Hvad er EU AI Act, og hvornår gælder den i Danmark?

EU AI Act (Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024) er verdens første bindende og komprehensive regulering af kunstig intelligens. Forordningen er vedtaget af EU og gælder som EU-forordning direkte i alle EU-lande, herunder Danmark, uden implementering i national ret. AI Act trådte graduelt i kraft: forbudte AI-systemer (Art. 5) er gældt fra 2. februar 2025; krav til høj-risiko AI-systemer (Art. 6-51) og transparenskrav er fuldt gældende fra 2. august 2026. AI-kompetence- og litteracitetskrav for medarbejdere er gælder fra 2. august 2025. Forordningen gælder for: (1) udbydere (providers) af AI-systemer, der markedsføres eller tages i brug i EU, uanset om udbyderen er etableret i EU eller ej, (2) deployere (brugere af AI-systemer i erhvervsmæssig sammenhæng), og (3) importører og distributører af AI-systemer. Bøder for overtrædelse varierer efter overtrædelsestype: op til 35 mio. euro eller 7 % af global omsætning for brug af forbudte AI-systemer, op til 15 mio. euro eller 3 % for andre overtrædelser. Det Europæiske AI-kontor (European AI Office) under Kommissionen koordinerer håndhævelsen på EU-plan, mens nationale myndigheder — i Danmark Erhvervsstyrelsen og Datatilsynet — er udpeget som nationale AI-myndigheder.

Kan medarbejdere bruge ChatGPT og lignende tjenester til arbejdsopgaver?

Ja — men med forsigtighed og under hensyntagen til fortroligheds- og GDPR-reglerne. De fleste virksomheder tillader brug af generative AI-tjenester til arbejdsopgaver som tekstforfatning, kodning, opsummering og idégenerering. De centrale regler er: (1) Fortrolige oplysninger og persondata må ikke indsættes i cloud-AI-tjenester i de gratis og standard-versioner — disse data kan potentielt indgå i AI-modellers fremtidige træning. (2) Enterprise-versioner af ChatGPT (OpenAI API, ChatGPT Enterprise), Microsoft 365 Copilot og Google Workspace AI garanterer kontraktmæssigt mod træning på virksomhedens data og tilbyder databehandleraftaler (DPA). (3) AI-genereret output skal kontrolleres for faktuelle fejl, hallucination (AI-modeller kan »opfinde« fakta) og juridiske misforståelser, inden det bruges i kommunikation eller beslutninger. (4) Ophavsret: AI-genereret indhold er ikke ophavsretsbeskyttet af den, der prompter — det bør angives, om indhold er AI-genereret, i sammenhænge, der kræver originalitet eller attribuering. Virksomhedens AI-anvendelsespolitik bør indeholde klare retningslinjer for, hvilke opgaver AI er tilladt til, og hvilke data der ikke må indsættes i AI-tjenester.

Hvad er høj-risiko AI-systemer under AI Act?

Høj-risiko AI-systemer er defineret i AI Act art. 6 og Bilag III og er AI-systemer med potentiel væsentlig negativ indvirkning på menneskers sundhed, sikkerhed eller grundlæggende rettigheder. De primære kategorier i erhvervsmæssig sammenhæng: (1) HR og beskæftigelse: AI til rekruttering og udvælgelse (CV-screening), vurdering af medarbejdere, forfremmelse og opsigelse. (2) Uddannelsesvurdering: AI til scoring og vurdering af studerende og elever. (3) Kredit og forsikring: AI til kreditvurdering af privatpersoner og SMV'er, forsikringspræmieberegning. (4) Kritisk infrastruktur: AI til drift af el-, vand- og gasnet, transport og finansielle systemer. (5) Biometrisk identificering: Fjernidentifikation via ansigtsscanning. (6) Retshåndhævelse og migration: Særligt reguleret. Virksomheder, der deployer høj-risiko AI-systemer, er underlagt krav om: grundig risikovurdering, teknisk dokumentation, menneskelig overvågning, registrering i EU-AI-databasen, proceduremæssig åbenhed over for berørte personer, og sikring af nøjagtighed og ikke-diskrimination. HR-AI-løsninger er en af de hyppigste høj-risiko kategorier for danske virksomheder.

Skal vi informere kunder og brugere om, at vi bruger AI?

