EU AI Act: Hvad de nye AI-regler betyder for dig i 2026

EU AI Act er verdens første omfattende AI-lovgivning — og den træder i kraft trinvist fra 2025 til 2027. Fra august 2026 gælder hovedparten af reglerne, og de berører alt fra ChatGPT og AI-genereret indhold til ansættelsesprocesser og kreditvurderinger. Denne guide forklarer, hvad loven indeholder, hvilke tidsfrister der gælder, og hvad det konkret betyder for dig som dansk borger, studerende eller virksomhedsejer.

Hvad er EU AI Act?

EU AI Act (forordning 2024/1689) er en europæisk forordning, der regulerer udvikling, distribution og brug af kunstig intelligens i EU. Forordningen blev vedtaget af Europa-Parlamentet den 13. marts 2024 og offentliggjort i EU-Tidende den 12. juli 2024. Den gælder direkte i alle 27 EU-medlemslande — herunder Danmark — uden behov for national lovgivning.

Formålet med EU AI Act er todelt: at beskytte borgernes grundlæggende rettigheder mod skadelig brug af AI og samtidig skabe klare rammer, der fremmer innovation og tillid til AI-teknologi. Lovgivningen er inspireret af EU's succesfulde tilgang med GDPR, hvor Europa satte den globale standard for databeskyttelse — og ambitionen er at gøre det samme for kunstig intelligens.

EU AI Act adskiller sig fra anden teknologilovgivning ved at anvende en risikobaseret tilgang: Jo højere risiko et AI-system udgør, jo strengere regler skal det overholde. Det betyder, at harmløse AI-værktøjer som stavekontrol og musik-anbefalinger stort set er uberørte, mens AI-systemer, der træffer afgørelser om menneskers liv, karriere og rettigheder, er underlagt strenge krav. For en grundlæggende forståelse af teknologien bag, kan du læse vores guide til hvad kunstig intelligens er.

Tidslinje: Hvornår træder reglerne i kraft?

EU AI Act træder ikke i kraft på én gang, men i fire faser over to år. Her er den komplette tidslinje:

Det vigtigste at bemærke er, at forbuddene allerede gælder — de trådte i kraft den 2. februar 2025. Så hvis din virksomhed anvender AI-systemer, der falder i kategorien "uacceptabel risiko", skal I stoppe omgående. Hovedparten af de øvrige regler, herunder kravene til højrisiko-AI og generelle AI-modeller som GPT-4 og Gemini, træder i kraft den 2. august 2026.

De fire risikokategorier

Kernen i EU AI Act er en opdeling af AI-systemer i fire risikokategorier. Kategorien afgør, hvilke krav der stilles til systemet — fra ingen krav til totalt forbud.

1. Uacceptabel risiko (forbudt)

Visse AI-praksisser er så skadelige, at de er helt forbudt i EU. Forbuddet gælder allerede fra februar 2025. Det drejer sig om:

• Social scoring — AI-systemer, der bedømmer borgere baseret på adfærd og giver fordele eller straffe (som Kinas sociale kreditsystem).
• Manipulativ AI — systemer, der udnytter sårbare grupper (børn, ældre, personer med handicap) gennem skjulte teknikker, der påvirker adfærd.
• Realtids biometrisk masseovervågning — brug af ansigtsgenkendelse i det offentlige rum i realtid (med snævre undtagelser for alvorlig kriminalitet).
• Prædiktiv politiindsats — AI, der vurderer en persons risiko for at begå kriminalitet udelukkende baseret på profilering eller personlighedstræk.
• Uretmæssig indsamling af ansigtsdata — scraping af ansigter fra internettet eller overvågningskameraer til opbygning af ansigtsgenkendelsesdatabaser.
• Følelsesregistrering på arbejdspladsen og i skoler — AI, der analyserer medarbejderes eller elevers følelser, medmindre det er af medicinske eller sikkerhedsmæssige årsager.

