Foundry IX
Insight

EU AI Act stiller krav til ledelsen — ikke til jeres leverandør

Kontraktgennemgang på et skrivebord

Med EU AI Act flytter en del af risikoen fra leverandør til kunde. Det er ikke jeres leverandør, der skal stå til ansvar for, hvordan AI bruges i jeres forretning. Det er jer.

Uret er allerede i gang

AI Act indfases over de kommende år, og logikken er risikobaseret: jo mere indgribende systemet er, desto tungere er forpligtelserne. Men de dele, der rammer alle virksomheder, kommer først — herunder kravet om, at de mennesker, der arbejder med AI, forstår den godt nok til at bruge den ansvarligt. Det er ikke et politikdokument; det er et kompetencespørgsmål.

Og eksponeringen er ikke begrænset til de systemer, I har købt bevidst. De fleste organisationer kører allerede på mere AI, end ledelsen ved af — værktøjer, medarbejdere selv har taget i brug, funktioner, leverandører har slået til i det stille. Et governance-svar, der kun dækker de officielle projekter, dækker en brøkdel af den faktiske brug.

Hvad forordningen faktisk kræver

Det er ledelsen, der skal kunne redegøre for tre ting:

  • Hvordan jeres AI-systemer er klassificeret — og hvorfor.
  • Hvilke risici de indebærer for kunder, medarbejdere og forretning.
  • Hvordan de risici håndteres i praksis — med navngivne ansvarlige.

Det kan ikke outsources. En leverandør kan levere dokumentation, men ikke ansvar. Den dag et system træffer en forkert beslutning, er det ikke leverandørens navn, der står i redegørelsen.

Redigeret dokument på skærm
Compliance virker, når det er bygget ind i arbejdsgangen — ikke revideret på bagefter.

Governance er blevet en ledelsesdisciplin

AI-governance er ikke en juridisk formalitet. Det er en ledelsesdisciplin.

Det kræver, at ledelsen forstår sine egne AI-anvendelser godt nok til at stå på mål for dem. Ikke på teknisk niveau — men godt nok til at vide, hvor systemerne bruges, hvad de må, og hvornår et menneske skal ind over.

Hvor man starter

Udgangspunktet er uglamourøst: en optælling. Hvilke systemer træffer eller former beslutninger i jeres forretning i dag? Hvilke af dem rører kunder, medarbejdere eller penge? Hvem ejer hvert enkelt? De fleste ledergrupper kan ikke svare på de tre spørgsmål — og at svare på dem er 80 procent af det arbejde, forordningen beder om.

Den gode nyhed: kravene er overkommelige for dem, der går struktureret til værks. Et retvisende risikobillede og en handlingsplan, der holder over for EU AI Act og GDPR, er et afgrænset stykke arbejde — ikke et årsprojekt.

Portræt af Jon Hu Hindsgaul Hansen
Jon Hu Hindsgaul HansenPartner, Foundry IX