Ja — i visse situationer er der en lovpligtig transparensforpligtelse. AI Act art. 50 stiller krav om, at deployers af AI-systemer, der interagerer med mennesker, sikrer, at brugerne oplyses om, at de kommunikerer med et AI-system — medmindre det er indlysende af sammenhængen. Konkret gælder dette for chatbots og AI-drevne kundesupportsystemer: brugeren skal oplyses om, at de kommunikerer med et AI, ikke et menneske. For AI-genereret indhold (tekst, billeder, video), der viser eller lyder som en virkelig person, gælder krav om maskin-læsbar mærkning (deepfake-regler). GDPR art. 22 stiller krav om at informere berørte personer, når automatiserede beslutninger med retlig virkning eller tilsvarende træffes om dem — og give dem ret til menneskelig oversigt og indsigelse. Dansk markedsføringslov § 3 og § 5 om vildledning er relevant, hvis virksomheder fremstiller AI-genereret indhold som menneskefrembragt i sammenhænge, der kan vildlede forbrugerne. Datatilsynets vejledning om AI og gennemsigtighed anbefaler proaktiv oplysning om AI-brug i kundekommunikation.

Hvad er konsekvenserne af at bruge forbudte AI-systemer?

Forbudte AI-systemer er kategoriseret i AI Act art. 5 og udgør en absolut grænse, der ikke kan overskrides. De forbudte kategorier: (1) Social scoring-systemer, der evaluerer personer baseret på social adfærd med negative konsekvenser for uafhængige livsområder. (2) Subliminal manipulation-AI, der påvirker personernes adfærd under bevidsthedsgrænsen. (3) AI, der udnytter sårbare grupper (børn, personer med handicap, ældre). (4) Realtids biometrisk fjernidentifikation i offentlige rum til retshåndhævelse (med begrænsede undtagelser). (5) AI til emotionsovervågning på arbejdspladsen og uddannelsesinstitutioner (med begrænsede undtagelser for sikkerhedsformål). (6) Prædiktiv policing baseret på profilering. Konsekvenserne af at bruge forbudte AI-systemer: bøder op til 35 mio. euro eller 7 % af virksomhedens globale omsætning for det foregående regnskabsår (den højeste af de to). Det Europæiske AI-kontor kan håndhæve på EU-plan, og nationale myndigheder håndhæver nationalt. I Danmark er Erhvervsstyrelsen under udpegning som national AI-myndighed. Forbudet er umiddelbart gældende fra 2. februar 2025 og kræver ingen yderligere implementering.

Skal medarbejdere have AI-kompetencetræning?

Ja — AI Act art. 4 om AI-litteracitet (AI literacy) stiller krav om, at udbydere og deployere af AI-systemer sikrer, at medarbejdere har et tilstrækkeligt niveau af AI-kompetence. Kravet er gældende fra 2. august 2025. Kravet er ikke et specificeret minimumsniveau — det er et proportionatskrav baseret på rolle og AI-systemets risikoniveau. Medarbejdere, der deployerer høj-risiko AI-systemer, kræver mere dybdegående kompetence end medarbejdere, der bruger generative skriveverktøjer. Konkret indebærer kravet: at alle medarbejdere forstår, hvad AI er og kan (og ikke kan), at medarbejdere, der bruger AI i deres arbejde, forstår de relevante risici og begrænsninger, at medarbejdere, der deployerer høj-risiko AI, har specifik viden om systemets formål, begrænsninger og menneskelige overvågningskrav, og at AI-kompetenceuddannelse dokumenteres. En AI-anvendelsespolitik, der inkluderer et uddannelsesprogram, er en god måde at dokumentere overholdelse af AI Act art. 4 på. Det Europæiske AI-kontor forventes at udstede yderligere vejledning om AI-litteracitetskravets konkrete indhold i 2025.

AI-anvendelsespolitik — retningslinjer for brug af kunstig intelligens i virksomheden

EU AI Act (2024/1689) | GDPR | Databeskyttelsesloven (502/2018) | Arbejdsmiljøloven

Identifikation

AI-ANVENDELSESPOLITIK

Virksomhed: [Virksomhed Navn] Adresse: [Virksomhed Adresse] AI-ansvarlig: [Ai Ansvarlig] Ikrafttrædelse: [Ikrafttraeden]

1. Formål og lovgrundlag

1.1 [Virksomhed Navn] har vedtaget denne AI-anvendelsespolitik for at fastlægge retningslinjer for ansvarlig, lovmedholdelig og effektiv brug af kunstig intelligens (AI) i virksomhedens processer og produkter.

