PowerQuant

EU AI Act og rekrutteringsalgoritmer: Hvad HR-tech leverandører skal levere

PowerQuant · EU AI Act compliance for HR-tech

Mange HR-ledere og indkøbere af HR-teknologi tror, at EU AI Act primært er et problem for dem, der *udvikler* AI-systemer. Det er en misforståelse, der kan blive bekostelig.

Når din virksomhed køber og tager et rekrutteringssystem med AI i brug, er du deployer — og som deployer har du konkrete, lovbestemte forpligtelser. Men forpligtelserne stopper ikke der. Du har også krav på bestemte leverancer fra din HR-tech leverandør. Forstår du ikke begge sider, risikerer du at eje et system, du ikke lovligt kan bruge.

Rekrutteringsalgoritmer er høj-risiko AI

EU AI Act Annex III, kategori 4 klassificerer AI-systemer brugt til rekruttering og udvælgelse som høj-risiko AI. Det gælder systemer der:

  • Screener og filtrerer ansøgninger automatisk
  • Rangerer kandidater baseret på algoritmer
  • Vurderer egnethed via videointerview-analyse
  • Genererer anbefalinger om hvem der bør inviteres til samtale

    • Det er ikke et kant-tilfælde eller et fortolkningsspørgsmål. Det er direkte formuleret i Annex III. Fristen for at have styr på høj-risiko AI-systemer under Annex III er 2. december 2027.

    To roller — to sæt forpligtelser

    EU AI Act skelner skarpt mellem provider (den der udvikler og markedsfører AI-systemet) og deployer (den der tager systemet i brug i en konkret kontekst).

    Provider (HR-tech leverandøren):

  • Skal udføre conformity assessment for høj-risiko systemer
  • Skal udarbejde teknisk dokumentation (Annex IV)
  • Skal registrere systemet i EU's AI-database (fra 2. august 2026)
  • Skal udstede EU-overensstemmelseserklæring
  • Skal påsætte CE-mærke
  • Skal levere brugervejledning til deployer

    • Deployer (din virksomhed):

  • Må kun bruge systemet i overensstemmelse med leverandørens instruktioner
  • Skal sikre menneskelig overvågning (Art. 14)
  • Skal informere berørte kandidater (Art. 26, stk. 3)
  • Skal gennemføre fundamental rights impact assessment (FRIA) for visse deployers
  • Skal overvåge systemet i drift og rapportere hændelser (Art. 73)
  • Skal dokumentere brug og opbevare logs i mindst 6 måneder

    • Det afgørende punkt: Dine forpligtelser som deployer kan du ikke opfylde, hvis leverandøren ikke leverer det nødvendige grundlag.

    Hvad du skal kræve af din HR-tech leverandør

    Når du indgår kontrakt om et rekrutteringssystem med AI-komponenter, skal kontrakten — og leverandørens løbende leverancer — sikre adgang til følgende.

    1. Teknisk dokumentation (Annex IV)

    Leverandøren skal kunne levere teknisk dokumentation der beskriver:

  • Systemets overordnede design og formål
  • Hvilke data systemet er trænet på, herunder datakilder og eventuelle skæve repræsentationer (bias)
  • Systemets tekniske performance-metrics: præcision, recall og fejlrater — opdelt på relevante demografiske grupper hvis muligt
  • Kendte begrænsninger og fejlsituationer
  • Krav til deployers drift og brug

    • Du behøver ikke at modtage den komplette tekniske dokumentation med proprietær kildekode. Men du skal have adgang til de dele, der er relevante for at vurdere, om systemet er egnet til din konkrete brug og for at sikre overholdelse af dine deployer-forpligtelser.

    2. EU-overensstemmelseserklæring og CE-mærke

    For høj-risiko AI-systemer skal leverandøren have udstedt en EU-overensstemmelseserklæring inden systemet markedsføres. Fra 2. august 2026 skal systemet også være registreret i EU's AI-database.

    I praksis: Bed leverandøren om dokumentation for, at systemet er conformity-vurderet. Kræv en kopi af overensstemmelseserklæringen. Tjek at CE-mærket er påsat på relevant dokumentation.

    Kan leverandøren ikke dokumentere dette, bør det være et rødt flag.

