Etik & Lovgivning

EU AI Act for danske SMV'er: Hvad betyder Phase 2 for din virksomhed?

RR

Rico Rosenkrans

17. Maj 2026

EU AI Act for danske SMV'er: Hvad betyder Phase 2 for din virksomhed?

Om godt tre måneder starter en ny fase af EU's AI-lovgivning. Fra august 2026 skal en lang række AI-systemer i EU være certificeret og dokumenteret efter nye standarder. For danske SMV'er — særligt dem der bruger AI i kundekontakt, HR eller produktudvikling — er det nu, man skal handle.

Mange tror fejlagtigt, at AI-lovgivning kun rammer store tech-virksomheder. Det gør den ikke. Virksomheder med blot ét AI-system, der påvirker borgeres rettigheder, kan være omfattet.

Hvad er EU AI Act kort fortalt?

EU AI Act (forordning 2024/1689) er verdens første omfattende AI-lovgivning. Den træder i kraft trinvist — og Phase 2, der begynder august 2026, er den mest relevante for danske SMV'er.

Loven opdeler AI-systemer i risikokategorier:

  • Minimal risiko — Chatbots, AI i videospil. Ingen særlige krav.
  • Begrænset risiko — F.eks. AI-drevet chat på websider. Kræver gennemsigtighed (brugere skal informeres).
  • Høj risiko — AI i sundhed, HR, kreditscoring, uddannelse, retshåndhævelse. Skal certificeres og dokumenteres grundigt.
  • Uacceptabel risiko — Social scoring, visse overvågningssystemer. Forbudt.

De fleste danske SMV'er med AI i kundekontakt — f.eks. AI-chatbots, automatiske sagsbehandlingssystemer eller HR-værktøjer — befinder sig i "begrænset" eller "høj" risiko-kategorien. Og det er særligt kravene til højrisiko-systemer, der træder i kraft nu.

Hvad betyder Phase 2 for danske SMV'er?

Fra august 2026 gælder følgende for højrisiko AI-systemer:

  • Certificering: Systemet skal vurderes og certificeres efter EU-standarder (primært CEN-CENELEC CWA-standarder) eller gennem en relevant EU-notificeret organ.
  • Teknisk dokumentation: Omfattende dokumentation af systemets design, treningsdata, risikovurdering og的性能.
  • Overvågnings- og rapporteringspligt: Virksomheder skal løbende overvåge deres AI-systemer og rapportere alvorlige hændelser.
  • Registrering: Højrisiko-systemer skal registreres i en EU-dækkende database.

Hvem er omfattet?

Ikke kun virksomheder, der udvikler AI — også virksomheder, der implementerer og anvender højrisiko AI-systemer.

Typiske eksempler på danske SMV'er i Scope 2:

  • En virksomhed på 30 ansatte, der bruger AI til at screene jobansøgninger.
  • Et mindre forsikringsselskab, der bruger AI til automatiseret skadesbehandling.
  • En webshop, der bruger AI til at vurdere kunders kreditværdighed.
  • En sundhedsklinik, der bruger AI til patienttriagering.

Læg mærke til: Det er ikke kun tech-virksomheder. Det er alle brancher.

Hvad sker der, hvis man ikke handler?

Overtrædelser kan medføre bøder på op til €30 mio. eller 6% af global årlig omsætning — whichever is higher. For en dansk SMV med 50 mio. kr. i omsætning kan det betyde bøder på op til 3 mio. kr.

Og danske myndigheder (Datatilsynet har fået udvidet kompetence) er allerede i gang med tilsyn. De første danske virksomheder har modtaget påbud i 2025.

Konkrete trin SMV'er kan tage NU

Her er en praktisk tjekliste, du kan tage i brug med det samme:

Trin 1: Kortlæg dine AI-systemer

Inventér alle AI-systemer i din virksomhed. Spørgsmål at stille:

  • Bruger vi AI til at træffe eller understøtte beslutninger om enkeltpersoner?
  • Bruger vi AI i kundekontakt, HR eller produktudvikling?
  • Bruger vi tredjeparts AI-værktøjer (f.eks. Microsoft Copilot, Salesforce Einstein, chatbots)?

Trin 2: Vurdér risikokategori

Brug EU-Kommissionens officielle vejledning og CopenAI's AI-compliance model til at kategorisere dine systemer. Hvis et system er i "høj risiko", skal du starte certificeringsprocessen nu — den tager typisk 3-6 måneder.

Trin 3: Indfør intern governance

Udnævn en AI-ansvarlig (det behøver ikke være en fuldtidsstilling i en SMV). Dokumentér hvordan I træffer beslutninger om AI-anvendelse.

Trin 4: Opdater databehandleraftaler

Hvis du bruger eksterne AI-leverandører, skal jeres databehandleraftaler (DPA'er) opdateres. Leverandører skal dokumentere deres egen compliance — og I skal sikre, at jeres kontrakter afspejler det.

Trin 5: Forbered teknisk dokumentation

For højrisiko-systemer skal I bruge:

  • Systemets formål og designbeskrivelse
  • Treningsdata og deres repræsentativitet
  • Risikoanalyse og mitigeringstiltag
  • Logging og overvågningsprocedurer

Trin 6: Implementér menneskeligt tilsyn

AI-systemer i højrisiko-kategorien skal som hovedregel have menneskelig overvågning ("human oversight"). Sørg for klare procedurer for, hvordan en medarbejder kan gribe ind.