2. Højrisiko

AI-systemer, der kan have væsentlig indvirkning på menneskers liv, klassificeres som højrisiko og skal overholde strenge krav. Eksempler inkluderer:

• Rekruttering og HR — AI, der sorterer CV'er, rangerer kandidater eller træffer ansættelsesbeslutninger.
• Kreditvurdering — AI, der vurderer, om du kan få et lån eller et kreditkort.
• Uddannelse — AI, der tildeler karakterer, bestemmer optagelse eller styrer adgang til uddannelse.
• Retshåndhævelse — AI til bevisanalyse, risikovurdering af kriminalitet eller polygraftesting.
• Migration og grænse — AI, der vurderer asylansøgninger eller verificerer rejsedokumenter.
• Kritisk infrastruktur — AI i vand- og elforsyning, trafik og sundhedsydelser.

For højrisiko-systemer gælder krav om risikovurdering, datakvalitet, logning, menneskeligt tilsyn, gennemsigtighed og CE-mærkning, før systemet må markedsføres i EU.

3. Begrænset risiko (transparenskrav)

AI-systemer med begrænset risiko skal overholde transparenskrav, men er ikke underlagt det fulde sæt af højrisiko-regler. Det gælder bl.a.:

• Chatbots — brugere skal oplyses om, at de kommunikerer med AI (gælder f.eks. ChatGPT, Gemini, Claude).
• AI-genereret indhold — tekst, billeder, lyd og video skabt af AI skal mærkes tydeligt, så modtagere ved, at indholdet er kunstigt.
• Deepfakes — syntetiske billeder, videoer eller lydklip, der efterligner virkelige personer, skal have tydelig AI-markering.

Disse regler er særligt relevante for dig som bruger af AI-værktøjer. De betyder, at du har ret til at vide, hvornår du interagerer med en AI — og at AI-genereret indhold skal mærkes, så du kan skelne det fra menneskeskabt indhold. Læs mere om, hvordan dette påvirker studerende, i vores guide om AI og eksamen i 2026.

4. Minimal risiko (ingen krav)

Langt de fleste AI-systemer falder i kategorien minimal risiko og er ikke underlagt specifikke krav under EU AI Act. Det gælder f.eks.:

• AI-drevet stavekontrol og grammatikhjælp
• Spamfiltre i e-mail
• Anbefalingsalgoritmer (musik, film, nyheder)
• AI i computerspil
• Skriveassistenter som SkrivSikkert

Selvom der ingen lovkrav er, opfordrer EU AI Act til, at udviklere af minimal-risiko-systemer frivilligt følger adfærdskodekser for ansvarlig AI-praksis.

Hvad betyder det for dig som borger?

EU AI Act giver danske borgere nye rettigheder og beskyttelser i mødet med kunstig intelligens. Her er de vigtigste ændringer, du vil opleve:

Ret til at vide, når du taler med en AI

Når du ringer til kundeservice, chatter med support eller modtager automatiserede beskeder, skal du fremover informeres om, at det er en AI, du kommunikerer med — ikke et menneske. Det gælder alle chatbots, virtuelle assistenter og AI-drevne telefonsystemer.

AI-indhold skal mærkes

Billeder, videoer, lydklip og tekster, der er genereret af AI, skal mærkes tydeligt. Det betyder, at deepfakes, AI-genererede nyhedsartikler og syntetiske sociale medie-opslag skal have en klar markering. Formålet er at bekæmpe misinformation og give dig mulighed for at vurdere kilden til det indhold, du møder online.

Beskyttelse mod diskriminerende AI

Hvis en AI bruges til at vurdere din låneansøgning, dit CV eller din eksamen, er der krav om, at systemet er testet for bias og diskrimination. Du har også ret til en forklaring, hvis en AI-beslutning påvirker dig negativt — og i visse tilfælde ret til at få beslutningen vurderet af et menneske.

Ingen skjult manipulation

AI-systemer, der forsøger at manipulere din adfærd gennem skjulte teknikker — f.eks. subtile nudges, der udnytter psykologiske svagheder — er direkte forbudt. Det beskytter særligt børn, ældre og personer med kognitive udfordringer mod digital udnyttelse.

