90% af organisationer, der bruger AI, er deployere, der integrerer tredjeparts modeller — OpenAI, Anthropic, Azure AI eller AI SaaS-værktøjer. Forstå dine forpligtelser: hvad udbyderen skal give dig, hvad du skal gøre, og hvornår du selv bliver udbyder.
Virkeligheden om tredjeparts AI: De fleste organisationer er deployere
Flertallet af europæiske organisationer, der bruger AI, er hverken OpenAI, Mistral eller et forskningslaboratorium. De integrerer eksisterende modeller — via en API, en SaaS-platform, en Azure AI-komponent eller et forretningsværktøjs-plugin. Salesforce Einstein, Copilot til Microsoft 365, en HR-chatbot drevet af en stor sprogmodel, en kreditvurderingsløsning købt fra en specialistleverandør: i alle disse tilfælde er du en deployer af et AI-system bygget af nogen andre.
Denne position er besat af langt de fleste organisationer, der er berørt af EU AI-forordningen. Den medfører præcise forpligtelser — forskellige fra udbyderens, men ikke ubetydelige. Det kan også ændre sig: hvis du modificerer systemet eller videresælger det, ændrer din juridiske status sig.
At forstå din position i AI-værdikæden er det første trin i enhver compliance-indsats.
Dine forpligtelser som deployer
Deployerforpligtelser afhænger af risikoniveauet for det AI-system, du bruger.
For højrisiko-AI-systemer (Bilag III)
Hvis du implementerer et tredjeparts AI-system, der kvalificerer som højrisiko (kreditvurdering, biometrisk identifikation, rekrutteringsscreening, forvaltning af kritisk infrastruktur osv.), er dine forpligtelser under Art. 26:
1. Følg brugsanvisningerne Brug systemet kun til dets tilsigtede formål og i overensstemmelse med de retningslinjer, udbyderen er forpligtet til at levere. At bruge et højrisiko-AI-system uden for dets validerede omfang er en compliance-fejl, selvom du kun er en deployer.
2. Tildel menneskelig tilsyn Udpeg en fysisk person med kompetence, autoritet og ressourcer til at udføre meningsfuldt menneskelig tilsyn over AI-systemets output. Denne person skal kunne forstå, hvad systemet gør, detektere anomalier og override eller standse systemet, når det er nødvendigt.
3. Sørg for inputdatakvalitet Sørg for, at data, du føder ind i systemet, er relevante, tilstrækkelig repræsentative og passende til det tilsigtede formål i din specifikke implementeringskontekst. Et system valideret på én population kan præstere anderledes på din — det er din risiko at styre.
4. Overvåg drift og detektér anomalier Overvåg aktivt systemets drift for anomalier, uventede output eller præstationsforringelse. Dette er ikke udbyderens ansvar i implementering — det er dit.
5. Opbevar logfiler Aktivér og opbevar de automatiserede logfiler, der er produceret af systemet, i den periode, der er krævet af forordningen (og enhver sektorregulering, der kan gælde). Deaktivér ikke logning for at spare lagerplads.
6. Rapportér alvorlige hændelser Hvis du bliver opmærksom på en alvorlig hændelse eller fejlfunktion — en der forårsagede eller kunne forårsage død, alvorlig skade, krænkelser af grundlæggende rettigheder eller væsentlig ejendomsskade — underret udbyderen uden unødig forsinkelse. I visse tilfælde (særligt hvor implementeringen involverer offentlige tjenester eller aktiviteter, der er tilstødende retshåndhævelse) kan direkte rapportering til den nationale markedsovervågningsmyndighed også være krævet.
7. Grundlæggende rettighedskonsekvensanalyse (offentlige organer) Hvis du er et offentligt organ eller en privat enhed, der implementerer AI-systemer i områder, der sandsynligvis påvirker grundlæggende rettigheder (sundhedspleje, sociale tjenester, uddannelse, retshåndhævelse), skal du gennemføre en grundlæggende rettighedskonsekvensanalyse inden implementering (Art. 27).
For kun-gennemsigtighed-AI-systemer (Art. 50)
Hvis du implementerer en chatbot, AI-genereret indholdssystem eller følelsesregistreringsværktøj, der ikke er højrisiko, men falder under Art. 50 gennemsigtighedsforpligtelserne, skal du:
- Informere brugere om, at de interagerer med et AI-system (Art. 50(1))
- Sørge for, at AI-genereret indhold er teknisk mærket (Art. 50(4)), hvor det er relevant
- Informere eksponerede personer, når følelsesregistrering eller biometrisk kategorisering bruges (Art. 50(2)-(3))
Disse forpligtelser gælder, selv når du bruger en tredjeparts API eller SaaS-værktøj. Udbyderen er ansvarlig for at bygge den tekniske kapacitet ind; du er ansvarlig for at aktivere den og sikre, at oplysningen faktisk når brugerne.