Hvordan AI-værktøjer kan hjælpe med compliance

Det er en smule ironisk, men AI kan faktisk bruges til at tackle AI-compliance. Flere værktøjer er designet til netop dette:

AI Governance-platforme som HolistiCAL, Tremau og Trustwise hjælper med at dokumentere, overvåge og analysere AI-systemer løbende. De fleste tilbyderSMV-abonnementer og er danske datafortrolige.

Automatiske risikovurderingsværktøjer kan hjælpe med at kategorisere jeres AI-systemer og identificere huller i dokumentationen.

AI-audit logs genereres af de fleste enterprise-AI-platforme — sørg for at aktivere og opbevare disse sikkert.

Vær dog opmærksom: Værktøjerne hjælper, men det er stadig virksomhedens ledelse, der har det juridiske ansvar. Compliance kan ikke outsources fuldstændigt.

Privacy-first som konkurrencefordel

Her er det overraskende: De virksomheder, der investerer i privacy-first AI nu, får ikke kun compliance — de får en konkurrencefordel.

Privacy-first AI betyder, at data så vidt muligt behandles lokalt eller on-device, fremfor at blive sendt til skyen. Det reducerer GDPR-risici markant, fordi persondata sjældnere forlader virksomhedens kontrol.

Fordele:

  • Lavere GDPR-exposure: Mindre data i skyen betyder færre databehandlere og lavere risiko for brud.
  • Hurtigere compliance: Lokal databehandling kræver færre godkendelser og simpler dokumentation.
  • Kundetillid: Forbrugere er i stigende grad bevidste om, hvordan deres data bruges. Virksomheder, der kan demonstrere privacy-first tilgang, vinder tillid.
  • Beredskab til fremtidig lovgivning: Flere EU-lande indfører national AI-lovgivning oven på EU AI Act. Privacy-first giver en buffer.

Konkrete privacy-first muligheder:

  • On-device AI (f.eks. Apples Intelligent, Google Gemini Nano) — data forbliver på brugerens enhed.
  • Lokale LLMs — kør mindre AI-modeller på egne servere i stedet for OpenAI/Anthropic.
  • Federated learning — træn AI-modeller på decentraliserede data uden at samle rådata et centralt sted.
  • Syntetisk data — brug kunstigt genererede data til træning i stedet for reelle personoplysninger.

For danske SMV'er, der arbejder med kundedata, er sidstnævnte særligt relevant. I stedet for at sende kundedata til en cloud-AI, kan I træne på syntetiske data, der matcher samme mønstre — uden at bringe reel persondata i spil.

Konklusion

EU AI Act Phase 2 er ikke en fjern trussel. August 2026 er tre måneder væk. For danske SMV'er med AI i kundekontakt, HR eller andre borgerpåvirkende funktioner er det nu, man skal handle.

De virksomheder, der investerer i compliance nu, står stærkere — både juridisk og konkurrencemæssigt. Privacy-first tilgang, grundig dokumentation og menneskelig overvågning er ikke bare krav; det er konkurrencefordele i en tid, hvor kunder og partnere i stigende grad spørger: "Hvordan bruger I AI ansvarligt?"

Hos CopenAI hjælper vi danske SMV'er med at navigere AI-lovgivning — fra kortlægning og risikovurdering til implementering af privacy-first løsninger.

Vil du vide, om din virksomhed er omfattet af EU AI Act? Kontakt os for en gratis 30-minutters compliance-samtale.


FAQ: EU AI Act for danske SMV'er

Hvornår træder EU AI Act i kraft? EU AI Act blev vedtaget i 2024 og træder i kraft trinvist. Phase 1 (februar 2025) omhandlede forbudte AI-praksisser. Phase 2 (august 2026) bringer krav om certificering og dokumentation for højrisiko AI-systemer.

Er min lille virksomhed omfattet? Ja, hvis du bruger højrisiko AI-systemer — uanset virksomhedsstørrelse. Der er ingen undtagelser for SMV'er.

Hvad er højrisiko AI? AI brugt til beslutninger om enkeltpersoner inden for ansættelse, kreditscoring, sundhed, uddannelse og retshåndhævelse er typisk højrisiko.

Kan jeg bruge min eksisterende AI-leverandør? Afhænger af leverandørens compliance. Spørg din leverandør direkte: Har de certificeret deres systemer efter EU AI Act? Kan de levere den nødvendige tekniske dokumentation?

Hvad koster det at blive compliant? Det varierer. En grundig compliance-indsats for en SMV kan koste fra 30.000-150.000 kr. afhængigt af antal systemer og kompleksitet. Men det er en brøkdel af de potentielle bøder.

Er CopenAI's AI-løsninger EU AI Act-kompatible? Ja. Vores løsninger er designet med compliance for øje — inklusive dokumentationspakker, human oversight-moduler og privacy-first arkitektur.

verified_user

Vil du have hjælp til at forberede din virksomhed på EU AI Act?

Hos CopenAI hjælper vi danske SMV'er med at kortlægge AI-anvendelser, vurdere risici og implementere de processer, der gør jer compliant — før I bliver tvunget til det.

downloadBook en gratis AI-analyse

Klar til at automatisere og optimere?

Få en gratis analyse af jeres AI-potentiale. Vi identificerer konkrete muligheder for automatisering og beregner det forventede ROI - helt uden forpligtelser.