1.2 Politikken er udformet under hensyntagen til EU's forordning om kunstig intelligens (AI Act, Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024), databeskyttelsesforordningen (GDPR, forordning 2016/679), databeskyttelsesloven (lov nr. 502 af 23/05/2018) og arbejdsmiljøloven (lovbekendtgørelse nr. 268 af 18/03/2005, LBK nr. 2062 af 16/11/2021).

1.3 AI-ansvarlig for politikkens overholdelse og opdatering: [Ai Ansvarlig].

2. Godkendte AI-systemer og -tjenester

2.1 Virksomheden anvender aktuelt følgende AI-systemer og -tjenester: [Ai Systemer Beskrivelse].

3. Databeskyttelse og fortrolighed

3.1 Behandling af personoplysninger i AI-systemer er underlagt GDPR og databeskyttelsesloven (lov nr. 502 af 23/05/2018). Datatilsynet fører tilsyn med behandlingen af personoplysninger, herunder brug af AI-systemer til behandling af personoplysninger.

3.3 Virksomheden indgår databehandleraftaler med AI-udbydere, der behandler personoplysninger på virksomhedens vegne, jf. GDPR art. 28. Databehandleraftalen regulerer formål, instruks, sikkerhed og sletning.

3.4 Internationale overførsler af personoplysninger til AI-tjenester uden for EU/EØS — herunder til USA-baserede udbydere — skal opfylde GDPR art. 44-49 (tilstrækkelighedsbeslutning, standardkontraktklausuler eller andet overførselsgrundlag). Datatilsynets vejledning om overførsler til tredjelande skal iagttages.

4. EU AI Act — risikoklassificering og forpligtelser

4.1 EU AI Act (forordning 2024/1689) klassificerer AI-systemer i fire risikoniveauer: uacceptabel risiko (forbudt), høj risiko (strengt reguleret), begrænset risiko (transparenskrav) og lav risiko (ingen særlige krav ud over AI Act's generelle principper).

4.2 Virksomhedens primære AI-anvendelse er klassificeret som: [Risikoniveau]. AI-ansvarlig [Ai Ansvarlig] er ansvarlig for løbende at vurdere risikoklassificeringen ved ændringer i AI-anvendelsen.

4.3 Høj-risiko AI-systemer — herunder AI-systemer til HR-beslutninger (ansættelse, forfremmelse, opsigelse), kreditvurdering, uddannelsesvurdering og kritisk infrastruktur — er underlagt strenge krav i AI Act art. 8-15: risikovurdering, teknisk dokumentation, menneskelig overvågning og gennemsigtighed. Brug af høj-risiko AI-systemer kræver udpeget AI-ansvarlig og registrering i EU-databasen.

4.4 Forbudte AI-systemer (AI Act art. 5) må ikke under nogen omstændigheder anvendes: social scoring af borgere, subtil manipulation under bevidsthedsgrænsen, udnyttelse af sårbare grupper, biometrisk fjernidentifikation i realtid i offentlige rum (med begrænsede undtagelser).

5. Menneskelig oversigt og ansvarlighed

5.1 AI-genereret output er et beslutningsstøtteværktøj, ikke en endelig beslutning. Medarbejdere er ansvarlige for kvaliteten og lovligheden af det arbejde, de producerer med AI-hjælp. »Jeg fulgte AI-systemets forslag« er ikke en gyldig undskyldning for fejl eller overtrædelser.

5.2 Automatiserede beslutninger om fysiske personer er reguleret af GDPR art. 22, der giver den registrerede ret til menneskelig vurdering ved beslutninger baseret udelukkende på automatiseret behandling med retlig eller tilsvarende virkning. Virksomheden må ikke træffe sådanne fuldt automatiserede beslutninger uden menneskelig oversigt og — hvor GDPR kræver det — samtykke eller kontraktmæssig nødvendighed.

6. Medarbejdernes regler

6.1 Medarbejdere skal: anvende godkendte AI-systemer, holde fortrolige oplysninger adskilt fra cloud-AI-input, kontrollere AI-genereret indhold for faktuelle fejl inden brug, og rapportere mistanke om AI-fejl eller -sikkerhedshændelser til [Ai Ansvarlig].

6.2 Medarbejdere må ikke: anvende AI til at generere falske eller vildledende indhold, anvende AI til at omgå virksomhedens sikkerhedssystemer, fremstille deepfake-indhold af colleger, kunder eller andre, eller anvende AI til at behandle personoplysninger i strid med GDPR.

