No products added!
EU AI Act ændrer spillereglerne for, hvordan organisationer køber, bruger og styrer AI. Ikke kun for dem, der udvikler AI, men også for dem, der indkøber software, platforme, SaaS-løsninger og “AI-funktioner” i eksisterende systemer. Når leverandørens dokumentation, CE-arbejde, logning og risikostyring bliver en del af compliance-billedet, flytter ansvaret tættere på indkøb, jura, IT og forretningen.
En målrettet workshop om leverandørkrav og due diligence gør det muligt at omsætte forordningens krav til konkret praksis: udbudsmateriale, kontraktklausuler, DPA’er, kontrolspørgsmål og en dokumentationspakke, der kan tåle et tilsyn.
Hvorfor leverandørkrav nu er et indkøbsanliggende
Mange AI-køb ligner “almindelige” IT-køb, indtil man ser på risikoprofilen. En HR-løsning med screening, et værktøj til kreditvurdering, en overvågningsfunktion i en app eller et beslutningsstøttesystem i sundhed og offentlig service kan falde i kategorier, hvor EU AI Act stiller markant højere krav.
Det betyder, at due diligence ikke længere kan stoppe ved informationssikkerhed, drift, pris og GDPR. I stedet bliver spørgsmålet: Kan leverandøren dokumentere, at systemet opfylder EU AI Act, og kan I som købere føre kontrol gennem hele livscyklussen?
Det er netop den bro, en workshop skal bygge: fra lovtekst til indkøbsrutiner, kontraktbilag og løbende leverandørstyring.
Hvad EU AI Act typisk kræver af leverandører, og hvad I bør efterspørge
For højrisiko-AI og udvalgte andre anvendelser er der et mønster i kravene: risikostyring, datagovernance, teknisk dokumentation, logning, transparens, menneskeligt tilsyn og processer for hændelser efter idriftsættelse.
Efter en kort afklaring af, om en løsning er højrisiko, begrænset risiko eller falder uden for de centrale krav, arbejder man i praksis med en række “beviser” og kontrolpunkter. Det er her indkøb og jura får brug for et fælles sprog med IT og forretningen.
Det kan være relevant at stille krav og spørgsmål inden for disse områder:
- Formål og brugskontekst
- Klassifikation og risikoniveau
- Overensstemmelsesvurdering og CE-relateret dokumentation
- Logning, auditspor og adgang til hændelsesdata
- Eftermarkeds-overvågning og incident-rapportering
- Transparens over for brugere og interne teams
Due diligence workshop: format, arbejdsform og udbytte
Workshoppen er designet som et praksisforløb, hvor deltagerne arbejder med egne indkøbsscenarier eller realistiske cases. Målet er at ende med artefakter, der kan bruges direkte i indkøb og kontrakter, ikke bare en liste over krav.
Nordisk Business Academy tilrettelægger typisk forløbet, så det passer til både private virksomheder og offentlige organisationer, og så det kan gennemføres online med høj deltageraktivitet.
Et typisk forløb kan bygges op omkring disse trin:
- Afklaring af AI-typer og risikoniveau i jeres købsmønstre
- Kortlægning af leverandørkæden: udbyder, importør, distributør, integrator, underleverandører
- Dokumentationskrav: hvad der skal findes, og hvad der skal kunne udleveres ved forespørgsel
- Kontraktgreb: klausuler, bilag, ansvarsplacering og revisionsrettigheder
- Driftskrav: logning, adgang, hændelser, ændringsstyring og leverandørmøder
- Output: tjeklister, kravtekster og en “minimumspakke” til udbud/indkøb
Indkøb, kontrakter og DPA’er: sådan hænger det sammen i praksis
EU AI Act står ikke alene. Når AI-løsningen behandler personoplysninger, skal GDPR-arbejdet spille sammen med AI Act-kravene, og databehandleraftaler (DPA’er) skal kunne bære den virkelighed, som AI skaber: logs, testdata, modelopdateringer, underdatabehandlere og eventuelle dataoverførsler.
Samtidig bliver myndighedsbilledet mere komplekst. Databeskyttelsesmyndigheder kan få en central rolle i tilsyn, især når højrisiko-systemer behandler personoplysninger. Det øger værdien af at have dokumentationen samlet, sporbar og kontraktuelt sikret, så I kan reagere hurtigt ved audit, klager eller hændelser.