For minimal-risiko-AI-systemer
Ingen specifikke juridiske forpligtelser under AI-forordningen. Frivillige adfærdskodekser gælder. God governance-praksis anbefaler stadig grundlæggende dokumentation af AI-systemer i brug og periodisk gennemgang af deres præstation.
Hvad du skal kræve af din tredjeparts AI-udbyder
Din evne til at opfylde deployerforpligtelser afhænger direkte af, hvad udbyderen giver dig. EU AI-forordningen kræver, at udbydere af højrisiko-AI-systemer leverer specifik information — og GPAI-modeludbydere har parallelle dokumentationsforpligtelser. Brug denne tjekliste, når du anskaffer tredjeparts AI:
For ethvert AI-system
- Systembeskrivelse: Hvad gør systemet, hvilke input tager det, hvilke output producerer det, og hvilke beslutninger kan det påvirke?
- Tilsigtet formål: Til præcis hvilke anvendelsestilfælde er systemet designet, valideret og godkendt?
- Kendte begrænsninger: Under hvilke betingelser præsterer systemet dårligt? Hvilke populationer, sprog eller datatyper er uden for dets validerede omfang?
- Brugsanvisninger: Det fulde sæt retningslinjer, udbyderen er forpligtet til at levere under Art. 13 for højrisikosystemer
Specifikt for højrisikosystemer
- Overensstemmelseserklæring eller resumé af overensstemmelsesvurderingsresultater
- Risikostyringsdokumentation — hvilke risici blev identificeret og hvordan blev de afbødet?
- Resultater af skævheds- og retfærdighedstest — hvilke beskyttede egenskaber blev testet, hvilke metrikker blev brugt og hvilke resultater blev fundet?
- Præstationsmetrikker — nøjagtighed, falsk positiv/negativ-rater og disaggregeret præstation på relevante demografiske grupper
- Logningskapacitet — bekræftelse af, at systemet genererer de logfiler, der kræves af Art. 12, og retningslinjer til adgang og opbevaring
- Hændelsesmeddelelsesproces — hvem man kontakter, i hvilken tidsramme og via hvilken kanal, når en alvorlig hændelse opstår
- Opdateringspolitik — hvordan giver udbyderen dig besked om materielle opdateringer og hvilken revalidering kræves efter opdateringer?
For GPAI-modeller (API'er og grundmodel-adgang)
- Modelkort eller teknisk resumé — kapaciteter, begrænsninger, resumé af træningsdata, evalueringsresultater
- Copyright-overholdelseserklæring — hvordan adresserer udbyderen ophavsretslovgivning for træningsdata og output?
- Acceptabel brug-politik — hvilke anvendelsestilfælde er forbudt af udbyderen, og hvad sker der, hvis du overtræder dem?
- Databehandlingsvilkår — hvordan håndterer udbyderen dine inputdata? Bruges de til yderligere træning?
Hvornår du bliver udbyder
EU AI-forordningens Art. 25 er afgørende for tredjeparts AI-brugere: den definerer, hvornår en deployer overgår til udbyder og overtager alle udbyderforpligtelser.
Du bliver udbyder, når du:
1. Væsentligt modificerer et højrisiko-AI-system
Hvis du tager et højrisiko-AI-system og foretager væsentlige ændringer, der går ud over, hvad udbyderen tilsigtede — ændrer modellen, genträner på dine data, ændrer kernologik — er du nu udbyder af et nyt eller væsentligt modificeret system. Alle udbyderforpligtelser gælder: overensstemmelsesvurdering, teknisk dokumentation, CE-mærkning, registrering i EU-databasen.
Nøglespørgsmål: Er din tilpasning "brug inden for de tilsigtede parametre" eller "udvikling af en ny kapacitet"? Finjustering af en model på dine domænedata kan eller må ikke udgøre væsentlig modificering afhængigt af graden af ændring og om det påvirker risikoprofilen.
2. Ændrer det tilsigtede formål til højrisiko
Hvis du tager et system, der ikke er klassificeret som højrisiko, og implementerer det til et højrisiko-anvendelsestilfælde — f.eks. bruger en generel tekstklassificering til at træffe ansættelsesbeslutninger — har du ændret det tilsigtede formål på en måde, der udløser højrisikoclassificering. Du bliver udbyderen af et højrisiko-AI-system og skal overholde alle udbyderforpligtelser for den implementering.
3. Markedsfører systemet under eget navn
Hvis du køber eller licenserer et AI-system og videresælger det eller tilbyder det til andre som eget produkt (white-labelling), markedsfører du det under eget navn og bliver udbyderen. Dette er almindeligt i SaaS-sektoren: integration af en tredjeparts model i dit eget produkttilbud gør dig til udbyderen for det produkt.
4. Foretager større ændringer i en GPAI-model
Hvis du tager en GPAI-model og foretager større modifikationer af dens kapaciteter eller anvendelsestilfælde — ud over finjustering inden for udbyderens tilsigtede parametre — kan du blive udbyder af en ny GPAI-model med dine egne kapitel V-forpligtelser.