    3. Brugervejledning til deployer (Art. 13)

    Art. 13 kræver, at høj-risiko AI-systemer leveres med en klar og forståelig brugervejledning. Vejledningen skal som minimum indeholde:

  • Systemets hensigt og formål
  • Begrænsninger og kendte fejlsituationer
  • Nødvendige inputdata og datakvalitetskrav
  • Ydelsesbenchmarks og testresultater
  • Forventede driftsomgivelser
  • Vejledning til menneskelige overvågere: Hvornår bør man ikke følge systemets output?

    • En vejledning der kun forklarer brugergrænsefladen, er ikke tilstrækkeligt. Vejledningen skal sætte dig i stand til at opfylde Art. 14-kravet om menneskelig overvågning.

    4. Oplysninger om bias og demografisk ydeevne

    Rekrutteringsalgoritmer er særligt udsatte for at producere systematisk forskelsbehandling. Et system, der er trænet på historiske ansættelsesbeslutninger i en overvejende mandsdomineret organisation, vil tendere mod at vurdere kvindelige kandidater lavere.

    Art. 9 (risikoledelsessystem) kræver, at providere identificerer og håndterer risici for diskrimination. Du bør kræve, at leverandøren kan dokumentere:

  • Hvilke demografiske variabler der er testet for bias
  • Hvad resultaterne af bias-testningen viser
  • Hvilke foranstaltninger der er truffet for at reducere bias-risici

    • Hvis leverandøren ikke kan besvare dette, bør indkøbet sættes på pause.

    5. Incident-responsplan og rapporteringsprocedurer

    Art. 73 kræver, at alvorlige hændelser rapporteres til markedsovervågningsmyndighederne. Som deployer er du forpligtet til at bidrage til denne rapportering.

    Bed leverandøren om at beskrive:

  • Hvad de anser som en "alvorlig hændelse" i systemets kontekst
  • Hvilke mekanismer der er på plads for at opdage og dokumentere hændelser
  • Hvad leverandørens forpligtelse er i tilfælde af en hændelse, og hvad din som deployers er

    • Kandidaternes rettigheder: Hvad du skal sikre

    Som deployer er du også ansvarlig over for de kandidater, der vurderes af systemet.

    Information (Art. 26, stk. 3): Kandidater skal informeres om, at der bruges høj-risiko AI-systemer i rekrutteringsprocessen. Denne information skal gives på en klar og forståelig måde inden systemet anvendes på den konkrete kandidat. En bemærkning med småt i databeskyttelsespolitikken er ikke tilstrækkeligt.

    Forklaring (Art. 86): I visse tilfælde har kandidater ret til en forklaring af AI-systemets output i forbindelse med beslutninger der påvirker dem. Det kræver, at du selv forstår systemets grundlæggende virkemåde.

    GDPR Art. 22: Kandidater har som udgangspunkt ret til ikke at være genstand for udelukkende automatiserede beslutninger med retsvirkning eller tilsvarende væsentlig påvirkning. Afvisning af en jobansøgning på baggrund af et AI-systems automatiske vurdering — uden menneskelig overvejelse — kan udgøre en ulovlig automatiseret afgørelse.

    Kombinationen af EU AI Act og GDPR Art. 22 betyder i praksis, at en rekrutteringsproces baseret udelukkende på AI-screening, uden menneskelig vurdering af AI's output, sandsynligvis er ulovlig.

    Menneskelig overvågning i rekruttering: Hvad det kræver

    Art. 14 kræver reel menneskelig overvågning — ikke formel godkendelse. I rekrutteringssammenhæng betyder det:

  • Forståelse: Den rekrutteringsansvarlige skal forstå, hvad systemet vurderer, og hvilke begrænsninger det har. Det kræver oplæring.
  • Kapacitet til at handle: Systemets output skal kunne ignoreres eller overrulets på baggrund af menneskelig vurdering. En workflow, der gør det vanskeligt eller besværligt at afvige fra systemets rangering, opfylder ikke Art. 14's hensigt.
  • Dokumentation: Beslutninger om at følge eller afvige fra systemets output bør dokumenteres. Det er ikke et krav i alle tilfælde, men det understøtter din mulighed for at dokumentere menneskelig overvågning.
  • Anomali-detektion: De ansvarlige skal kunne opdage, hvis systemet opfører sig usædvanligt — for eksempel hvis det systematisk sorterer kandidater fra bestemte postnumre fra.

    • H

    Klar til at komme i gang?

    PowerQuant leverer AI-inventar, Article 4-register og gap-analyse på 5 arbejdsdage.

    Start med M1 — 10.999 kr