Hvad skal virksomheder gøre?

For danske virksomheder, der udvikler, distribuerer eller anvender AI, medfører EU AI Act konkrete forpligtelser. Størrelsen af opgaven afhænger af, hvilken risikokategori virksomhedens AI-systemer falder i.

Alle virksomheder der bruger AI

• Kortlæg jeres AI-systemer — identificér alle AI-værktøjer I bruger, fra rekruttering til kundeservice, og vurdér hvilken risikokategori de tilhører.
• Sørg for AI-kompetence — EU AI Act kræver (artikel 4), at alle medarbejdere, der arbejder med AI, har tilstrækkelig AI-literacy. Det betyder konkret, at I skal uddanne personale i grundlæggende AI-forståelse og ansvarlig brug.
• Informér brugere — hvis kunder eller medarbejdere interagerer med AI-systemer (chatbots, automatiserede afgørelser), skal de informeres tydeligt.

Virksomheder med højrisiko-AI

• Gennemfør risikovurdering — dokumentér potentielle risici og iværksæt afbødende foranstaltninger.
• Etablér datakvalitetskrav — sikr at træningsdata er relevant, repræsentativ og fri for skadelig bias.
• Implementér logning — AI-systemet skal logge beslutninger, så de kan spores og revideres.
• Sikr menneskeligt tilsyn — der skal altid være en menneskelig kontrol over AI-beslutninger, der påvirker enkeltpersoner.
• CE-mærkning — før et højrisiko-AI-system kan markedsføres i EU, skal det gennemgå en overensstemmelsesvurdering og CE-mærkes.

Udbydere af generelle AI-modeller (GPAI)

Virksomheder som OpenAI, Google og Anthropic, der udvikler store sprogmodeller (LLM'er), skal fra august 2026 overholde specifikke transparenskrav:

• Offentliggøre en teknisk dokumentation af modellen
• Oplyse om træningsdata og ophavsretspolitik
• Oplyse om energiforbrug og CO₂-aftryk ved træning
• Samarbejde med downstream-udbydere, så de kan overholde reglerne

Modeller med "systemisk risiko" (defineret som modeller trænet med mere end 10²⁵ FLOP) skal desuden gennemgå adversarial testing, rapportere alvorlige hændelser og sikre passende cybersikkerhed.

Danske myndigheder og implementering

Danmark er forpligtet til at udpege nationale myndigheder til at håndhæve EU AI Act. Her er de vigtigste aktører:

Digitaliseringsstyrelsen

Digitaliseringsstyrelsen under Finansministeriet forventes at spille en central rolle som koordinerende national myndighed for AI-regulering i Danmark. Styrelsen har allerede publiceret retningslinjer for ansvarlig brug af AI i det offentlige og arbejder med AI-strategien for den danske stat.

Datatilsynet

Datatilsynet — Danmarks databeskyttelsesmyndighed — får en vigtig rolle i at håndhæve EU AI Act, særligt hvor AI-regulering overlapper med GDPR. Det gælder bl.a. AI-systemer, der behandler personoplysninger, biometriske data eller bruges til profilering. Datatilsynet har allerede erfaring med at vurdere AI-systemers overholdelse af databeskyttelsesreglerne og forventes at være en nøgleaktør i håndhævelsen.

aiact.dk og informationsressourcer

EU-Kommissionen har oprettet dedikerede informationsressourcer om AI Act, og på dansk kan du finde vejledning via officielle kanaler. Siden aiact.dk samler ressourcer, der hjælper danske virksomheder og organisationer med at forstå og forberede sig på de nye regler. Her finder du vejledninger, tjeklister og FAQ'er om implementeringen. For daglige brugere af AI-værktøjer, har du også mulighed for at tjekke sikkerhedsaspekter af specifikke tjenester — se f.eks. vores analyse af DeepSeek og datasikkerhed.