6.3 Overtrædelse af AI-anvendelsespolitikken kan medføre disciplinære foranstaltninger i overensstemmelse med ansættelsesaftalen og funktionærloven (lovbekendtgørelse nr. 1002 af 24/08/2017 — lov om retsforholdet mellem arbejdsgivere og funktionærer).

7. Opdatering og revision

7.1 [Virksomhed Navn] reviderer AI-anvendelsespolitikken mindst én gang om året og ved væsentlige ændringer i AI-anvendelsen, den teknologiske udvikling, AI Act-implementeringen eller Datatilsynets vejledning. [Ai Ansvarlig] er ansvarlig for opdateringen og formidlingen til medarbejderne.

Ledelse

________________

Signature

AI-ansvarlig

________________

Signature

Vedligeholdt af Vladislav Sergienko, grundlægger·Skabelon sidst ændret: 2026-06-23·Rapportér en fejl

Hvad er AI-anvendelsespolitik — retningslinjer for brug af kunstig intelligens i virksomheden?

AI-anvendelsespolitikken i Danmark er et internt styrings- og compliancedokument, der fastlægger regler og retningslinjer for virksomhedens og medarbejdernes ansvarlige brug af kunstig intelligens (AI). Dokumentet beskriver, hvilke AI-systemer der er godkendt til brug, hvordan personoplysninger og fortrolige data håndteres, og hvilke forpligtelser virksomheden har under EU's AI-lovgivning. Politikken er et svar på den voksende anvendelse af AI-tjenester som ChatGPT, Microsoft Copilot, Google Gemini og virksomhedsspecifikke AI-løsninger i det danske erhvervsliv.

Det primære lovgrundlag er EU's forordning om kunstig intelligens — AI Act (Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024) — der er verdens første bindende AI-regulering og gælder direkte i alle EU-lande, herunder Danmark. AI Act er graduelt trådt i kraft fra august 2024 med fuld anvendelse fra august 2026. Forordningen klassificerer AI-systemer i fire risikoniveauer og pålægger virksomheder specifikke forpligtelser afhængigt af risikoklassificeringen.

Databeskyttelsesforordningen (GDPR, forordning 2016/679) og databeskyttelsesloven (lov nr. 502 af 23/05/2018) er centralt i AI-politikken, fordi AI-systemer typisk behandler personoplysninger. Datatilsynet har i 2024-2025 udstedt vejledning om AI og GDPR og klargjort, at AI-behandling af personoplysninger er underlagt samtykke- og retsgrundlagsbestemmelserne i GDPR art. 6 og 9. Virksomheder, der anvender cloud-baserede AI-tjenester til at behandle personoplysninger, er som udgangspunkt forpligtet til at indgå databehandleraftaler med AI-udbyderne, jf. GDPR art. 28.

Arbejdsmiljøloven (LBK nr. 2062 af 16/11/2021) er relevant, fordi AI-systemer, der påvirker medarbejdernes arbejdsmiljø — f.eks. overvågningssystemer, præstationsmåling og automatiseret personaleadministration — er underlagt arbejdsmiljølovens regler om psykisk arbejdsmiljø og Arbejdstilsynets tilsyn. Samarbejdsudvalg (SU) og tillidsrepræsentanter har typisk ret til inddragelse ved indførelse af overvågnings- og kontrolsystemer i henhold til den hoveaftale og den tillægsaftale om kontrolforanstaltninger, der regulerer det danske arbejdsmarked.

En AI-anvendelsespolitik er i stigende grad en forretningsmæssig nødvendighed ud over den juridiske forpligtelse. Forsikringsselskaber stiller krav om AI-governance-dokumentation som betingelse for cyberansvarsforsikring. Offentlige ordregivere og store kunder inkluderer AI-compliance i leverandørscreening. Investorer og revisorer spørger til AI-risikostyring i årsrapporter. Og Datatilsynet modtager i stigende grad klager om ulovlig AI-behandling i forbindelse med ansættelse og kundeservice.

Hvornår har du brug for AI-anvendelsespolitik — retningslinjer for brug af kunstig intelligens i virksomheden?

AI-anvendelsespolitikken i Danmark er nødvendig i alle situationer, hvor en virksomhed anvender AI-systemer i sine processer eller produkter.

