Den 4. juni afholdt vi hos NorthGRC et webinar om AI Act, AI-governance og de nye risici, som virksomheder står over for, når kunstig intelligens bliver en integreret del af hverdagen.
Du kan se webinaroptagelsen her.
Og måske er den bedste måde at starte på med en historie.
For nogle måneder siden sad Lone Forland, Produktekspert hos NorthGRC, og forberedte materiale i forbindelse med virksomhedens recertificering. For at spare tid bad hun en AI-assistent om at opsummere resultaterne fra en intern audit.
På få sekunder leverede AI'en et flot og overskueligt resumé. Men ét af forbedringsforslagene skilte sig ud.
"Opgrader adgangskontrolsystemet til serverrummet i kælderen. Der var bare ét problem.
Vi har ikke haft et serverrum i 15 år. Vi er 100 procent cloud-baserede. Vi har godt nok en kælder, men den bruger vi som træningsrum," fortæller Lone Forland.
Fejlen var heldigvis nem at opdage. Men eksemplet illustrerer en udfordring, som mange virksomheder allerede oplever i praksis: AI-systemer kan producere svar, der lyder både overbevisende og troværdige – uden nødvendigvis at være korrekte.
Det kaldes hallucinationer. Og det er blot én af årsagerne til, at EU har valgt at regulere brugen af kunstig intelligens gennem AI Act.
Mange virksomheder betragter stadig AI som endnu et teknologisk værktøj på linje med cloud-løsninger, automatisering eller avanceret software. Men AI introducerer nogle udfordringer, som adskiller sig fra meget af den teknologi, vi tidligere har arbejdet med.
"Et af de steder, hvor AI virkelig differentierer sig fra traditionelle systemer, er det, vi kalder black box-fænomenet," forklarer Magnus Vestergaard, Head of Consulting Services hos NorthGRC. "Det kan være meget svært at forstå, hvad der ligger bag de konklusioner eller anbefalinger, som AI-systemet kommer frem til."
Traditionelle systemer følger som regel faste regler og programmerede beslutningsveje. AI-systemer arbejder derimod på baggrund af enorme datamængder og komplekse modeller, hvilket kan gøre det vanskeligt at forklare præcist, hvordan en bestemt beslutning er blevet truffet.
Derfor handler AI Act ikke kun om compliance. Den handler også om governance, ansvar og om at sikre, at vi som virksomheder kan anvende AI på en måde, der er transparent, sikker og forsvarlig.
Et af de spørgsmål, vi oftest møder, er, om AI Act kun gælder for virksomheder, der udvikler AI.
Det korte svar er nej.
AI Act introducerer en række forskellige roller, herunder udbydere, importører, distributører og brugere (deployers) – altså organisationer, der anvender AI-systemer i deres egne processer. For langt de fleste virksomheder vil rollen som bruger være den mest relevante.
Det betyder, at man som virksomhed ikke nødvendigvis udvikler AI selv, men stadig har ansvar for at anvende teknologien korrekt.
Samtidig ser vi i stigende grad organisationer, der bygger egne AI-agenter eller tilføjer AI-funktionalitet oven på eksisterende løsninger. Her kan grænsen mellem bruger og udbyder hurtigt blive mere flydende.
Det er vigtigt, fordi kravene ændrer sig markant afhængigt af, hvilken rolle virksomheden har.
AI Act bygger på en risikobaseret tilgang. Og før man kan tale om compliance, er det nødvendigt at forstå de risici, som teknologien medfører.
Hallucinationer opstår, når AI genererer information, der fremstår korrekt, men som reelt er forkert.
Serverrummet i kælderen er et relativt uskyldigt eksempel. Andre tilfælde kan være langt mere alvorlige.
"Vi har allerede set eksempler på professionelle brugere, der har refereret til information eller juridiske afgørelser, som aldrig har eksisteret," siger Magnus.
Når AI anvendes i juridiske, finansielle eller compliance-relaterede sammenhænge, kan konsekvenserne være betydelige. Derfor bør AI altid betragtes som en assistent – ikke som en autoritet.
AI-modeller er kun så gode som de data, de er trænet på. Hvis træningsdataene indeholder skævheder, kan resultaterne også gøre det. Det kan for eksempel være i rekrutteringsprocesser, hvor historiske data utilsigtet favoriserer bestemte grupper af kandidater.
"Der er en risiko for, at bias i træningsdata påvirker de anbefalinger eller vurderinger, som systemet kommer frem til," forklarer Magnus.
For virksomheder betyder det, at AI-resultater ikke bør accepteres ukritisk – særligt når de påvirker mennesker eller beslutninger af stor betydning.
Et af de mest omtalte emner inden for AI er manglende forklarbarhed. Hvis et AI-system anbefaler at afvise en kandidat, reducere en kreditvurdering eller prioritere én kunde frem for en anden, skal virksomheden kunne forklare, hvorfor. Og det er ikke altid enkelt.
