Artikel 18 i forordning (EU) 2024/1689 — Opbevaring af dokumentation. Officiel tekst, praktisk fortolkning, centrale forpligtelser og implikationer for overholdelse.
Resumé af den officielle tekst
Artikel 18 i forordning (EU) 2024/1689 fastlægger obligatoriske krav til opbevaring af dokumentation for udbydere af højrisiko-AI-systemer klassificeret i henhold til bilag III eller udviklet i henhold til bestemmelserne i afsnit III, kapitel 2. Artiklen kræver, at udbydere opbevarer et specifikt sæt dokumenter og optegnelser, der underbygger overholdelsen af forordningen, i en periode på ti år efter den dato, hvor højrisiko-AI-systemet bringes i omsætning eller tages i brug.
Den dokumentation, der skal opbevares, omfatter: den tekniske dokumentation udarbejdet i henhold til artikel 11 og bilag IV; dokumentationen for kvalitetsstyringssystemet krævet af artikel 17; EU-overensstemmelseserklæringen udstedt i henhold til artikel 47; hvor det er relevant, dokumentationen og certifikaterne udstedt af bemyndigede organer efter overensstemmelsesvurderinger i henhold til artikel 43; og planer for overvågning efter markedsføring og deraf følgende data indsamlet i henhold til artikel 72.
Hvis en udbyder er etableret uden for Den Europæiske Union, påhviler forpligtelsen til at opretholde tilgængelig dokumentation i fællesskab udbyderen og den EU-baserede bemyndigede repræsentant udpeget i henhold til artikel 22. Artiklen præciserer endvidere, at hvis sektorspecifik EU-ret — såsom forordningen om medicinsk udstyr (EU) 2017/745 eller maskineforordningen (EU) 2023/1230 — foreskriver en længere opbevaringsperiode for tilsvarende tekniske optegnelser, gælder det strengere sektorspecifikke krav, hvilket sikrer sammenhæng på tværs af reguleringsrammer.
Hvad dette betyder i praksis
For compliance-teams og produktejere omsættes artikel 18 til et konkret program for journalstyring, der skal udformes, inden et højrisiko-AI-system når markedet, ikke tilpasses bagefter.
Hvem er berørt. Enhver juridisk enhed, der kvalificerer sig som "udbyder" i henhold til artikel 3, stk. 3 — typisk den organisation, der udvikler eller lader et højrisiko-AI-system udvikle og bringer det i omsætning under sit eget navn eller varemærke — bærer den primære forpligtelse. Tredjepartsdistributører og importører er ikke direkte underlagt artikel 18, men kan udløse tilsvarende forpligtelser, hvis de væsentligt ændrer et system i henhold til artikel 25.
Hvad der skal opbevares. Forpligtelsen dækker hele den dokumentariske livscyklus: teknisk dokumentation fra designfasen (arkitektur, træningsdatasæt, risikovurdering), kvalitetsstyringssystemets optegnelser inklusive interne revisionslogge, den underskrevne overensstemmelseserklæring, eventuelle certifikater fra bemyndigede organer og den løbende opdaterede post-markedsovervågningsjournal. Versionskontrol er implicit påkrævet, fordi opdateringer, der udgør en væsentlig ændring, genstarter overensstemmelsesforpligtelserne og dermed dokumentationscyklussen.
Praktiske eksempler. Et fintech-selskab, der anvender en kreditscoringsmodel klassificeret som højrisiko, skal arkivere modelbeskrivelsen, afprøvningsrapporter for bias, overensstemmelseserklæringen og alle hændelseslogge efter ibrugtagning i ti år. En medicinsk udstyrsproducent, der integrerer et AI-drevet diagnostisk værktøj, som allerede er omfattet af MDR, skal undersøge, om MDR's 15-årige opbevaringsregel finder anvendelse; i så fald gælder den længere periode.
Operationel anbefaling. Udbydere bør implementere et dokumentstyringssystem (DMS) med rollebaseret adgang, automatiserede opbevaringsplaner knyttet til datoer for markedsføring og et revisionslogspor over, hvem der har haft adgang til eller ændret optegnelser — alt dette understøtter også beredskabet til markedsovervågningsinspektioner i henhold til artikel 74.
Centrale forpligtelser
- Opbevare den tekniske dokumentation samlet i henhold til artikel 11 og bilag IV i mindst 10 år fra datoen for markedsføring eller ibrugtagning af højrisiko-AI-systemet.
- Opbevare dokumentationen for kvalitetsstyringssystemet krævet af artikel 17, herunder optegnelser over interne kontroller, testresultater og korrigerende foranstaltninger, i den samme 10-årige periode.
- Bevare EU-overensstemmelseserklæringen udstedt i henhold til artikel 47 og, hvor en overensstemmelsesvurdering er foretaget af et bemyndiget organ i henhold til artikel 43, alle certifikater og tilhørende korrespondance udstedt af det organ.
