Den 2. august 2026 begynder hovedparten af EU's AI-forordning at gælde, og det er om tre uger. Har du udskudt at sætte dig ind i reglerne, fordi compliance-historierne lugter af dyre konsulentrapporter og bøder på 35 millioner euro, så er her den beroligende nyhed først: langt de fleste danske SMV'er er hverken udviklere eller højrisiko-brugere af AI. De er det forordningen kalder idriftsættere af systemer med begrænset risiko, og deres reelle pligter kan overskues på en eftermiddag.
Det betyder ikke at du kan ignorere loven. Det betyder at du skal kende din rolle, for hele forordningen er bygget op om ét skel som de fleste artikler springer over: er du udbyder eller idriftsætter?
Udbyder eller idriftsætter? Skellet der afgør alt
Forordningen skelner mellem den der udvikler og sælger et AI-system (udbyderen, på engelsk provider) og den der bruger det i sin virksomhed (idriftsætteren, deployer). Bygger jeres virksomhed AI-produkter og sælger dem videre, bærer I udbyderens tunge forpligtelser: teknisk dokumentation, risikostyring og overensstemmelsesvurdering. Bruger I derimod ChatGPT til tekstudkast, en chatbot på hjemmesiden og et AI-værktøj til mødereferater, er I idriftsætter, og så skrumper listen betragteligt.
Som idriftsætter af almindelige lavrisiko-værktøjer har du i praksis fire pligter: dine medarbejdere skal have tilstrækkelige AI-kompetencer (artikel 4, gældende siden februar 2025), du skal holde dig fra de forbudte anvendelser, du skal overholde transparens-kravene når de gælder fra august 2026, og du skal kunne dokumentere at du har styr på de tre første. Det er hele listen for de fleste. Højrisiko-pligterne, dem med logning, menneskeligt tilsyn og registrering, rammer først hvis du bruger AI til fx rekruttering, kreditvurdering eller medarbejderovervågning, og dér skal du til gengæld søge AI rådgivning før du sætter noget i drift.
Tidslinjen: hvad gælder hvornår?
Forordningen indfases i etaper, og flere af dem er allerede passeret:
- 1. august 2024: Forordningen trådte formelt i kraft. Ingen pligter endnu, men uret startede.
- 2. februar 2025: Forbuddene og kompetencekravet begyndte at gælde. Social scoring og følelsesgenkendelse på arbejdspladsen har været forbudt siden denne dato, og medarbejdere der arbejder med AI skal have tilstrækkelige kompetencer.
- 2. august 2025: Reglerne for generelle AI-modeller (GPAI, altså modellerne bag ChatGPT, Claude og lignende) trådte i kraft. De rammer primært modeludbyderne, ikke jer.
- 2. august 2026: Hovedparten af forordningen gælder, herunder transparens-kravene i artikel 50: chatbots skal oplyse at de er AI, og AI-genereret indhold skal kunne identificeres som sådan. Højrisiko-reglerne for systemer i bilag III gælder også fra denne dato.
- 2027 og frem: Enkelte kategorier af højrisiko-AI indbygget i regulerede produkter har længere frister.
Det vigtigste tal i listen er det fjerde. Har jeres hjemmeside en chatbot der udgiver sig for at være "Mette fra kundeservice", skal den fra 2. august 2026 fortælle at den er en AI. Bruger I AI-genererede billeder eller tekster udadtil, skal I kunne stå på mål for mærkningen. Det er små rettelser at lave nu og en dårlig sag at blive taget i senere.
Bøderne: store tal, men læs det med småt
Bødeloftet på 35 millioner euro eller 7% af den globale omsætning er reserveret til de forbudte praksisser, altså den slags AI-brug du alligevel aldrig skulle røre. Overtrædelser af de fleste øvrige pligter kan koste op til 15 millioner euro eller 3%, og vildledende oplysninger til myndighederne op til 7,5 millioner euro eller 1%. For SMV'er og startups gælder proportionale lofter, så skrækscenariet fra overskrifterne er ikke skrevet til en virksomhed med 12 ansatte i Aalborg.
Det interessante for en dansk SMV er ikke bødernes størrelse men tilsynets retning. Digitaliseringsstyrelsen koordinerer håndhævelsen i Danmark, og erfaringen fra GDPR er værd at huske: de første år gik med vejledning frem for bøder, men virksomheder der ingenting kunne fremvise, stod dårligst når spørgsmålene kom. Dokumentation er den billigste forsikring der findes.
Fem punkter der skal stå i jeres AI-politik
En AI-politik behøver ikke fylde mere end en side, men den skal findes, og den dækker samtidig det meste af dokumentationskravet. Skriv den så konkret at en ny medarbejder kan følge den fra dag ét:
- Godkendte værktøjer: Hvilke AI-værktøjer må bruges til arbejdsopgaver, og hvem godkender nye.
- Dataregler: Hvad må aldrig indtastes i eksterne AI-værktøjer, typisk persondata, kundedata og forretningshemmeligheder, medmindre værktøjet er godkendt til det.
- Menneskelig kontrol: Hvilke typer output skal altid efterses af et menneske før de sendes ud, fx alt kundevendt og alt juridisk.
- Mærkning: Hvornår og hvordan AI-genereret indhold mærkes, og at chatbots altid præsenterer sig som AI.
- Ansvar og træning: Hvem ejer politikken, hvor ofte den revideres, og hvordan nye medarbejdere trænes, så artikel 4-kravet om kompetencer er dokumenteret.
Suppler med en simpel liste over de AI-systemer I bruger i dag. Det uafhængige site artificialintelligenceact.eu har en gratis Compliance Checker hvor du kan tjekke jeres konkrete anvendelser mod reglerne, og Digitaliseringsstyrelsen har en FAQ om forordningen på digst.dk. Den samlede øvelse tager under en time for en typisk SMV.
Tre uger er nok, hvis du starter nu
Venter du til efter 2. august, ændrer pligterne sig ikke, men din forhandlingsposition gør. En kunde der spørger til jeres AI-politik i et udbud, en medarbejder der har indtastet kundedata i et ukendt værktøj, eller et tilsyn der beder om dokumentation: i alle tre situationer er forskellen på "det har vi styr på" og "det er vi ved at se på" bygget af de samme tre timers arbejde. Lav listen over jeres AI-værktøjer i denne uge, skriv politikken i næste, og gennemgå chatbot og AI-indhold for mærkning inden fristen. Så er du foran de fleste, og compliance-historien er tilbage i den størrelse den faktisk har for en dansk SMV: et overskueligt stykke ordentlighed, ikke et projekt.