"Når man bruger AI-baserede systemer, ved man ikke nødvendigvis, hvad der foregår inde i modellen, når beslutninger bliver truffet," siger Magnus.
Denne udfordring bliver særligt vigtig i forbindelse med højrisikosystemer, hvor AI Act stiller skærpede krav til dokumentation og sporbarhed.
De fleste organisationer kender allerede begrebet shadow IT. Shadow AI er næste generation af det samme problem. Medarbejdere tager nye AI-værktøjer i brug uden for de etablerede processer. Samtidig bliver AI integreret i eksisterende systemer i et tempo, der kan gøre det svært at bevare overblikket.
Et CRM-system får en AI-assistent.
Pludselig er AI blevet en del af systemer, virksomheden allerede bruger hver dag.
"Man skal ikke kun fokusere på nye AI-systemer. Man skal også være opmærksom på, at eksisterende systemer løbende får tilføjet AI-funktionalitet," siger Magnus.
Derfor bør virksomheder etablere processer, der løbende identificerer og vurderer nye AI-funktioner i det eksisterende systemlandskab.
Selvom flere af de centrale bestemmelser i AI Act først træder fuldt i kraft de kommende år, er lovgivningen allerede begyndt at få betydning for virksomheder. Allerede fra 2. februar 2025 blev visse AI-anvendelser forbudt, og samtidig blev kravet om AI literacy en realitet. Se tabel over krav og datoer nedenfor:
Det betyder, at organisationer skal sikre, at medarbejdere, der arbejder med AI, har den nødvendige forståelse af teknologien og de risici, der følger med.
"Det handler ikke kun om at vide, hvordan man bruger AI. Man skal også forstå risiciene ved at bruge den," siger Magnus.
Det gælder blandt andet risikoen for hallucinationer, bias, manglende forklarbarhed samt spørgsmål om databeskyttelse og informationssikkerhed.
At forstå AI Act er én ting. At omsætte kravene til konkrete processer, kontroller, risikovurderinger og dokumentation er noget andet. Hos NorthGRC har vi samlet AI Act-kravene i et dedikeret framework, der hjælper organisationer med at arbejde struktureret med AI-governance, AI literacy, risikovurderinger og compliance.
Se hvordan NorthGRC hjælper virksomheder med at håndtere AI Act i praksis.
Hos NorthGRC gennemgik vi for nylig recertificering efter ISO 2700 og ISO 27002. Her oplevede vi, at auditorerne havde markant fokus på vores anvendelse af AI – både dedikerede AI-værktøjer som Gemini og Copilot og eksisterende systemer, der har fået tilført AI-funktionalitet.
"Vi fik faktisk meget positiv feedback på den måde, vi havde arbejdet med AI-governance på," fortæller Lone Forland.
For os handlede arbejdet blandt andet om:
Erfaringen var samtidig, at AI-compliance ikke starter fra nul. Virksomheder, der allerede arbejder struktureret med informationssikkerhed, GDPR, ISO 27001, NIS2 eller DORA, har ofte en stor del af fundamentet på plads.
"Meget af arbejdet handler ikke om at opfinde nye processer. Det handler om at udvide de processer, man allerede har, så de også omfatter AI," siger Magnus.
For de fleste virksomheder handler de første skridt ikke om avanceret teknologi. De handler om overblik.
Start med at stille fire spørgsmål:
Herefter kan man arbejde videre med:
Jo tidligere arbejdet starter, desto lettere bliver det at integrere AI-compliance i de eksisterende processer.
AI skaber enorme muligheder for at effektivisere processer, forbedre beslutningsgrundlaget og frigøre tid til mere værdiskabende opgaver. Samtidig introducerer teknologien nye risici, som virksomheder skal kunne identificere, vurdere og håndtere.
AI tager ikke nødvendigvis fejl på en måde, der er let at opdage. Derfor handler AI Act om at sikre, at virksomheder kan bruge AI med den nødvendige kontrol, transparens og ansvarlighed.
AI Act introducerer nye krav til governance, risikovurderinger, dokumentation og medarbejderkompetencer. For mange organisationer er den største udfordring ikke at forstå reglerne – men at omsætte dem til praktiske processer, der fungerer i hverdagen.
Hos NorthGRC hjælper vi virksomheder med at etablere AI-governance, gennemføre risikovurderinger, implementere kontroller og skabe den dokumentation, der er nødvendig for at arbejde struktureret med AI-compliance.
Uanset om I er ved at kortlægge jeres AI-systemer, vurdere risici eller bygge et governance-setup op fra bunden, tager vi gerne en uforpligtende dialog om jeres situation og de næste skridt.
Kontakt os for en uforpligtende snak om AI Act og AI-governance