No products added!
Når AI rykker fra eksperimenter til drift, ændrer spillet sig. Det er ikke længere nok, at en model virker. Den skal også kunne forklares, styres, dokumenteres og bruges på en måde, der tåler både kunders spørgsmål og myndigheders kontrol.
To rammer fylder derfor mere og mere i danske organisationers beslutninger: ISO/IEC 42001 og EU AI Act. De handler begge om ansvarlig AI, men de gør det på vidt forskellige måder, og det er netop dér, prioriteringen bliver svær.
To forskellige “sprog” for ansvarlig AI
ISO/IEC 42001 er en international standard for et AI-ledelsessystem. Den er frivillig og minder i sin logik om andre ISO-ledelsesstandarder: tydelige politikker, faste roller, risikostyring, dokumentation og løbende forbedringer.
EU AI Act er derimod lovgivning. Den er bindende, risikobaseret og kan udløse sanktioner, hvis kravene ikke er opfyldt. Den går tættere på konkrete krav til især højrisiko-AI og sætter også regler for gennemsigtighed ved fx chatbots og syntetisk indhold.
Begge rammer kan skabe mere tillid til jeres AI. Den afgørende forskel er, at den ene hjælper jer med at styre, mens den anden kræver, at I kan bevise, at I styrer.
Hurtigt overblik: Hvad adskiller dem i praksis?
Mange teams ender med at tale forbi hinanden, fordi ISO 42001 lyder som compliance, og AI Act lyder som governance. I virkeligheden krydser de hinanden, men med hver sin vægtning.
Her er en sammenligning, der typisk gør det lettere at beslutte rækkefølge og indsats:
| Dimension | ISO/IEC 42001 | EU AI Act |
|---|---|---|
| Juridisk status | Frivillig standard | Bindende EU-forordning |
| Primært fokus | Organisationens AI-styring (processer og ledelsessystem) | AI-systemers risikoniveau og konkrete krav pr. kategori |
| Scope | Organisationsovergribende, teknologi-agnostisk | Gælder leverandører og brugere på EU-markedet, med specifikke anvendelser |
| Bevisbyrde | Auditérbar dokumentation via ledelsessystem og certificering | Teknisk dokumentation, logning, test, overensstemmelse, i visse tilfælde tredjepartsvurdering |
| Sanktioner | Ingen i sig selv | Bøder, påbud, forbud mod markedsføring og krav om tilbagetrækning |
| Styrke | Struktur, roller, kontinuitet og forbedringskultur | Klare minimumskrav, rettighedsbeskyttelse og håndhævelse |
ISO 42001 er ofte det, der får AI ud af “projekt-skuffen” og ind i en gentagelig driftsdisciplin. AI Act er det, der afgør, om I overhovedet må sætte bestemte løsninger i produktion i EU.
EU AI Act: Risikoklasser ændrer jeres arbejdsgang
AI Act deler AI-anvendelser ind efter risiko. Det betyder, at den samme type teknologi kan være lav risiko i én kontekst og høj risiko i en anden. Et tekstværktøj til intern idéudvikling er én ting. Et system, der påvirker ansættelser, kredit, adgang til uddannelse eller sundhedsbeslutninger, er noget andet.
Efter en kort intro til rammerne giver det ofte mening at omsætte AI Act til et internt “klassifikationsarbejde”. Det kan gøres pragmatisk, hvis man starter med at få styr på, hvad I faktisk bruger.
Når organisationer laver deres første AI-overblik, dukker disse mønstre tit op:
- Interne chatbots til support og videnssøgning
- Automatiseret screening eller rangering af kandidater
- Kredit- eller risikomodeller i finansielle flows
- Analyseværktøjer, der påvirker prioritering af borgere, patienter eller kunder
AI Act rammer især hårdt, hvis I udvikler eller leverer AI, der falder i højrisiko-kategorien. Men også som “bruger” kan I få forpligtelser, afhængigt af hvordan systemet bruges, og hvordan leverandøren har designet det.
ISO/IEC 42001: Ledelsessystemet der gør arbejdet gentageligt
ISO 42001 handler mindre om en enkelt model og mere om, hvordan I som organisation beslutter, godkender, drifter og forbedrer AI-løsninger.
Standarden lægger op til, at AI bliver behandlet som et område med governance, på samme måde som informationssikkerhed eller kvalitet: politikker, ansvar, risikoregistre, kompetencekrav, kontrolaktiviteter og intern evaluering.
En vigtig styrke er, at den kan bruges på tværs af både klassisk maskinlæring, generativ AI og regelbaserede systemer. Den bliver dermed et fælles sprog mellem IT, forretning, HR, jura, compliance og ledelse.
Og den giver en metode til at fastholde forbedringer, også når modeller ændrer sig, eller organisationen tager nye AI-områder i brug.
Hvad bør I prioritere først?
Hvis I opererer på EU-markedet, er prioriteringen i udgangspunktet enkel: AI Act først, fordi den er lov.
Men der er en vigtig nuance: Mange organisationer lykkes bedre med AI Act, når de samtidig etablerer ISO-lignende styring. Ikke som et ekstra lag papir, men som en måde at få styr på roller, beslutninger, dokumentation og drift på tværs.
