EU AI ACT · ART. 5/6 + ANNEX III

Risikoklassificering af HR-AI under EU AI Act

EU AI Act har fire risikolag: forbudt, high-risk, limited risk og minimal risk. Næsten alle HR-tech-værktøjer falder i ét af de to øverste. Her er beslutnings-rammen — og de hyppigste forvekslinger.

Klassificeringen styrer alt: hvor stor dokumentations-byrden er, hvilke deadlines der gælder, og hvor høj bøde-risikoen er. At lave klassificeringen forkert er en af de dyreste fejl en HR-tech deployer kan begå. Her er den praktiske flow.

Lag 1 — Forbudt praksis (Article 5)

Article 5 forbyder direkte en række AI-praksisser. For HR-tech er de mest relevante:

Emotion recognition på arbejdspladsen (Art. 5(1)(f)) — snævre medicinske/sikkerhedsmæssige undtagelser
Biometrisk kategorisering der udleder beskyttede karakteristika (Art. 5(1)(g))
Social scoring der fører til uberettiget negativ behandling (Art. 5(1)(c))
Subliminale teknikker der materielt forvrænger adfærd (Art. 5(1)(a))

Forbuddene har været gældende siden 2. februar 2025. Bøde-loft: 35 mio. EUR eller 7 % af global omsætning (Art. 99(3)).

Lag 2 — High-risk (Article 6 + Annex III)

Annex III(4) lister HR-relevante high-risk-systemer eksplicit: rekruttering, work-related decisions, opgaveallokering, monitoring. Hertil kommer Annex III(5) om adgang til offentlige ydelser og Annex III(6) om retshåndhævelse, der kan ramme nogle HR-tech use cases.

Article 6(3) giver en mulig undtagelse: et system listet i Annex III er ikke high-risk hvis det ikke udgør en betydelig risiko for skade på sundhed, sikkerhed eller grundlæggende rettigheder. Udbyderen skal i givet fald dokumentere undtagelsen og registrere systemet i EU's database. Deployers bør være tilbageholdende med at antage undtagelsen uden vendor-attestation.

Lag 3 — Limited risk (Article 50 transparenskrav)

Article 50 dækker AI der interagerer med personer (chatbots), AI der genererer indhold, emotion recognition (uden for arbejdsplads), biometrisk kategorisering og deep-fakes. Deployer-pligten er primært transparens og mærkning. Deadline: 2. august 2026. Læs vores guide til Article 50 deployer-pligter.

Lag 4 — Minimal risk

Værktøjer der hverken er forbudt, high-risk eller falder under Art. 50 — fx ren spam-filtrering, søgefunktion eller produktivitetsforslag uden personrelaterede beslutninger. Her gælder kun generelle krav (fx Art. 4 literacy og GDPR), og dokumentationsbyrden er minimal.

GPAI-laget — General-Purpose AI

Hvis I bygger HR-tech ovenpå en GPAI-model (LLM, vision-model), gælder også Chapter V (GPAI) for leverandøren. Som deployer skal I sikre, at vendor leverer den dokumentation I har brug for til jeres egen Art. 26-evidens. Læs GPAI-modeller i HR-tech.

Beslutnings-flow til klassificering

Er der nogen Art. 5-praksis involveret? Hvis ja → forbudt, stop salget
Er systemet listet i Annex III? (HR-tech: typisk Annex III(4)) → kandidat til high-risk
Er der dokumenteret Art. 6(3)-undtagelse fra vendor? Hvis nej → high-risk
Falder use case under Art. 50 (chatbot/genereret indhold/biometri)? → transparens-pligt
Hvis ingen af ovenstående → minimal risk, kun Art. 4 + GDPR

Relaterede ressourcer: Annex III oversigt, Annex III high-risk-listen (blog), Art. 6 klassifikation (blog), Minimal risk HR-AI.

Regulatorisk forbehold: Klassificering er kontekstafhængig og bør altid valideres juridisk og med vendor-attestation. Kommissionens guidelines (Art. 96) og guidance fra det nationale tilsyn er den autoritative kilde.

Kilder: Forordning (EU) 2024/1689 Art. 5, 6, 26, 50, 99 + Annex III.

PowerQuant Module 1 · 5 hverdage

M1 leverer komplet AI-inventar med risikoklassificering, vendor-attestation- tjekliste, Art. 26-evidens og Article 4 literacy — alt på dansk, klar til DPO og revisor.

Start M1 — 10.999 kr Se M1-pakken