Bøder og håndhævelse

EU AI Act har et bødesystem, der er designet til at have reel afskrækkende virkning — også mod verdens største tech-virksomheder. Bøderne er graduerede efter overtrædelsens alvor:

For SMV'er og startups gælder der reducerede bødelofter for at undgå, at reglerne kvæler innovation. Bøderne beregnes altid som det højeste af de to beløb — så for en virksomhed som Apple med en årlig omsætning på over 380 mia. dollars ville en overtrædelse af forbuddene kunne koste op til 26,6 mia. dollars (7 % af omsætningen).

Håndhævelsen sker både på nationalt plan (via Datatilsynet og Digitaliseringsstyrelsen) og på EU-plan via det nyoprettede European AI Office, der er placeret under EU-Kommissionen og har til opgave at overvåge generelle AI-modeller og koordinere håndhævelse på tværs af medlemslandene.

Hvordan overholder SkrivSikkert EU AI Act?

SkrivSikkert er designet fra bunden til at overholde EU's regulering af kunstig intelligens. Her er, hvordan platformen lever op til kravene:

• Minimal risiko-klassificering — SkrivSikkert er en skriveassistent, der hjælper med korrektur, tekstforbedring, oversættelse og chat. Det placerer platformen i kategorien "minimal risiko", som ikke er underlagt specifikke lovkrav under EU AI Act.
• GDPR-overholdelse — alle data behandles på danske servere, og SkrivSikkert har en klar databehandleraftale. Ingen data deles med tredjelande uden tilstrækkelig beskyttelse.
• Transparens — brugere informeres tydeligt om, at de interagerer med AI. Platformens AI-assistenter (Mads & Sofie) er klart identificeret som AI-drevne.
• Ingen forbudte praksisser — SkrivSikkert bruger ikke biometrisk identifikation, social scoring, følelsesregistrering eller nogen af de praksisser, som EU AI Act forbyder.
• AI-literacy — SkrivSikkert bidrager aktivt til AI-kompetence gennem blogartikler, guides og undervisningsmaterialer om ansvarlig brug af AI på dansk.

Kort sagt: Når du bruger SkrivSikkert, behøver du ikke bekymre dig om EU AI Act. Platformen er bygget til at overholde reglerne — så du kan fokusere på at skrive.

Ofte stillede spørgsmål

Gælder EU AI Act for mig som privatperson?

Ikke direkte. EU AI Act retter sig primært mod virksomheder og organisationer, der udvikler eller anvender AI-systemer. Men som borger får du nye rettigheder — bl.a. ret til at vide, når du interagerer med AI, og ret til at klage over AI-beslutninger, der påvirker dig.

Hvornår træder EU AI Act fuldt i kraft?

EU AI Act træder i kraft trinvist. De første regler om forbudte AI-systemer gjaldt fra februar 2025. Governance-reglerne gælder fra august 2025. De centrale regler om højrisiko-AI og generelle AI-modeller træder i kraft 2. august 2026.

Er ChatGPT ulovligt under EU AI Act?

Nej, ChatGPT er ikke ulovligt. Men OpenAI skal som udbyder af en general-purpose AI-model overholde transparenskrav, herunder oplyse om træningsdata, energiforbrug og ophavsretspolitik. Brugere skal desuden informeres om, at de interagerer med AI.

Hvad sker der, hvis en virksomhed bryder EU AI Act?

Bøderne er markante: Op til 35 mio. euro eller 7 % af den globale årsomsætning for brug af forbudte AI-systemer. For overtrædelse af højrisiko-reglerne er bøden op til 15 mio. euro eller 3 % af omsætningen. SMV'er og startups kan dog få reducerede bøder.

Overholder SkrivSikkert EU AI Act?

Ja. SkrivSikkert er klassificeret som minimal-risiko under EU AI Act og overholder allerede kravene. Platformen behandler data på danske servere, er GDPR-compliant, og brugere informeres tydeligt om AI-brug. SkrivSikkert anvender ikke biometrisk identifikation, social scoring eller andre forbudte praksisser.