EU AI ACT

AI Act parathedstjekliste for HR-tech deployere

20 konkrete punkter at krydse af inden 2. august 2026. Skrevet for jer, der BRUGER HR-AI (deployer), ikke for jer, der bygger og sælger den. Hvert punkt har en henvisning til den artikel eller bilag, det udspringer af.

Denne tjekliste antager, at I er en mellemstor til stor nordisk virksomhed med en HR-funktion, der bruger en eller flere AI-baserede HR-værktøjer — typisk leveret af tredjepart. Vi kalder jer deployer, fordi det er det udtryk, EU AI Act bruger (Art 3(4)).

Datoer i juni 2026: Art 4 (AI-literacy) og Art 5 (forbud) har været i kraft siden 2. februar 2025. Annex III-pligterne (inkl. Art 26 deployer-pligter) gælder fra 2. august 2026 efter nuværende ordlyd. Kommissionens Digital Omnibus-forslag, politisk aftalt 7. maj 2026 og endosseret af Europa-Parlamentet 16. juni 2026, lægger op til at udskyde Annex III-pligterne til 2. december 2027. Forslaget er endnu ikke offentliggjort i EU-Tidende — planlæg konservativt.

Indhold

1. AI-inventar — fundamentet

Uden et inventar kan ingen af de øvrige punkter besvares konsistent. Start her, selv hvis du tror, I kun bruger ét AI-system.

Kilde: Implicit forudsætning for Art 26 (3)–(5); kortlægning af 'AI systems put into service'.

  • Listet alle AI-systemer på tværs af HR-stackInkl. CV-screening, kandidat-matching, intern chatbot, sentiment-analyse i medarbejderundersøgelser, performance-scoring, planlægnings-AI, AI-features bygget ind i ATS/HRM/LMS.
  • Markeret hvem der er provider vs. deployer for hvert systemI er provider hvis I selv har bygget eller substantielt modificeret systemet. I er deployer hvis I bruger en tredjeparts AI under jeres autoritet. Pligterne adskiller sig væsentligt.
  • Noteret 'general-purpose AI' brugt på HR-dataChatGPT, Copilot, Gemini m.fl. brugt til at skrive jobopslag, screene CV'er eller udarbejde performance-feedback tæller med — også hvis det 'kun' er medarbejdere, der bruger det ad hoc.
  • Hvert systems formål, datainput og output dokumenteretHvilke persondata fodres ind, hvilke beslutninger understøttes, og hvem er den ansvarlige person hos jer.

2. Art 4 — AI-literacy (i kraft siden 2. februar 2025)

Pligten gælder allerede. Tilsyn med håndhævelsen begynder 2. august 2026, men kravet om kompetenceniveau er aktivt nu.

Kilde: Art 4, Regulation (EU) 2024/1689.

  • Identificeret hvilke medarbejdere der 'driver eller bruger' AI på vegne af virksomhedenIkke kun IT — også rekrutterere, HR-business partners, ledere der bruger AI-baserede ansættelses- eller performance-værktøjer, og kundeservice der bruger AI-chatbot.
  • Vurderet hver gruppes nuværende AI-literacy-niveauPligten er at sikre 'tilstrækkeligt' niveau givet teknisk viden, erfaring, uddannelse og den kontekst, AI'en bruges i. 'Tilstrækkeligt' er proportionalt — ikke ensartet.
  • Etableret træningsplan, der lukker dokumenterede hullerKorte, rolle-specifikke moduler er typisk nok. Generel 'AI-bevidsthed' for alle dækker sjældent kravet for medarbejdere, der træffer beslutninger med AI-input.
  • Opretholdt register over gennemført træning per person og rolleDette er beviset, en markedsovervågningsmyndighed vil spørge efter. Excel er nok i starten; ATS/HRIS-felt eller LMS-rapport er bedre.

3. Art 26 — Deployer-pligter for højrisiko HR-AI

Gælder fra 2. august 2026 efter nuværende ordlyd. Hvis Digital Omnibus vedtages som forventet, udskydes datoen til 2. december 2027 — men de 9 nedenstående punkter er uændrede.

Kilde: Art 26, Regulation (EU) 2024/1689.

  • Højrisiko-systemer bruges i overensstemmelse med providers instruktionerLæs faktisk providers 'instructions for use'. Afvigelser skal dokumenteres som risiko og potentielt rapporteres tilbage.
  • Udpeget human oversight med faktisk kompetence og autoritetPersonen skal kunne overrule systemets output. Hvis I 'kun' kan se outputtet men ikke afvise det inden beslutning, opfylder I ikke kravet.
  • Inputdata under jeres kontrol er relevante og repræsentativeHvis I uploader jobopslag, kandidatdata eller medarbejderdata til et tredjepartssystem, er kvaliteten af det input jeres ansvar — også for bias-screening.
  • Driften monitoreres løbendeMindst kvartalsvis logreview, klager fra kandidater/medarbejdere kategoriseres som potentielle hændelser, alvorlige hændelser meldes til provider og myndighed.
  • Automatisk genererede logs opbevares i mindst 6 månederArt 26(6) sætter 6 måneder som minimum, medmindre anden EU- eller national lov kræver længere. GDPR-sletteregler kan trække i modsat retning — afklar opbevaringspolitikken eksplicit.
  • Medarbejderrepræsentanter og berørte ansatte informeret før idriftsættelse på arbejdspladsenArt 26(7): inden et højrisiko-HR-AI tages i brug, skal repræsentanter og berørte medarbejdere informeres i henhold til national arbejds-ret og praksis. I Danmark betyder det typisk SU/MED-udvalg eller tillidsrepræsentant.
  • Berørte fysiske personer informeres, når systemet bruges i beslutninger om demArt 26(11): kandidater og medarbejdere, der er underlagt en højrisiko AI-baseret beslutning, skal vide det. Dette overlapper med GDPR Art 13–14 og Art 22.
  • GDPR DPIA gennemført eller opdateretArt 26(9): brug provider-info til at opfylde Art 35 DPIA, når den gælder. HR-AI med profilering eller systematisk monitorering udløser næsten altid DPIA-pligt.
  • Procedure for at suspendere brug og rapportere alvorlige hændelserArt 26(5): hvis I identificerer alvorlig risiko eller alvorlig hændelse, skal I informere provider/distributør og national markedsovervågning — og pause brugen indtil afklaret.

