Gå til indhold
Spekir
AIgovernanceai-actmidmarket

AI governance i midmarkedet: forbi politik-dokumentet

Et politik-PDF gør dig ikke compliant. Her er de fire leverancer, der faktisk rykker — et register, en risikoklassificering, en beslutningsmatrice og en one-pager.

Founder, Spekir8 min læsetid
Hop til afsnit...

De fleste virksomheder i midmarkedet har nu et AI-politik-dokument. Det ligger i en SharePoint-mappe, er skrevet af en konsulent for seks måneder siden, og er siden blevet glemt. Compliance-chefen har set det. Bestyrelsen har nicket. Og AI-projekterne kører videre præcis som de altid har gjort — uden registrering, uden klassificering og uden kontrol.

Det er ikke nogen kritik. Politik-dokumentet er det naturlige første skridt. Det demonstrerer intentionen. Men intentionen er ikke compliance, og compliance er ikke bare tekst.

EU AI Act træder gradvist i kraft frem mod 2027. For midmarked-virksomheder — typisk 200 til 5.000 ansatte med én eller to personer, der har AI i jobbet, men ikke titlen "AI Officer" — er udfordringen ikke at skrive en bedre politik. Udfordringen er at omsætte den til fire konkrete leverancer, der faktisk bruges.

Et politik-dokument fortæller, hvad I vil gøre. De fire leverancer viser, hvad I faktisk gør. Det er den forskel, en tilsynsmyndighed leder efter.

Hvad EU AI Act faktisk kræver af midmarket

AI Act er risikobaseret. Det betyder, at kravene afhænger af, hvad systemet gør, ikke af hvem der har bygget det. En virksomhed, der bruger et AI-system til at screene jobansøgere, er underlagt højrisikobestemmelserne — uanset om de selv har bygget systemet, eller om de bruger et tredjeparts SaaS-produkt.

For langt de fleste midmarket-virksomheder falder de eksisterende AI-systemer i én af tre kategorier:

Minimal risiko: Chatbots, indholdsgenerering, sammenfattende tekster, interne hjælpeværktøjer. Ingen specifikke krav ud over generel transparens.

Begrænset risiko: Systemer, der interagerer direkte med slutbrugere uden at de er klar over, de taler med en AI. Her kræves oplysningspligt.

Høj risiko (bilag III): Systemer, der træffer beslutninger om beskæftigelse, uddannelse, kredit, sundhed eller kritisk infrastruktur. Her er kravene størst: teknisk dokumentation, menneskelig tilsyn, logning, nøjagtigheds- og robusthedskrav.

De fleste virksomheder har ikke gjort dette systematisk. De ved ikke, hvilken kategori hvert system falder i — og det er startpunktet.

Registret: din første AI-inventar

Den første leverance er et register over alle AI-systemer og AI-use cases i organisationen. Ikke en liste over leverandører. En liste over brug.

Registret behøver ikke være kompliceret. Seks felter er tilstrækkeligt til at komme i gang:

Systemnavn — hvad kalder I det internt?

Formål — hvad er det, systemet faktisk gør? Ét sætning. "Klassificerer indgående supporttickets og prioriterer dem efter ventet løsningstid."

Data-input — hvilke data behandler systemet? Persondata? Følsomme kategorier (helbred, økonomi)?

Beslutningstager — hvem ejer systemet? Ikke IT — det forretningsområde, der har bedt om det.

Ansvarlig — hvem kan svare på spørgsmål om systemet nu, om seks måneder?

Risikokategori — jeres foreløbige klassificering baseret på Bilag III.

Et register med ti systemer i et regneark er bedre end intet register. Det vigtigste er, at det opdateres, når nye systemer tages i brug, og at det er én persons ansvar at holde det ajour — ikke bestyrelsens, ikke compliance-afdelingens, men en navngiven person.

Risikoklassificering: tre kategorier, ikke halvtreds

Den anden leverance er at klassificere hvert system. Ikke som en engangshændelse, men som en løbende proces, der kicker ind, hver gang et nyt system tages i brug eller et eksisterende ændres væsentligt.

En pragmatisk risikoklassificering for midmarket behøver kun tre lag:

Grøn — ingen særlige tiltag nødvendige: Systemet falder i kategorien minimal risiko. Det bruges internt, behandler ikke særlige kategorier af persondata, og træffer ikke beslutninger med væsentlig betydning for enkeltpersoner. Eksempler: AI-assisteret notattagning, generering af udkast til intern kommunikation, kodegenerering til interne udviklingsprojekter.

Gul — forenklet kontrol: Systemet kommunikerer med slutbrugere eller behandler persondata, men falder ikke under Bilag III. Her kræves oplysningspligt og grundlæggende logning af systemets output. Eksempler: kundevendt chatbot, AI-genereret e-mail-udkast til kundekommunikation.

Rød — fuld Bilag III-kontrol: Systemet falder under højrisikokategorierne. Her er kravene til teknisk dokumentation, menneskelig tilsyn og logning størst. Eksempler: AI-assisteret rekrutteringsscreening, kreditvurdering, medicinske beslutningssystemer.

Klassificeringen er ikke en juridisk vurdering. Det er et arbejdsredskab. Lad det ikke stoppe op i juridisk afdeling. Lav et første udkast, og få juridisk input til de røde systemer.

Det er vigtigt at klassificere ud fra systemets faktiske funktion, ikke dets markedsføring. Et "AI-drevet analyseværktøj" til personalevurdering er Bilag III. En AI-chatbot til interne FAQ'er er det ikke.

