Sådan klassificerer du, om din HR-AI er højrisiko

Beslutningsguiden følger ordlyden i Annex III pkt. 4 (employment, workers management and access to self-employment) og Art 6(3) i Regulation (EU) 2024/1689. Den fanger den mest almindelige fælde for HR-tech deployere: at antage at et matching-, ranking- eller scoring-værktøj kan undsige sig højrisiko via carve-out, når det reelt profilerer kandidater eller medarbejdere.

Beslutningstræet

1. 1

   Bruges systemet i rekruttering, udvælgelse eller HR-beslutninger om ansatte?

   Ja → Gå til trin 2 — systemet kan være Annex III pkt. 4(a) eller (b).

   Nej → Sandsynligvis ikke højrisiko under Annex III pkt. 4. Tjek de øvrige Annex III-punkter, hvis systemet rør ved bl.a. kreditværdighed, biometri eller kritisk infrastruktur.

2. 2

   Hvilken konkret HR-handling understøtter systemet?

   Ja → Mål-jobannoncer, CV-screening, kandidatfiltrering, kandidatvurdering = pkt. 4(a). Beslutninger om ansættelsesvilkår, forfremmelse, opsigelse, opgaveallokering baseret på personlige træk, performance- eller adfærdsmonitorering = pkt. 4(b).

   Nej → Hvis ingen af de ovennævnte: systemet er sandsynligvis ikke Annex III pkt. 4. Pas på 'AI-features' i HR-administrative værktøjer (lønsedler, ferieplanlægning) — de er typisk uden for pkt. 4, men dokumentér dit ræsonnement.

3. 3

   Profilerer systemet fysiske personer (GDPR Art 4(4) forstand)?

   Ja → Hvis ja: Art 6(3) carve-out kan IKKE bruges. Systemet er højrisiko. Profilering er enhver automatiseret behandling, der bruges til at evaluere personlige aspekter — herunder arbejdspræstation, adfærd, præferencer, interesser, pålidelighed. De fleste matching-, ranking- og scoring-værktøjer profilerer.

   Nej → Gå til trin 4 — carve-out KAN måske bruges, men kun hvis en af de fire betingelser i Art 6(3) er opfyldt.

4. 4

   Opfylder systemet en af Art 6(3) carve-out-betingelserne?

   Ja → (a) snæver procedurel opgave, (b) forbedring af resultatet af en allerede gennemført menneskelig aktivitet, (c) detektion af afvigelser fra tidligere beslutningsmønstre uden at erstatte eller påvirke den menneskelige vurdering uden ordentlig human review, (d) forberedende opgave til en Annex III-vurdering. Hvis ja, OG ingen risiko for grundlæggende rettigheder: muligvis IKKE højrisiko.

   Nej → Hvis nej: systemet er højrisiko.

5. 5

   Har providers dokumenteret carve-out-vurderingen?

   Ja → Art 6(4): provider skal dokumentere selvvurderingen OG registrere den i EU-databasen før idriftsættelse. Få dokumentet på skrift — uden det står I selv med risikoen.

   Nej → Hvis nej: behandl systemet som højrisiko, indtil dokumentationen foreligger. Anti-fab-princippet: 'mundtligt forsikret' er ikke dokumentation.

Tre konkrete eksempler

Eksempel 1: AI-baseret CV-screening

En ATS bruger ML til at rangere ansøgere efter sandsynlighed for at matche en stillingsbeskrivelse. Trin 1: ja, det er rekruttering. Trin 2: pkt. 4(a) — analyse og filtrering af ansøgninger. Trin 3: ja, det profilerer (vurderer kandidatens egnethed). Trin 4 og 5 bliver irrelevante. Konklusion: højrisiko.

Eksempel 2: AI, der detekterer dubletter i kandidatdatabasen

Et værktøj scanner kandidatdatabasen for at flage to optegnelser, der sandsynligvis er den samme person. Trin 1: ja, det rør HR. Trin 2: snarere administrativ funktion end udvælgelse — men dokumentér det. Trin 3: profilerer det? Nej, det sammenligner felter for identitet, ikke egnethed. Trin 4: (a) snæver procedurel opgave passer. Trin 5: kræv providers dokumentation. Konklusion: muligvis IKKE højrisiko under Annex III pkt. 4 — men hold carve-out-dokumentationen i mappen.

Eksempel 3: Sentiment-analyse i engagement-undersøgelser

En platform analyserer fritekstsvar fra medarbejder-engagement-undersøgelser og scorer afdelinger på 'sentiment' og 'burnout-risk'. Trin 1: ja, HR. Trin 2: pkt. 4(b) — monitorering og evaluering af adfærd. Trin 3: ja, det profilerer. Konklusion: højrisiko. Bemærk samtidig at GDPR Art 9 (særlige kategorier) og Art 22 (automatiserede afgørelser) kan slå ind.

Hvorfor profileringsundtagelsen er central

Art 6(3) lyder umiddelbart som en bred 'sikkerhedsventil' for deployere. Det er den ikke. Den sidste sætning siger: carve-out gælder ikke, hvis AI-systemet udfører profilering af fysiske personer. GDPR-definitionen af profilering er meget bred — enhver automatiseret evaluering af personlige aspekter (præstation, adfærd, præferencer, pålidelighed osv.) tæller. For HR-tech, hvor matching, ranking og scoring er kerne-funktionalitet, betyder det at carve-out i praksis kun griber for ægte administrative, ikke-evaluerende værktøjer.

Dokumentations-template

Når I har kørt et system igennem trinene, så gem mindst dette per system:

• Systemets navn, version, provider og kontrakt-reference.
• Annex III pkt. 4(a) eller (b)? — citér ordlyden.
• Profilerer systemet? Begrundelse i 2-3 sætninger.
• Hvis carve-out gøres gældende: hvilken af de fire betingelser, og hvor er providers Art 6(4)-dokumentation?
• Konklusion: højrisiko / ikke-højrisiko.
• Dato, ansvarlig person, næste re-vurdering (typisk 12 mdr eller ved version-skift).

Bemærk: Guiden hjælper jer med at strukturere klassificeringen, men den endelige fortolkning af Annex III og Art 6(3) ligger hos myndighederne. Vi leverer software og dokumentation til brug i jeres egen compliance-proces — ikke juridisk rådgivning. Henvisninger til artikler og bilag peger på Regulation (EU) 2024/1689 som offentliggjort i EU-Tidende.