Kontraktlige beskyttelser for deployere
Fordi din compliance afhænger af, hvad udbyderen giver dig, er dine kontrakter med tredjeparts AI-leverandører et kritisk compliance-værktøj. Centrale klausuler at inkludere:
Informationsrettigheder
- Ret til at modtage og regelmæssigt opdateret version af brugsanvisningerne
- Ret til at tilgå overensstemmelseserklæringen og overensstemmelsesvurderingsresuméet
- Ret til at modtage resultater af skævhedstest og præstationsmetrikker
- Ret til at modtage dokumentation for materielle modelopdateringer inden implementering
Hændelsesstyring
- Forpligtelse fra udbyderens side til at underrette dig om eventuelle alvorlige hændelser eller sårbarheder, de bliver opmærksomme på, inden for en fastlagt tidsramme
- Klar kanal og proces til at rapportere hændelser til udbyderen
- Tilsagn fra udbyderen om at samarbejde med dine hændelsesundersøgelser og regulatoriske henvendelser
Revisionsrettigheder
- Ret til at revidere eller modtage revisionsrapporter om udbyderens overholdelse af AI-forordningsforpligtelserne
- Ret til at anmode om opdateret dokumentation, når der sker væsentlige ændringer
Opdateringsforpligtelser
- Udbyderen skal underrette dig inden de implementerer materielle opdateringer til AI-systemet
- Udbyderen skal rådgive om, hvorvidt en opdatering udgør en væsentlig modifikation, der kræver revalidering
- Kontinuitet af dokumentation — opdateret teknisk dokumentation skal leveres med hver materiel opdatering
Ansvarsfordeling
- Klarhed om hvilken part der er ansvarlig for hvilke forpligtelser under Art. 25
- Skadesløsholdelse for tab der opstår fra udbyderens manglende overholdelse af leverandørforpligtelserne
- Ansvarsbegrænsningsbestemmelser, der ikke undergraver din evne til at opfylde regulatoriske forpligtelser
AI-leverandørmarkedet: Hvad man skal holde øje med
Markedet for AI-værktøjer og -tjenester udvikler sig hurtigt, og EU AI-forordningens overholdelsesposition hos leverandørerne varierer betydeligt:
- Store cloud- og AI-udbydere (Microsoft, Google, AWS, OpenAI, Anthropic) har investeret kraftigt i AI-governance og GPAI-overholdelsesdokumentation. Deres servicevilkår og modelkort giver mere information end de fleste andre leverandører.
- Specialist vertikale AI-leverandører (HR-tech, legal-tech, fintech, healthtech) er på varierende stadier af EU AI-forordningsparathed. Mange er SMV'er, der endnu ikke fuldt ud har kortlagt deres forpligtelser.
- Integreret AI i SaaS-værktøjer (AI-funktioner i CRM, ERP, produktivitetsværktøjer) er muligvis ikke markedsført som "AI-produkter" — men hvis de træffer eller påvirker konsekvente beslutninger om enkeltpersoner, gælder EU AI-forordningsforpligtelserne.
Indkøbsteams bør tilføje AI-forordnings compliance-screening til due diligence ved leverandørvurdering — bede leverandørerne om at attestere deres compliance-status, levere overensstemmelsdokumentation for højrisikosystemer og forpligte sig til løbende informationsdeling, efterhånden som det regulatoriske landskab udvikler sig.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Ja, som deployere. API-udbyderen (OpenAI, Anthropic) er udbyderen af GPAI-modellen og bærer GPAI-forpligtelserne. Hvis du bygger en applikation på deres API og gør den tilgængelig for brugere, bliver du udbyderen af den pågældende applikation (et AI-system). Du har deployerforpligtelser over for den underliggende GPAI-model og udbyderforpligtelser for dit eget AI-system.
For højrisiko-AI-systemer: leverandøren (som udbyder) skal levere brugsanvisninger (Art. 13) og et resumé af overensstemmelsesvurderingen eller overensstemmelseserklæringen. For GPAI-modeller: udbydere skal levere teknisk dokumentation og information nødvendig for downstream-overholdelse. Kræv kontraktmæssigt: systembeskrivelse, kendte begrænsninger, resultater af skævhedstest, præstationsmetrikker og hændelsesrapporteringsprocedurer.
Kontraktmæssigt kan du fordele ansvar mellem parter — men regulatorisk ansvar kan ikke kontraktmæssigt bortforhandles. Hvis du implementerer et højrisiko-AI-system, har du deployerforpligtelser uanset din aftale. Brug kontrakter til at sikre, at udbyderen giver dig, hvad du har brug for til at opfylde dine forpligtelser, ikke til at undslippe dem.
EU AI-forordningen gælder for AI-systemer markedsført på det europæiske marked uanset hvor udbyderen er etableret. Ikke-EU-udbydere skal udpege en autoriseret repræsentant i EU (Art. 22), der har de samme juridiske forpligtelser som en EU-etableret udbyder. Verificér at leverandøren har en autoriseret repræsentant, inden du implementerer deres AI-system.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.