmål er: Hvornår er man overhovedet forpligtet under forordningen?

EU AI Act Art. 3(4) definerer en *deployer* som:

> *"enhver fysisk eller juridisk person, offentlig myndighed, agentur eller andet organ, der anvender et AI-system under sin myndighed, undtagen ved personlig ikke-erhvervsmæssig brug."*

Nøgleordet er anvender. Ikke "implementerer i fuld drift". Ikke "har godkendt til produktion". Anvender.

Det betyder, at det afgørende kriterium ikke er, om systemet er "gået live" i forretningsmæssig forstand. Det afgørende er, om du bruger det — og om du gør det under din myndighed, dvs. at systemet er integreret i dine processer og påvirker reelle beslutninger.

Der er ingen pilotfritagelse i forordningsteksten. Det er ikke et fortolkningsspørgsmål — det er fraværet af en specifik undtagelse. Lovgiver har bevidst valgt ikke at skrive en testperiode-fritagelse ind.

Fra første produktionsmæssige brug — ikke kun go-live

En klassisk misforståelse er, at "go-live" er det afgørende tidspunkt. Men EU AI Act bruger ikke det begreb. Det, der udløser deployer-status, er den første produktionsmæssige brug — altså den første gang systemet anvendes på rigtige data, i rigtige processer, med reelle konsekvenser for rigtige personer.

Hvad er "produktionsmæssig brug" i praksis?

  • Et rekrutteringssystem screener 50 ansøgninger fra reelle jobkandidater, selvom pilottesten kun kørte i tre uger
  • Et prioriteringsværktøj bruges til at sortere kandidater til et internt stillingsopslag, selv i "testfase"
  • Et system analyserer medarbejderpræstationer med henblik på en kommende udviklingssamtale, uanset at resultaterne endnu ikke er formaliserede

    • I alle disse tilfælde behandler du rigtige data om rigtige mennesker, og systemets output påvirker — direkte eller indirekte — beslutninger om dem. Det er produktionsmæssig brug, og forpligtelserne følger med.

    Art. 4: AI Literacy gælder allerede nu

    Artikel 4 i EU AI Act stiller krav om, at deployers sikrer tilstrækkelig AI-kompetence hos de medarbejdere, der anvender og arbejder med AI-systemerne. Denne forpligtelse er ikke bundet til Annex III-klassifikation. Den gælder for alle AI-systemer.

    Og den gælder fra 2. februar 2025.

    Det betyder, at din organisation — uanset om det AI-system, I tester, er høj-risiko eller ej — allerede nu er forpligtet til at dokumentere, at relevante medarbejdere har forstået:

  • Systemets kapabiliteter og begrænsninger
  • Risikoen for bias og fejlklassifikation
  • Hvornår og hvordan menneskelig vurdering skal overstyre systemets output

    • Denne forpligtelse er ikke vejledende. Den er i kraft. Hvis din organisation kører pilottests med AI-systemer og ikke kan dokumentere AI literacy-kompetence for de involverede medarbejdere, er I allerede i en compliance-gap — uanset at systemet aldrig fik et officielt go-live.

    Høj-risiko AI: Pilottest ændrer ikke klassificeringen

    Annex III i EU AI Act opremser de kategorier af AI-systemer, der automatisk klassificeres som høj-risiko. Listen inkluderer bl.a.:

  • AI-systemer, der bruges til rekruttering og udvælgelse af kandidater
  • AI-systemer, der bruges til at evaluere og prioritere medarbejdere
  • AI-systemer, der bruges til kreditvurdering
  • AI-systemer i kritisk infrastruktur

    • Klassificeringen er systemets funktion — ikke dets driftsstatus. Et rekrutteringssystem, der er Annex III-klassificeret i produktion, er præcis det samme system, når det kører som pilottest.

    Det betyder i praksis: Hvis din organisation tester et AI-baseret screeningværktøj til rekruttering, er I allerede i gang med at anvende et Annex III-klassificeret system — og de tilhørende deployer-forpligtelser begynder at gælde fra det øjeblik, systemet bruges på rigtige kandidater.

    Den fulde compliance for Annex III-systemer — herunder teknisk dokumentation, konformitetsvurdering, registrering i EU-databasen og krav om menneskelig tilsyn — skal være på plads senest 2. december 2027. Men forpligtelsen til at håndtere systemet som et høj-risiko-system begynder ikke den 2. december 2027. Den begynder, når systemet bruges.

    Hvornår er det "intern test" — og hvornår er det pilottest med deployer-ansvar?

    Her er den vigtigste praktiske distinktion:

    Intern test uden deployer-ansvar er kendetegnet ved:

  • Systemet kører udelukkende på syntetiske data eller anonymiserede historiske data
  • Ingen reelle beslutninger træffes på baggrund af systemets output
  • Ingen rigtige kandidater, medarbejdere eller kunder er berørt
  • Output bruges udelukkende til at validere teknisk funktionalitet

    • Pilottest med deployer-ansvar er kendetegnet ved:

  • Systemet bruges på data fra rigtige personer, selvom de ikke ved det
  • Output påvirker — direkte eller indirekte — reelle beslutninger
  • Systemet er integreret i en faktisk forretningsproces, om end i begrænset omfang
  • Resultaterne informerer en kommende beslutning, fx hvilke kandidater der går videre

    • Skellet er ikke administrativt — det er funktionelt. Det er ikke, hvad I kalder projektet internt, der afgør det. Det er, hvad systemet faktisk gør med rigtige data om rigtige mennesker.

    Mange organisationer befinder sig i den anden kategori, mens de tror, de befinder sig i den første. Det er her, compliance-risikoen opstår.

    Regulatory Sandbox: Den lovlige vej til lettere testvilkår

    EU AI Act Art. 53 og 54 åbner for et såkaldt regulatory sandbox — et kontrolleret testmiljø, der er etableret af nationale tilsynsmyndigheder, og som kan give mere fleksible vilkår for test og validering af AI-systemer, herunder høj-risiko-systemer.

    I en sandbox kan udviklere og deployers:

  • Teste systemer under lempeligere dokumentationskrav
  • Arbejde tæt med tilsynsmyndigheden om at afklare compliance-spørgsmål
  • Opnå forudgående afklaring af klassifikation og krav

    • Men — og det er afgørende — en sandbox kræver national tilsynsmyndigheds godkendelse. Den kan ikke etableres unilateralt af virksomheden selv. Og den er ikke automatisk tilgængelig for alle.

    I Danmark er det endnu uafklaret, hvilken myndighed der bliver den primære AI-tilsynsmyndighed under EU AI Act, og hvornår en sandbox-ordning vil være operationel. Det betyder, at regulatory sandbox i praksis ikke er en realistisk kortsigtet løsning for de fleste HR-afdelinger, der i dag kører pilottests.

    Konsekvensen: Hvis I ikke er i en godkendt sandbox, gælder de normale krav. Der er ingen mellemmulighed.

    Tre minimumskrav til dokumentation i pilotfasen

    Uanset om systemet er i pilot eller produktion, bør din organisation som minimum dokumentere følgende tre elementer:

    1. Systemets funktion og anvendelsesscenarie

    En skriftlig beskrivelse af, hvad systemet gør, hvilke input det modtager, og hvilke output det genererer. Inklu

    Klar til at komme i gang?

    PowerQuant leverer AI-inventar, Article 4-register og gap-analyse på 5 arbejdsdage.

    Start med M1 — 10.999 kr