4. Art 27 — FRIA-screening (begrænset for private HR-deployere)

FRIA (Fundamental Rights Impact Assessment) er IKKE automatisk pligt for private virksomheders ordinære HR-brug. Pligten rammer offentlige organer, private leverandører af offentlige tjenester, samt deployere af kredit-scoring og forsikringsprisning.

Kilde: Art 27, Regulation (EU) 2024/1689.

  • Vurderet om jeres organisation falder under Art 27(1)Offentlig-retligt organ? Privat aktør, der leverer offentlige tjenester? Kredit-/forsikringsscoring? Hvis nej, er FRIA ikke en ufravigelig pligt for jer — men en frivillig FRIA er stadig stærk dokumentation, hvis I bruger højrisiko-HR-AI.
  • Hvis Art 27 gælder: dokumenteret påvirkning af grundlæggende rettighederFRIA skal beskrive processer, perioden for brug, kategorier af berørte personer, specifikke risici, oversight-arrangementer og mitigationsforanstaltninger.

5. Art 50 — Transparens (træder i kraft 2. august 2026)

Gælder bredt — også for HR-chatbots og AI-genereret indhold brugt internt. Digital Omnibus-forslaget (ikke vedtaget) foreslår at udskyde provider-marking af syntetisk indhold til 2. december 2026, men deployer-deadlinen 2. august 2026 og chatbot-disclosure er uændrede.

Kilde: Art 50, Regulation (EU) 2024/1689.

  • HR-chatbots oplyser brugeren om, at de taler med AIGælder kandidat-screening-bots, HR-FAQ-bots, onboarding-bots. Undtagelsen er kun, hvis det 'er åbenbart' for en oplyst bruger — og det er sjældent sandt for indlejrede chat-widgets.
  • AI-genereret tekst om emner af offentlig interesse er mærketHR-stillingsopslag og rene interne dokumenter er typisk ikke 'offentlig interesse', men politik-dokumenter, presse­materiale og diversity-rapporter kan være det.
  • Deepfakes/syntetisk lyd-billede-video markeret som AI-genereretHvis I bruger AI-genererede onboarding-videoer, syntetiske 'leder'-stemmer eller AI-avatarer i rekruttering, skal det disclosureres.

6. Annex III — Højrisiko-vurdering for HR-use cases

Hvis et af jeres AI-systemer falder under Annex III punkt 4(a) eller (b), aktiverer det Art 26 deployer-pligter. Art 6(3) carve-out gælder sjældent for HR pga. profileringsundtagelsen.

Kilde: Annex III pkt. 4 + Art 6(3), Regulation (EU) 2024/1689. Se også /ressourcer/hoejrisiko-klassificering.

  • Markeret hvert HR-AI-system som potentielt højrisiko hvis det rør ved: rekruttering, ansættelsesvilkår, opgaveallokering eller adfærdsmonitoreringAnnex III pkt. 4(a): rekruttering og udvælgelse. Pkt. 4(b): beslutninger om vilkår, forfremmelse, opsigelse, opgaveallokering baseret på personlige træk, performance- og adfærdsmonitorering.
  • Vurderet om Art 6(3) carve-out kan anvendesCarve-out (snæver procedurel opgave / forbedring af tidligere menneskelig vurdering / detektion af afvigelser / forberedende opgave) bortfalder hvis systemet profilerer fysiske personer (GDPR Art 4(4)). De fleste HR-matching- og scoring-værktøjer profilerer.
  • Provider-selvvurdering af carve-out indhentet på skriftHvis providers påstår, at systemet ikke er højrisiko pga. Art 6(3), skal de dokumentere det og registrere det i EU-databasen. Få den dokumentation, før I tager deres ord for det.

Hvad gør I, hvis listen ser uoverkommelig ud?

De fleste HR-tech deployere kan dække punkt 1, 2 og 6 (inventar, Art 4-register, Annex III-vurdering) på under en uge med struktureret hjælp. Punkt 3 (Art 26-deployer-grundpakke) tager længere — særligt human oversight og medarbejder-information kræver intern proces. PowerQuant Module 1 leverer punkt 1, 2 og 6 som fast pris på 5 arbejdsdage.

PowerQuant Module 1: AI-inventar + Art 4 register + Annex III-screening — fast pris, 5 dages levering, fuldt kildehenvist.

Start Module 1 — 10.999 krHar I et spørgeskema fra en kunde? Svar-pakken

Bemærk: Tjeklisten er en praktisk arbejdsguide, ikke juridisk rådgivning. Endelige fortolkninger af EU AI Act ligger hos myndighederne og jeres egen rådgiver. Henvisninger til artikler og bilag peger på Regulation (EU) 2024/1689 i den version, der er offentliggjort i EU-Tidende.