En praktisk tommelfingerregel kan formuleres sådan:
- Lovkrav først: Kortlæg, klassificér og adresser AI Act-krav for de systemer, der kan være højrisiko eller berører gennemsigtighedspligter.
- Systematik tidligt: Brug ISO 42001 som ramme til at gøre indsatsen skalerbar, så I ikke opfinder processen på ny for hvert projekt.
I organisationer med mange teams og mange AI-initiativer bliver ISO 42001 ofte den “motor”, der holder AI Act-arbejdet i gang, når den første travle compliance-periode er overstået.
En 5-trins plan, der binder dem sammen
En effektiv tilgang er at lade AI Act definere, hvor risikoen er størst, og lade ISO 42001 definere, hvordan I arbejder med risikoen hver gang.
Det kan se sådan ud:
- Skab et AI-inventar: Hvilke modeller, værktøjer og leverandører påvirker beslutninger, kommunikation eller kerneprocesser?
- Klassificér efter AI Act: Forbudt, høj risiko, begrænset risiko, minimal risiko, og markér også generelle AI-modeller hvor relevant.
- Etabler governance: Roller, godkendelsesflows, politikker for data, test, ændringer og menneskelig kontrol.
- Byg dokumentationspakken: Teknisk dokumentation, logning, testprotokoller, brugsinstruktioner, risikoregistre og hændelsesstyring.
- Drift og forbedring: Overvåg performance, bias, sikkerhed og ændringer i kontekst, og opdatér kontroller løbende.
Hvis I allerede kører ISO 27001 eller andre ledelsessystemer, kan mange mekanismer genbruges. Det reducerer friktion og gør AI-arbejdet mere acceptabelt i resten af organisationen.
Hvilke leverancer kigger man efter, når man vil være klar?
Mange spørger: “Hvad er det konkrete output?” Det afhænger af, om I er leverandør, integrator eller ren bruger, men et sæt gennemgående leverancer går igen og bliver værdifulde både i audits, kundeforespørgsler og interne reviews.
Det er typisk her, ISO 42001 og AI Act mødes i praksis:
- AI-politik og principper: Hvad accepterer I, og hvad fravælger I, fx i forhold til fairness, privatliv, sikkerhed og menneskelig kontrol.
- Risikoregister for AI: Kendte risici, afbødninger, ejerskab og revisionsfrekvens.
- Datastyring og datalinje: Kilder, kvalitet, repræsentativitet, rettigheder og ændringsstyring.
- Test og overvågning: Metoder til robusthed, nøjagtighed, bias-tests og driftsovervågning, inklusive logning.
- Brugervejledning og transparens: Information til brugere, kunder og interne teams, så korrekt anvendelse bliver realistisk.
Når det sidder, bliver det også lettere at håndtere leverandørstyring. I kan stille klare krav, og I kan svare på kunders spørgsmål uden at starte fra nul.
Certificering, tillid og tempo i markedet
Der er en strategisk dimension, som ofte undervurderes: Når AI bliver en del af produkter og beslutninger, bliver governance en del af salgs- og indkøbsdialogen.
EU AI Act presser på med minimumskrav. ISO 42001 kan fungere som et synligt signal om modenhed, især i udbud, partnerskaber og længerevarende kontrakter, hvor tillid og dokumentation vejer tungt.
Det betyder ikke, at certificering er det rigtige for alle fra dag ét. Men det betyder, at det kan være klogt at bygge jeres interne arbejde, så en certificering er en realistisk mulighed senere, hvis markedet kræver det.
Kompetencer: Den skjulte flaskehals
De fleste udfordringer ved ISO 42001 og AI Act handler ikke om at læse teksterne. De handler om at omsætte dem til praksis på tværs af fagligheder.
En moden organisation får derfor meget ud af at træne teams i fælles begreber og en fælles metode: risikovurdering, dokumentation, testdesign, transparenskrav, leverandørdialog, og hvordan man indbygger menneskelig kontrol i arbejdsgange, der ellers er automatiserede.
For mange professionelle i Danmark giver det mening at vælge praksisnære, AI-integrerede kompetenceforløb, hvor man arbejder med virkelige cases og får en certificering, der kan bruges internt som kvalitetsstempel. Nordisk Business Academy og lignende kursusmiljøer har netop haft fokus på at gøre governance, compliance og AI-anvendelse operationelt, så det ikke ender som en teoretisk øvelse, men som noget der kan implementeres i hverdagen.
Hvor starter man, hvis man vil i gang i næste uge?
Start med at samle et tværfagligt kernehold og give dem et klart mandat. Ikke et stort program. Et mandat til at skabe overblik og træffe de første standardvalg.
Når først inventar og klassifikation er på plads, bliver resten mere håndterbart. I får et prioriteringskort, der gør det tydeligt, hvilke systemer der kræver dyb dokumentation nu, og hvilke der “bare” kræver gennemsigtighed og gode interne regler.
Det er også her, AI ofte bliver en positiv kraft i organisationen: Man får ryddet op, skabt klare beslutningsveje og gjort innovation mere tryg, fordi rammerne er tydelige.