Første situation er virksomheder, der bruger generative AI-tjenester. Enhver virksomhed, hvis medarbejdere bruger ChatGPT, Claude, Gemini, Microsoft 365 Copilot, GitHub Copilot eller lignende generative AI-tjenester i arbejdstiden, bør have en AI-anvendelsespolitik. Uden klare regler risikerer virksomheden, at medarbejdere utilsigtet uploader fortrolige kundeoplysninger, forretningshemmeligheder eller persondata til cloud-AI-tjenester — med GDPR-bøder og fortrolighedsbrud til følge.

Anden situation er virksomheder, der anvender høj-risiko AI-systemer. AI Act art. 6 og Bilag III klassificerer AI-systemer i HR og rekruttering, kreditvurdering, uddannelsesbedømmelse og kritisk infrastruktur som »høj risiko«. Virksomheder, der bruger AI til at screene CV'er, vurdere kreditansøgninger eller analysere sundhedsdata, er underlagt strenge krav: teknisk dokumentation, risikovurdering, menneskelig oversigt, registrering i EU-databasen og nøjagtigheds- og ikke-diskrimineringskrav.

Tredje situation er virksomheder, der udvikler AI-produkter til kunder. Virksomheder, der udvikler AI-applikationer, AI-as-a-service-produkter eller AI-komponenter til produkter og tjenester, er »AI-udbydere« under AI Act og har udvidede forpligtelser: teknisk dokumentation, testning, CE-mærkning (for høj-risiko AI), registrering og post-market monitoring.

Fjerde situation er dataansvarlige virksomheder med AI-leverandører. Virksomheder, der anvender cloud-baserede AI-tjenester der behandler personoplysninger, er forpligtet til at sikre GDPR-overholdelse — herunder indgå databehandleraftaler og kontrollere, at overførsler til tredjelande er lovlige. AI-politikken beskriver rammerne for disse kontraktuelle forpligtelser.

Femte situation er virksomheder i regulerede brancher. Finansielle virksomheder (banker, forsikringsselskaber, fondsmæglere) er underlagt Finanstilsynets vejledning om AI og operationel risiko. Sundhedsvirksomheder er underlagt MDR (Medical Device Regulation) for medicinsk udstyr med AI. Revisorer og advokater er underlagt branchespecifikke krav om fortrolighed, der berøres af AI-brug.

Sjette situation er virksomheder, der indfører AI-overvågning af medarbejdere. AI-systemer, der overvåger medarbejdernes adfærd, produktivitet eller kommunikation, er underlagt samarbejdsudvalgenes (SU) medindflydelse og Datatilsynets regler om behandling af personoplysninger om medarbejdere. En AI-politik, der er drøftet med tillidsrepræsentanter og SU, er både god corporate governance og arbejdsretlig korrekt fremgangsmåde.

Hvad skal AI-anvendelsespolitik — retningslinjer for brug af kunstig intelligens i virksomheden indeholde

En effektiv AI-anvendelsespolitik til Danmark skal indeholde en række centrale elementer, der adresserer AI Act, GDPR, informationssikkerhed og medarbejderregler.

Formål, anvendelsesområde og lovgrundlag er fundamentet. Politikken definerer AI-begrebet (i overensstemmelse med AI Act art. 3 — maskinbaserede systemer med stor autonomi), de lovkrav, politikken adresserer (AI Act, GDPR, databeskyttelsesloven), og for hvem politikken gælder (alle medarbejdere, leverandører og databehandlere, der handler på virksomhedens vegne).

Katalog over godkendte AI-systemer er en praktisk nødvendighed. Politikken bør indeholde eller referere til en opdateret liste over godkendte AI-tjenester og beskrive godkendelsesproceduren for nye systemer. Datatilsynet anbefaler, at virksomheder kortlægger og dokumenterer alle AI-systemer, der behandler personoplysninger.

AI Act-risikoklassificering er en lovpligtig vurdering. Politikken beskriver virksomhedens AI-systems risikoniveau: forbudt (ingen brug), høj risiko (strenge krav), begrænset risiko (transparenskrav) eller lav risiko. AI-ansvarlig er ansvarlig for klassificeringen og opdateringen.

Databeskyttelse og GDPR er en integreret del. Politikken fastlægger regler om: (1) hvilke personoplysninger der må behandles i AI-systemer, (2) krav om databehandleraftaler med AI-udbydere (GDPR art. 28), (3) behandlingsgrundlag for AI-behandling (samtykke, legitim interesse, kontrakt), og (4) regler for internationale dataoverførsler til AI-udbydere i USA og andre tredjelande (GDPR art. 44-49).

