PowerQuant

EU AI Act post-market monitoring: Deployers løbende overvågningsforpligtelse

PowerQuant · EU AI Act compliance for HR-tech

EU AI Act er ikke en compliance-opgave, man løser én gang og lægger i skuffen. Høj-risiko AI-systemer kræver løbende overvågning — også efter de er sat i drift. Det er post-market monitoring, og det er et krav, mange virksomheder undervurderer, fordi det ikke har en enkelt, tydelig deadline.

Hvad post-market monitoring er

Post-market monitoring er den løbende process, hvor en virksomhed sikrer, at et høj-risiko AI-system fungerer som forventet i sin konkrete anvendelseskontekst — og at det fortsat lever op til lovens krav, selvom omverden og data ændrer sig.

For providers (virksomheder der bygger AI-systemer) kræver Art. 72 et systematisk post-market monitoring-system. For deployers (virksomheder der tager systemet i brug) kræver Art. 26, stk. 5 aktiv overvågning af systemets adfærd i drift og forpligtelse til at rapportere til provider ved alvorlige hændelser.

Hvad Art. 26, stk. 5 konkret kræver af deployers

Art. 26, stk. 5 pålægger deployers at:

  • Overvåge systemets adfærd og identificere om det fungerer som beskrevet i leverandørens brugervejledning
  • Opbevare logs fra driften — EU AI Act kræver minimum 6 måneders logopbevaring for de fleste høj-risiko systemer
  • Informere provider (leverandøren) ved hændelser eller adfærdsafvigelser, der kan udgøre risici
  • Samarbejde med markedsovervågningsmyndighederne ved undersøgelser

    • For HR-AI-systemer i praksis: Overvågning af et rekrutterings- eller performance management system kræver, at nogen i virksomheden regelmæssigt tjekker, om systemet opfører sig som forventet — og dokumenterer det.

    Hvad der skal overvåges: Fem konkrete parametre for HR-AI

    1. Nøjagtighedsudvikling over tid

    Et AI-system, der var nøjagtigt da det blev implementeret, kan degradere over tid. Det sker fordi:

  • Kandidatpopulationen ændrer sig (andre uddannelsesbaggrunde, andre CV-formater)
  • Arbejdsmarkedets kompetencekrav ændrer sig
  • Systemets træningsdata bliver "forældet" i forhold til nutidig virkelighed

    • Hvad du bør overvåge: Sammenlign systemets anbefalinger med faktiske ansættelsesbeslutninger. Sporer du en systematisk afvigelse? Det kan indikere, at systemet degraderer.

    2. Demografiske mønstre i output

    Et system, der ikke diskriminerede da det blev implementeret, kan begynde at diskriminere hvis dens inputdata ændrer sig. Et rekrutteringssystem, der primært ser mandlige ansøgere til bestemte stillinger, kan over tid lære at rangere mænd højere — selv uden at det var hensigten.

    Hvad du bør overvåge: Regelmæssig analyse af, om systemets output varierer systematisk med demografiske variabler (køn, alder, nationalitet). Det kræver ikke en komplet bias-audit — en enkel frekvensanalyse af hvem systemet anbefaler, kan afsløre problematiske mønstre.

    3. Brugeradfærd og override-rate

    Hvis de ansvarlige systematisk tilsidesætter systemets anbefalinger, er det et signal om, at systemet ikke fungerer som forventet. En høj override-rate er ikke i sig selv et problem — det kan betyde, at menneskelig overvågning fungerer. Men det bør analyseres: Hvorfor tilsidesættes anbefalingerne? Er der et systematisk mønster?

    Hvad du bør overvåge: Registrer hyppighed og begrundelse for override-beslutninger. Det behøver ikke at være komplekst — en simpel log kan være tilstrækkelig.

    4. Tekniske fejl og systemnedetid

    Rapporter om tekniske fejl i systemet — forkerte output, uventede fejlmeddelelser, manglende data — bør dokumenteres og kommunikeres til leverandøren. Systematiske tekniske fejl kan indikere, at systemet kræver opdatering eller fejlrettelse.

    Hvad du bør overvåge: Incident-log over tekniske fejl og rapporterede uregelmæssigheder fra brugere.