- Opretholde post-markedsovervågningsoptegnelser indsamlet i henhold til den plan, der kræves af artikel 72, herunder hændelsesrapporter og eventuelle alvorlige hændelsesnotifikationer indsendt i henhold til artikel 73.
- Sikre, at dokumentation opbevares på en måde, der muliggør hurtig fremlæggelse for nationale markedsovervågningsmyndigheder på anmodning i hele opbevaringsperioden.
- Hvis en bemyndiget repræsentant er udpeget i henhold til artikel 22, skal denne repræsentant besidde en kopi af dokumentationen og være bemyndiget til at fremlægge den for kompetente myndigheder på udbyderens vegne.
Forhold til andre artikler
Artikel 18 fungerer som den arkivmæssige rygrad i compliance-rammen for højrisiko-AI og kan ikke forstås isoleret.
Den er afledt af artikel 11 (teknisk dokumentation) og bilag IV, som definerer, hvad der skal skabes; artikel 18 regulerer derefter, hvor længe det skal opbevares. Den afhænger af artikel 17 (kvalitetsstyringssystem), fordi de QMS-optegnelser, den pålægger, skal bevares. Den refererer til artikel 47 (EU-overensstemmelseserklæring) og artikel 43 (overensstemmelsesvurdering), hvis output udgør en del af den opbevarede sag.
Post-markedsforpligtelser i henhold til artikel 72 (plan for overvågning efter markedsføring) og artikel 73 (rapportering af alvorlige hændelser) bidrager løbende til dokumentarkivet i hele systemets driftslevetid. Artikel 74 (markedsovervågning) og artikel 75 (adgang til data og dokumentation) er håndhævelsesmodparterne: inspektører, der udøver beføjelser i henhold til disse artikler, vil kræve adgang til præcis de optegnelser, som artikel 18 pålægger at opbevare.
For udbydere uden for EU skal artikel 22 om bemyndigede repræsentanter læses i sammenhæng med artikel 18 for at fastslå, hvilken enhed besidder de fysiske eller elektroniske optegnelser inden for Unionen.
Overholdelses-tidslinje
EU's AI-forordning trådte i kraft den 1. august 2024, hvilket indledte den fasede anvendelsesplan.
Artikel 18 henhører under afsnit III, kapitel 3, som regulerer forpligtelser for udbydere og brugere af højrisiko-AI-systemer opført i bilag III. Disse bestemmelser finder anvendelse fra 2. august 2026 — den generelle anvendelsesdato for højrisiko-AI, 24 måneder efter ikrafttrædelse.
For højrisiko-AI-systemer omfattet af sektorlovgivningen opført i bilag I (f.eks. maskiner, medicinsk udstyr, civil luftfart) forlænges fristen til 2. august 2027, 36 måneder efter ikrafttrædelse, i erkendelse af behovet for at tilpasse sig eksisterende sektorspecifikke overensstemmelsesrammer.
Udbydere bør bemærke, at de 10 års opbevaringsperiode begynder at løbe fra det tidspunkt, hvor et system bringes i omsætning eller tages i brug — hvilket kan ske på eller kort efter den gældende anvendelsesdato. Dokumentationsforpligtelserne begynder derfor reelt fra samme dato, som højrisikoforpligtelserne som helhed bliver håndhævelige. Organisationer, der forventer at bringe systemer i omsætning på eller nær august 2026-datoen, bør have deres journalstyringsinfrastruktur operationel i god tid, da teknisk dokumentation i henhold til artikel 11 skal foreligge, inden overensstemmelsesvurderingen er afsluttet.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Udbydere skal opbevare den tekniske dokumentation udarbejdet i henhold til artikel 11, EU-overensstemmelseserklæringen, dokumentationen for kvalitetsstyringssystemet krævet af artikel 17, alle afgørelser og dokumenter udstedt af bemyndigede organer samt rapporter om overvågning efter markedsføring. Disse optegnelser skal opbevares i 10 år efter, at højrisiko-AI-systemet er blevet bragt i omsætning eller taget i brug.
Artikel 18 pålægger primært udbydere forpligtelser til opbevaring af dokumentation. Brugere har dog separate forpligtelser i henhold til artikel 26, herunder opbevaring af logs, der automatisk genereres af højrisiko-AI-systemer, i det omfang sådanne logs er under deres kontrol. De to forpligtelser er komplementære og bør læses i sammenhæng.
Den generelle opbevaringsperiode er 10 år fra den dato, hvor højrisiko-AI-systemet bringes i omsætning eller tages i brug. Hvis sektorspecifik EU-ret foreskriver en længere opbevaringsperiode, gælder det strengere sektorspecifikke krav.
Dokumentation skal opbevares således, at den kan stilles til rådighed for nationale kompetente myndigheder på anmodning i hele opbevaringsperioden. Der er intet udtrykkelig krav om, at optegnelser skal opbevares i et bestemt land, men udbydere skal hurtigt kunne fremlægge dem for markedsovervågningsmyndigheden i enhver medlemsstat, hvor systemet er taget i brug.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.