Fortrolighedsregler er kritiske for forretningshemmeligheder. Politikken forbyder eksplicit upload af fortrolige oplysninger, forretningshemmeligheder (lov om forretningshemmeligheder, lov nr. 309 af 25/04/2018), kundedata, konkurrencefølsomme oplysninger og ikke-offentliggjorte finansielle data til cloud-AI-tjenester. Disse data er input til AI-træning, medmindre virksomheden har en enterprise-aftale med AI-udbyderen, der garanterer mod træning på virksomhedens data.

Menneskelig oversigt og ansvarlighed er et AI Act-krav for høj-risiko systemer. Politikken fastlægger, at AI-output er et beslutningsstøtteværktøj, og at medarbejderne er ansvarlige for at kontrollere og validere AI-genereret indhold. GDPR art. 22 om automatiserede beslutninger gennemgås.

Medarbejderregler og konsekvenser er nødvendige for politikkens effektivitet. Klare adfærdsregler, rapporteringsforpligtelser og konsekvenser ved overtrædelse — herunder disciplinære foranstaltninger og eventuel bortvisning i alvorlige tilfælde — giver politikken reel gennemslagskraft. forms-legal.com tilbyder en gratis AI-politikskabelon til danske virksomheder.

Opdateringsforpligtelse er påkrævet i et hurtigt udviklende felt. AI-lovgivning og AI-teknologi udvikler sig hurtigere end nogen anden regulering. Politikken bør revideres mindst én gang om året og ved ny AI Act-implementering.

Sådan udfylder du AI-anvendelsespolitik — retningslinjer for brug af kunstig intelligens i virksomheden

Korrekt udfyldelse af AI-anvendelsespolitikken kræver en systematisk kortlægning af virksomhedens AI-anvendelse og en forståelse af de relevante lovkrav.

Trin 1 — kortlæg AI-anvendelsen: Lav en inventaropgørelse over alle AI-systemer og -tjenester, der bruges i virksomheden — både officielt godkendte og eventuelle »shadow AI«-systemer, som medarbejdere bruger på eget initiativ. Notér udbyderens navn, formålet med AI-systemet, hvilke data der behandles, og om AI-udbyderen behandler personoplysninger på virksomhedens vegne.

Trin 2 — udpeg AI-ansvarlig: Udpeg en AI-ansvarlig (AI Officer eller tilsvarende funktion), der er ansvarlig for overholdelse af AI Act og opdatering af politikken. AI-ansvarlig bør have grundlæggende viden om AI Act, GDPR og informationssikkerhed og bør have mandat til at godkende eller afvise nye AI-systemer.

Trin 3 — klassificér AI-systemerne under AI Act: Gennemgå AI Act Bilag III (høj-risiko AI-systemer) og Art. 5 (forbudte AI-systemer) og vurder, om virksomhedens AI-systemer falder inden for disse kategorier. Høj-risiko kategorier inkluderer: AI i HR og rekruttering, AI til kreditvurdering, AI til uddannelsesvurdering, biometrisk identificering og AI til drift af kritisk infrastruktur. For høj-risiko systemer gælder strenge dokumentations- og overvågningskrav.

Trin 4 — fastlæg regler for fortrolige data og GDPR: Beskriv præcist, hvilke typer data medarbejdere ikke må indsætte i cloud-AI-tjenester uden godkendelse. Kontrollér, om AI-tjenesternes databehandleraftaler (DPA) er i overensstemmelse med GDPR art. 28. Tjek overførselsgrundlag for AI-tjenester med servere i USA eller andre tredjelande.

Trin 5 — beskriv godkendelsesproceduren: Fastlæg en klar procedure for, hvordan medarbejdere kan anmode om godkendelse af nye AI-systemer. Inkludér en tjekliste: GDPR-vurdering, informationssikkerhedsvurdering, AI Act-klassificering og forretningsmæssig begrundelse.

Trin 6 — kommunikér og træn medarbejderne: AI-politikken er kun effektiv, hvis medarbejderne kender den. Introducér politikken ved onboarding, afhold korte træningssessioner, og gør politikken let tilgængelig på intranettet. Praktiske eksempler på, hvad der er tilladt og ikke tilladt med AI, giver politikken liv.