    5. Ændringer i underliggende data og processer

    Har virksomheden ændret sine rekrutteringsprocesser, sine jobkrav eller sine evalueringskriterier? Et AI-system, der er konfigureret til en bestemt process, kan producere uhensigtsmæssige output hvis processen ændres uden at systemet opdateres.

    Hvad du bør overvåge: Sikr at systemkonfiguration og brugsprocesser er synkroniserede. Opdater leverandøren om væsentlige procesændringer.

    Logkravet: Hvad skal dokumenteres og i hvor lang tid?

    EU AI Act specificerer, at de logs, der automatisk genereres af høj-risiko AI-systemer, skal opbevares i en periode, der fastlægges af Kommissionen — som udgangspunkt minimum 6 måneder, medmindre sektorbegrundede krav tilsiger andet.

    For deployers er kravene til log-opbevaring:

  • Logs fra systemet (automatisk genereret af AI-systemet) skal opbevares som specificeret af leverandøren
  • Beslutningsdokumentation: Dokumentation for, at menneskelig overvågning har fundet sted, bør opbevares
  • Incident-rapporter: Dokumentation for hændelser og kommunikation med leverandøren bør opbevares

    • Praktisk anbefaling: Etabler en simpel intern log-procedure, der registrerer:

  • Dato og type af overvågningsaktivitet udført
  • Eventuelle observerede afvigelser
  • Foranstaltninger truffet

    • Leverandørkommunikation: Hvornår skal du rapportere til din provider?

    Art. 26, stk. 5 kræver, at deployers informerer providers om hændelser og potentielle risici opdaget i driften. "Alvorlige hændelser" skal rapporteres i overensstemmelse med Art. 73.

    En "alvorlig hændelse" er defineret i Art. 3, stk. 49 som en hændelse der forårsager eller kan forårsage:

  • Død eller alvorlig personskade
  • Alvorlig og uoprettelig skade på ejendom eller miljø
  • Alvorlig krænkelse af grundlæggende rettigheder

    • I HR-kontekst: En alvorlig hændelse kan opstå hvis et rekrutteringssystem systematisk diskriminerer på baggrund af et beskyttet karakteristikum (race, køn, alder) og dette medfører betydelig skade for de berørte kandidater.

    En systematisk fejl, der ikke har konkrete negative konsekvenser endnu, er ikke nødvendigvis en "alvorlig hændelse" — men den bør stadig rapporteres til leverandøren og dokumenteres internt.

    Ressourcekrav: Hvad kræver det internt?

    Post-market monitoring kræver ikke et dedikeret AI-overvågningsteam. For de fleste SMV'er og mellemstore virksomheder er det en realistisk opgave der kan integreres i eksisterende HR-processer:

    Månedlig mini-review (1-2 timer):

  • Gennemsyn af systemets output de seneste 4 uger
  • Tjek af override-rate og eventuelle kommentarer fra rekrutteringsansvarlige
  • Gennemsyn af eventuelle tekniske fejlmeldinger

    • Kvartalvis analyse (3-5 timer):

  • Demografisk analyse af systemets output
  • Sammenligning med faktiske ansættelsesbeslutninger
  • Vurdering af om systemet stadig fungerer som forventet
  • Kommunikation til leverandøren ved fund

    • Årlig revision (8-12 timer):

  • Komplet gennemgang af systemets performance og overholdelse af kravene
  • Opdatering af intern dokumentation
  • Eventuel kontakt til leverandøren om systemets fremtid og opdateringsplaner

    • Hvad sker der hvis post-market monitoring opdager et problem?

    Hvis jeres overvågning afslører, at systemet ikke fungerer som forventet eller producerer problematiske output, har I som deployer en forpligtelse til at handle:

    Afbryd brugen midlertidigt hvis der er grund til at tro, at systemet forårsager ulovlig diskrimination eller på anden måde skader berørte personer alvorligt.

    Informer leverandøren om det observerede problem. Bed om en vurdering og en tidsplan for rettelse.

    Dokumentér hvad der er observeret, hvornår, og hvilke foranstaltninger der er truffet.

    Vurdér om hændelsen er rapporteringspligtig til tilsynsmyndighederne.

    Hvad PowerQuant kan hjælpe med

    Post-market monitoring kræver struktur — ikke kompleksitet. PowerQuan

    Klar til at komme i gang?

    PowerQuant leverer AI-inventar, Article 4-register og gap-analyse på 5 arbejdsdage.

    Start med M1 — 10.999 kr