Forestil dig, at I har brugt seks måneder på at opbygge jeres AI-compliance-dokumentation i en leverandørs platform. Alt er struktureret efter leverandørens skabeloner, gemt i leverandørens format og tilgængeligt via leverandørens login. Så varsles en prisforhøjelse på 40 %. Eller leverandøren lukker produktet ned. Eller I oplever blot, at konkurrenten tilbyder markant bedre service.
Hvad gør I så?
Hvis svaret er "vi ved det faktisk ikke", er det et alvorligt problem. Og det er præcis det problem, vendor lock-in i compliance-software skaber.
Denne artikel forklarer, hvad vendor lock-in betyder i compliance-sammenhæng, hvilke risici det medfører, og hvilke rettigheder I faktisk har ifølge EU-lovgivning. Sidst gennemgår vi de konkrete spørgsmål, ethvert compliance-team bør stille enhver leverandør — inden kontrakt underskrives.
Hvad er vendor lock-in i compliance-software?
Vendor lock-in opstår, når en organisation bliver så afhængig af én leverandørs teknologi, format eller infrastruktur, at det er dyrt, besværligt eller praktisk umuligt at skifte til en alternativ løsning.
I klassisk IT-sammenhæng kender de fleste problemet fra proprietære filformater, databasesystemer eller cloud-tjenester, der kun taler med sig selv. I compliance-software — og særligt AI-compliance-software — er problemet det samme, men konsekvenserne er potentielt langt mere alvorlige.
Compliance-dokumentation er ikke bare en intern ressource. Det er jeres juridiske bevis over for tilsynsmyndigheder, revisionssteder og samarbejdspartnere om, at I overholder gældende regulering. Hvis den dokumentation sidder låst inde i en platform, I ikke kontrollerer, har I et strukturelt problem, uanset om leverandøren er pålidelig i dag.
De tre former for lock-in, compliance-teams møder
Vendor lock-in i compliance-software optræder typisk i tre varianter, der sjældent præsenteres åbent i salgsmøderne.
1. Format-lock
Format-lock opstår, når jeres dokumentation gemmes i et proprietært filformat, der ikke kan læses eller genanvendes uden leverandørens software. Det kan dreje sig om en særlig databasestruktur, krypterede projektfiler eller en web-baseret platform, hvorfra I kun kan eksportere til et format, der ser pænt ud, men ikke er maskinlæsbart.
Problemet er ikke nødvendigvis, at dokumenterne er ulæselige for mennesker. Det er, at I ikke kan overføre dem til et nyt system og beholde strukturen. I skal i praksis starte forfra — og genopbygge måneder eller år af arbejde.
2. Data-lock
Data-lock handler om, hvem der faktisk ejer og kontrollerer jeres data. Mange SaaS-løsninger inkluderer i de juridiske vilkår formuleringer, der giver leverandøren licens til at bruge jeres data til produktforbedring, benchmarking eller lignende. Det er ikke nødvendigvis ulovligt, men det er et problem, hvis jeres compliance-dokumentation indeholder fortrolige forretningsbeslutninger, interne risikovurderinger eller personhenførbare oplysninger.
Derudover er der det praktiske aspekt: Kan I eksportere alle jeres data i et format, I kan bruge — fuldt og komplet — med ét klik? Eller kræver det en supportbillet og en manuel proces, der tager to uger?
3. Kompetence-lock
Den tredje og mindst omtalte form er kompetence-lock. Det opstår, når jeres teams kompetencer og arbejdsgange er bygget op om en specifik leverandørs platform på en måde, der gør det svært at skifte — selv hvis I teknisk set kan eksportere jeres data.
Hvis jeres compliance-ansvarlige ved, hvordan man bruger leverandørens skabeloner, workflows og terminologi, men ikke forstår den underliggende compliance-logik, har I et problem, uanset hvilken software I sidder med. Og det problem løser ingen softwareskifte.
EU Data Act: Portabilitet er en juridisk ret fra september 2025
EU Data Act trådte i kraft den 11. januar 2024 og finder gradvist fuld anvendelse fra september 2025. Forordningen indeholder en række bestemmelser, der er direkte relevante for compliance-teams, der vurderer software-leverandører.
Artikel 23-25 i EU Data Act pålægger cloud-tjenesteudbydere at sikre, at kunder kan skifte til en anden udbyder uden uforholdsmæssige hindringer. Det indebærer konkret:
Artikel 23 kræver, at udbydere tilbyder funktionel ækvivalens i en overgangsperiode, så kunder kan fortsætte driften, mens de migrerer til en ny løsning.
Artikel 24 forbyder udbydere at opkræve gebyrer for dataeksport ud over de faktiske omkostninger ved dataoverførslen — og disse gebyrer skal fastsættes på gennemsigtige vilkår.
Artikel 25 kræver, at udbydere stiller de tekniske grænseflader og dokumentation til rådighed, der er nødvendige for at gennemføre en migration, herunder standardiserede formater hvor sådanne eksisterer.
Det betyder i praksis, at enhver cloud-baseret compliance-softwareleverandør, der opererer i EU, fra september 2025 er forpligtet til at understøtte portabilitet. Ikke som en service, men som en lovpligtig ret.
Alligevel bør I ikke vente på, at en leverandør frivilligt fortæller jer det. Spørg eksplicit, og kræv det i kontrakten.
EU AI Act Art. 11: Dokumentationskravet er format-neutralt
EU AI Act, der finder fuld anvendelse for højrisiko-AI-systemer fra august 2026, stiller i artikel 11 krav om teknisk dokumentation. Det er et krav, mange compliance-teams i øjeblikket arbejder intenst på at efterleve.
Her er et centralt punkt, der overses i mange diskussioner om compliance-software: EU AI Acts krav til teknisk dokumentation specificerer, hvad dokumentationen skal indeholde — ikke hvilket format den skal leveres i. Bilag IV til forordningen beskriver indholdet: systembeskrivelse, designlogik, træningsdata, validering, cybersikkerhed, risikostyring og så videre.
Det betyder, at dokumentation, der opfylder EU AI Acts krav, per definition er portabel — fordi kravet er indholdsbaseret, ikke formatbaseret. Dokumentation, der udelukkende lever i et proprietært system og ikke kan eksporteres til et standardformat, er derimod ikke fuldt regulatorisk compliant, selvom indholdet er korrekt.
Praktisk konsekvens: Hvis en leverandør siger "vores platform er EU AI Act-kompatibel", bør dit opfølgende spørgsmål være: "Kan vi eksportere al dokumentation til PDF og JSON, struktureret efter forordningens bilag IV?" Svaret på det spørgsmål fortæller jer mere end enhver salgspræsentation.
PowerQuants tilgang: Åbne formater som designprincip
PowerQuant er bygget ud fra et enkelt princip: Jeres dokumentation tilhører jer, og I skal altid kunne tage den med jer.
Det indebærer konkret, at alt output fra PowerQuants compliance-dokumentationsproces l