Trin 7 — vedtag og ikraftsæt: Ledelsen vedtager politikken, og den træder i kraft på ikrafttrædelsesdatoen. Inddrag SU og tillidsrepræsentanter ved indførelse af AI-systemer, der påvirker medarbejdernes arbejdsvilkår.

Juridiske krav til AI-anvendelsespolitik — retningslinjer for brug af kunstig intelligens i virksomheden

AI-anvendelsespolitikken i Danmark er underlagt en kombination af EU-retlige og nationale regler, der til sammen regulerer ansvarlig AI-brug i erhvervslivet.

EU AI Act (forordning 2024/1689): AI Act er gradvist trådt i kraft fra august 2024 med fuld anvendelse i august 2026. Forordningen gælder direkte i alle EU-lande. De vigtigste krav: Art. 5 forbyder visse AI-systemer (social scoring, subtil manipulation, biometrisk fjernovervågning i realtid — gældende fra 2. februar 2025). Art. 6 og Bilag III klassificerer høj-risiko AI-systemer i kategorier som HR, kredit, uddannelse og kritisk infrastruktur. Art. 8-15 stiller krav til udbydere og deployere af høj-risiko systemer (risikovurdering, teknisk dokumentation, menneskelig oversigt, registrering i EU AI-databasen). Art. 52 stiller transparenskrav (chatbots skal oplyse om AI-identitet, deepfakes skal mærkes). Art. 4 (AI-litteracitet) — medarbejdere skal sikres tilstrækkelige AI-kompetencer, gældende fra 2. august 2025. Bøder: op til 35 mio. euro eller 7 % af global omsætning for de alvorligste overtrædelser (forbudte systemer), op til 15 mio. euro eller 3 % for øvrige.

GDPR og databeskyttelsesloven: GDPR art. 5 (principper), art. 6 (retsgrundlag), art. 22 (automatiserede beslutninger med retlig virkning), art. 28 (databehandleraftaler med AI-udbydere) og art. 44-49 (internationale overførsler af personoplysninger til AI-udbydere i USA og andre tredjelande) er centrale. Databeskyttelsesloven (lov nr. 502 af 23/05/2018) supplerer med nationale regler. Datatilsynet har udgivet vejledning om AI og GDPR (2024-2025) og fører aktivt tilsyn. Bøder op til 20 mio. euro eller 4 % af global omsætning (GDPR art. 83).

Arbejdsmiljøloven (LBK nr. 2062 af 16/11/2021): § 7 a om elektronisk overvågning af medarbejderes arbejdsindsats stiller krav om inddragelse af samarbejdsudvalget (SU) og tillidsrepræsentanter inden indførelse af AI-overvågningssystemer. Arbejdstilsynet fører tilsyn. Tillægsaftalen om kontrolforanstaltninger (DA/LO-aftale) regulerer yderligere medindflydelsen på arbejdspladsen.

Funktionærloven (LBK nr. 1002 af 24/08/2017): Regulerer ansættelsesvilkår for funktionærer og er relevant ved disciplinære konsekvenser af overtrædelse af AI-politikken — herunder advarsel, opsigelse og bortvisning ved grove tilfælde.

Lov om forretningshemmeligheder (LOV nr. 309 af 25/04/2018): Gennemfører EU-direktiv 2016/943/EU om beskyttelse af know-how og forretningshemmeligheder. Loven beskytter fortrolige forretningsoplysninger mod ulovlig tilegnelse, brug og videregivelse — relevant ved medarbejderes brug af AI med fortrolige data og ved virksomhedens brug af AI-modeller, der er trænet på konkurrenters data.

NIS2-direktivet (direktiv 2022/2555): NIS2 er gennemført i dansk ret og stiller krav til informationssikkerhed i en bred række sektorer. AI-systemer, der behandler kritiske infrastrukturdata eller er integreret i driftskritiske processer, er en del af det NIS2-regulerede informationssikkerhedslandskab. AI-relaterede sikkerhedshændelser rapporteres til CFCS efter NIS2 art. 23.

Ophavsretsloven (LBK nr. 1144 af 23/10/2019): AI-genereret indhold og spørgsmålet om ophavsretsbeskyttelse er et aktivt diskuteret retsområde. Dansk og EU-ophavsret kræver som udgangspunkt et menneskeligt skaberværk — ren AI-generering giver ikke automatisk ophavsretsbeskyttelse. Virksomheder bør i AI-politikken adressere, hvordan AI-genereret indhold håndteres i henseende til ophavsret.