Beslutningsmatricen: hvem godkender hvad

Den tredje leverance svarer på ét spørgsmål: hvem har lov til at tage et nyt AI-system i brug, og hvad kræver det?

Uden en beslutningsmatrice sker der to ting. Enten godkendes alt (fordi alle vil bruge AI, og ingen vil bremse), eller intet godkendes (fordi compliance frygter ansvaret). Begge scenarier er skadelige.

En simpel matrix har tre niveauer:

Niveau 1 — Grønne systemer: Kan ibrugtages af den enkelte afdeling efter simpel registrering. Forretningsejer godkender. IT bekræfter, at sikkerhedskrav er opfyldt. Ingen særlig compliance-gennemgang.

Niveau 2 — Gule systemer: Kræver godkendelse fra IT-sikkerhed og en kort data-behandlingsvurdering (DPIA-light). Forretningsejer, CISO og DPO (hvis relevant) underskriver. Maksimalt to ugers procestid.

Niveau 3 — Røde systemer: Kræver fuld teknisk dokumentation, menneskelig tilsynsmodel, logningsstrategi og ekstern juridisk vurdering. Direktør-niveau godkendelse. Procestid: fire til otte uger.

Matricen skal hænge på væggen — metaforisk set. Den skal være tilgængelig for projektledere, ikke kun for compliance-teamet.

One-pageren som faktisk bruges

Den fjerde og mest undervurderede leverance er den one-pager, der forklarer AI governance til resten af organisationen.

Ikke en FAQ. Ikke et uddrag af AI Act. En side, der svarer på de tre spørgsmål, som projektlederen, salgschefen og marketingkoordinatoren vil stille, når de overvejer at bruge et nyt AI-værktøj:

"Må vi bruge det?" — Ja, hvis I registrerer det og klassificerer det som grønt eller gult, og godkendelsesprocessen følges.

"Hvad skal vi dokumentere?" — For grønne systemer: registreringen. For gule: DPIA-light og oplysningspligt-tekst til slutbrugere. For røde: teknisk dokumentation og tilsynsprotokol.

"Hvem spørger vi?" — [Navn], [e-mail], [svartid].

En one-pager, der reelt bruges, er mere værd end en 40-siders policy, der ikke gør det.

Integrering med arkitektur og beslutninger

AI governance er ikke en isoleret compliance-øvelse. Det hænger direkte sammen med virksomhedens IT-arkitektur og strategiske beslutninger.

Et AI-system, der tages i brug uden arkitektur-review, skaber teknisk gæld. Et system, der godkendes uden data-linjeage-dokumentation, skaber compliance-gæld. Begge typer gæld er billigst at betale ved ibrugtagning.

I praksis betyder det, at registret bør kobles til virksomhedens applikationsportefølje. Hvert AI-system er et applikationsaktiv — det bør evalueres med de samme metoder som andre kritiske systemer: hvad koster det, hvad leverer det, hvem ejer det, og hvad sker der, hvis det fejler?

Hvad gøres i morgen

AI governance i midmarkedet kræver ikke et dedikeret team, et nyt system eller en ekstern konsulentpakke. Det kræver fire leverancer, én ansvarlig person og viljen til at starte med et ufuldstændigt register frem for et perfekt dokument.

Uge 1: Lav et register. Brug et regneark. Registrér alle AI-systemer, I aktuelt bruger — inklusiv de tredjeparts SaaS-produkter, der har AI-funktioner aktiveret som standard.

Uge 2: Klassificér hvert system efter den forenklede tre-lags model. Markér røde systemer til separat opfølgning.

Uge 3: Skriv beslutningsmatricen. Hold den til én side. Distribuer den til projektledere.

Uge 4: Skriv one-pageren til resten af organisationen.

Det er det. Ikke fordi AI Act ikke kræver mere for røde systemer. Men fordi de fire leverancer giver jer et fundament at bygge videre på — og et udgangspunkt for en meningsfuld dialog med en tilsynsmyndighed, hvis behovet opstår.

Sandhed som første princip: jeres AI-governance er kun så god som det seneste register-tjek.

Referencer

[1] Europa-Parlamentets og Rådets forordning (EU) 2024/1689 om kunstig intelligens (AI Act), Bilag III — Højrisiko AI-systemer, officielt tilgængeligt på eur-lex.europa.eu.

[2] Den Europæiske Tilsynsmyndighed for Databeskyttelse (EDPS), "AI Act and Data Protection — First Guidance", 2024.

governanceai-actmidmarket
DelLinkedInX

Spekir bygger det lag, der forbinder strategi med IT-porteføljen. Se Atlas →

Relaterede artikler

Model routing: hvorfor valget af Haiku, Sonnet eller Opus er vigtigere end dit prompt

80% af AI-besparelser kommer fra at sende den rigtige forespørgsel til den rigtige model — ikke fra prompt-optimering. En praktisk guide til model routing i produktion.

7 min

Prompt caching: den 90%-besparelse ingen taler om

Anthropics ephemeral cache-rabat er mekanisk simpel, men operationelt svær. Placement-mønsteret, 1024-token grænsen og hvad der kan og ikke kan caches.

6 min

Observabilitet for AI-funktioner: fra black box til revisionsspor

AI-funktioner uden traces er ikke funktioner — de er forpligtelser. Trace-mønsteret, ADR-0001 metadata-felter og EU AI Act artikel 15 i praksis.

9 min

Alle artikler