I workshoppen arbejder man derfor konkret med at formulere krav, der både er juridisk holdbare og operationelt realistiske:
- Dokumentationsret: Hvilke dokumenter kan I kræve udleveret, hvornår, og i hvilket format?
- Audit og kontrol: Hvordan sikres revisionsrettigheder uden at få et kontraktvilkår, ingen kan efterleve?
- Ændringer i systemet: Hvad sker der, når leverandøren opdaterer model, data eller funktionalitet?
- Hændelser: Hvordan defineres “alvorlig hændelse”, og hvem gør hvad i de første 24-72 timer?
- DPA-samspil: Hvordan undgår I, at DPA’en siger ét, mens AI-bilaget siger noget andet?
Dokumentation og leverancer: hvad I står med bagefter
Efter workshoppen giver det mening, at deltagerne kan tage direkte videre til næste indkøb eller genforhandling. Derfor er outputs ofte skabeloner og beslutningsstøtte, der kan standardiseres på tværs af afdelinger.
Nedenfor er en oversigt, der kan bruges som mål for workshoppen og som intern forventningsafstemning.
| Område | Hvad I typisk udarbejder | Hvem bruger det |
|---|---|---|
| Leverandørscreening | Due diligence-tjekliste og krav til dokumentpakke | Indkøb, IT, compliance |
| Kontraktgrundlag | AI Act-bilag med garantier, transparens, audit, hændelser | Jura, indkøb |
| DPA og datastyring | Tilpasninger til DPA, log-adgang, underleverandører, retention | Jura, DPO, IT |
| Drift og governance | RACI for ansvar, mødestruktur, KPI’er for leverandørcompliance | Systemejer, drift, ledelse |
| Dokumentationsarkiv | Struktur for opbevaring, versionering og udleveringsproces | Compliance, IT, kvalitet |
Nogle organisationer vælger også at koble materialet til et AI-ledelsessystem eller kendte standarder, så dokumentation, kontroller og opfølgning bliver en del af en fast rytme.
Hvad der gør due diligence stærk, når AI er en del af leverancen
De bedste processer er dem, der kan overleve travlhed. Workshoppen fokuserer derfor på at gøre kravene målbare og lette at følge, uden at de bliver overfladiske.
Det betyder ofte, at man samler kravene i få, tydelige mekanismer i kontrakten og i leverandørstyringen:
- Klare minimumskrav til dokumentation før underskrift
- Fast cadence for opfølgning efter idriftsættelse
- Ret til indsigt i logs og relevante testresultater, når det er sagligt begrundet
- Forpligtelse til at informere ved væsentlige ændringer og hændelser
- Praktisk håndtering af fortrolighed, IP og sikkerhed, så audit ikke bliver en kamp
Hvem workshoppen passer til
Workshoppen giver mest værdi, når flere funktioner deltager, og når der er et konkret indkøb, en kontraktfornyelse eller et leverandørsetup, der skal strammes op.
Den er relevant for teams og nøglepersoner med ansvar for AI-relaterede indkøb og leverandører, typisk:
- Indkøb og supplier management
- Juridisk afdeling og kontraktansvarlige
- DPO, privacy og informationssikkerhed
- IT-arkitektur, drift og systemejere
- HR, marketing, salg eller fagområder, der bruger AI i kerneprocesser
Fleksibel afvikling og kompetenceløft med certificering
Nordisk Business Academy arbejder med praksisnære forløb, hvor AI er en rød tråd på tværs af fagområder, og hvor deltagerne får metoder og skabeloner, de kan bruge med det samme. Workshoppen kan gennemføres som et koncentreret online-format eller som et modulforløb, hvor deltagerne afprøver materialet mellem sessioner.
Der kan også bygges et spor med videnscheck og certificering, hvis organisationen ønsker dokumentation for kompetenceløftet internt, over for ledelse eller som del af leverandørstyring.
Typiske næste skridt efter workshoppen
Når materialet er på plads, går arbejdet ofte hurtigt, fordi beslutningerne allerede er taget i fællesskab.
Mange starter med at opdatere udbudstekster og standardkontrakter, etablerer en fast due diligence-pakke pr. AI-køb og indfører en enkel, tilbagevendende kontrol af leverandørens dokumentation, logning og hændelsesberedskab. Samtidig får DPA og AI-bilag en mere moden sammenhæng, så compliance ikke bliver et kludetæppe, men en styrbar proces.