Almindelige fejl i AI-anvendelsespolitik — retningslinjer for brug af kunstig intelligens i virksomheden

Hyppige fejl i AI-anvendelsespolitikker og AI-governance i Danmark resulterer i GDPR-overtrædelser, fortrolighedsbrud og manglende AI Act-overholdelse.

Fejl 1 — ingen regler for fortrolige data i cloud-AI: Den hyppigste og farligste fejl er, at medarbejdere uploader kundedata, forretningshemmeligheder og personoplysninger til ChatGPT og andre cloud-AI-tjenester uden at være klar over, at disse data potentielt indgår i AI-modellers fremtidige træning. Uden en enterprise-aftale med AI-udbyderen og en klar databehandleraftale er denne praksis en potentiel GDPR-overtrædelse og et brud på fortrolighedsforpligtelserne.

Fejl 2 — ingen godkendelsesproces for nye AI-systemer: Virksomheder, der tillader medarbejderne frit at installere og bruge enhver AI-tjeneste (»shadow AI«), mister kontrol over, hvilke personoplysninger der behandles, og af hvem. Datatilsynet kan holde den dataansvarlige virksomhed ansvarlig for behandling foretaget af medarbejdere med ikke-godkendte AI-tjenester.

Fejl 3 — manglende databehandleraftale med AI-udbydere: Mange virksomheder indgår ikke databehandleraftaler (DPA) med AI-udbyderne, selvom disse behandler personoplysninger på virksomhedens vegne. GDPR art. 28 kræver en DPA. De fleste store AI-udbydere (Microsoft, Google, OpenAI for enterprise) tilbyder DPA'er — men de skal aktivt indgås.

Fejl 4 — ingen AI Act-risikovurdering: Virksomheder, der bruger AI til HR-beslutninger (rekruttering, performance-vurdering, opsigelse) eller kreditvurdering, er underlagt AI Act's høj-risiko krav uden nødvendigvis at være opmærksomme på det. Manglende risikovurdering og dokumentation kan medføre bøder, når AI Act er fuldt implementeret.

Fejl 5 — ingen menneskelig oversigt ved automatiserede beslutninger: AI-systemer, der automatisk træffer beslutninger med retlig virkning for enkeltpersoner (f.eks. automatiseret afvisning af jobansøgere, automatiseret kreditafslag), er underlagt GDPR art. 22, der kræver menneskelig oversigt og ret til at gøre indsigelse. Mange virksomheder implementerer fuldt automatiserede beslutninger uden at sikre denne ret.

Fejl 6 — for generisk politik uden konkret implementering: En AI-politik, der blot konstaterer, at »AI skal bruges ansvarligt«, er ikke tilstrækkelig. Politikken skal indeholde konkrete regler, eksempler og en klar godkendelses- og rapporteringsstruktur for at have reel effekt.

Sources & Citations

Statutory citations link to official government sources.

EU AI ActEU official

Citér denne side

Henvis til denne gratis skabelon i en artikel, et pensum eller en forskningsnote:

APA

Forms Legal. (2026). AI-anvendelsespolitik — retningslinjer for brug af kunstig intelligens i virksomheden (Danmark) [Legal document template]. Forms Legal. https://forms-legal.com/da/danmark/business/policies/ai-anvendelsespolitik

MLA

"AI-anvendelsespolitik — retningslinjer for brug af kunstig intelligens i virksomheden (Danmark)." Forms Legal, 2026, https://forms-legal.com/da/danmark/business/policies/ai-anvendelsespolitik.

BibTeX

@misc{formslegal-ai-anvendelsespolitik,
  author       = {{Forms Legal}},
  title        = {AI-anvendelsespolitik — retningslinjer for brug af kunstig intelligens i virksomheden (Danmark)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/da/danmark/business/policies/ai-anvendelsespolitik}},
  note         = {Free legal document template}
}

Ofte stillede spørgsmål

Skabelon med lovhenvisninger — Skabelon senest ændret juni 2026

Denne skabelon stilles kun til rådighed til informationsformål og udgør ikke juridisk rådgivning. Love varierer fra jurisdiktion til jurisdiktion og ændrer sig over tid. Kontakt en kvalificeret advokat for rådgivning, der er specifik for din situation.Fuld ansvarsfraskrivelse

Fandt du en fejl? Sig til