Gå til indhold
Spekir
AIeu-ai-actai-inventorycompliance

AI inventory — det første skridt mod AI Act compliance

Hvordan bygger man en AI inventory fra nul? Discovery-processen, 15 spørgsmål per system, ofte oversete AI-systemer (Copilot, Shadow AI), og hvornår man skifter fra regneark til dedikeret tool.

Founder, Spekir9 min læsetid
Hop til afsnit...

Inden I kan vurdere risici, dokumentere systemer, eller bygge en governance-struktur, skal I vide hvad I har. En AI inventory — et komplet register over alle AI-systemer I bruger — er fundamentet under al AI Act compliance.

Det lyder simpelt. Det er det ikke. De fleste virksomheder undervurderer antallet af AI-systemer de reelt deployer, fordi definitionen af "AI-system" er bredere end de fleste intuitivt tænker.

Hvad er en AI inventory?

En AI inventory er et struktureret register der dokumenterer alle AI-systemer i jeres organisation. "Systemer" inkluderer:

  • Selvstændige AI-applikationer I har indkøbt (f.eks. rekrutteringsværktøjer, kreditscoring)
  • AI-funktioner integreret i platforme I allerede bruger (f.eks. Copilot i Microsoft 365, AI-forslag i jeres ERP)
  • AI-modeller I har bygget eller fine-tunet internt
  • Generative AI-tjenester som medarbejdere bruger i det daglige arbejde

EU AI Act's definition af AI-systemer er bred: "et maskinbaseret system designet til at operere med varierende niveauer af autonomi... som kan generere output som forudsigelser, anbefalinger, beslutninger eller indhold der påvirker reelle eller virtuelle miljøer." Det inkluderer meget mere end de fleste tænker.

Discovery-processen: find det I ikke ved I har

Den største udfordring for mange virksomheder er shadow AI — AI-systemer der bruges uden IT's viden eller godkendelse. En undersøgelse fra 2025 viste at 68% af medarbejdere bruger mindst ét AI-værktøj der ikke er godkendt af IT-afdelingen.

En struktureret discovery-proces har fire faser:

Fase 1: IT-systeminventering Gennemgå eksisterende software-inventering (jeres CMDB eller IT Asset Management-system). Identificér alle applikationer der har kendte AI-funktioner. Kontakt leverandørerne for at bekræfte hvilke AI-funktioner der er aktive i jeres kontrakt.

Fase 2: Forretningsprocesser-gennemgang Interview repræsentanter fra hvert forretningsområde: "Bruger I AI-systemer i jeres daglige arbejde?" Inkludér spørgsmål om specifikke processområder: rekruttering, kundeservice, økonomi, produktion, logistik, marketing.

Fase 3: Leverandørgennemgang Send en simpel forespørgsel til jeres leverandørbase: "Inkluderer jeres løsning AI-funktioner? Hvilke?" Mange leverandører tilføjer AI-features som standard — I er måske allerede deployer af AI-systemer I ikke kender til.

Fase 4: Shadow AI-afdækning Brug IT-logdata, browser-historik-analyse (anonymiseret), eller en frivillig selvrapportering for at identificere ukontrollerede AI-tjenester. Kombinér dette med en klar kommunikation om at målet er registrering, ikke straf.

15 spørgsmål per AI-system

Når I har identifiseret et AI-system, skal I indsamle en standard-sæt af oplysninger. Her er de 15 vigtigste:

Identifikation

  1. Hvad er systemets navn og version?
  2. Hvem er leverandøren?
  3. Hvornår blev systemet deployed?
  4. Hvem er den interne systemansvarlige?

Formål og brug 5. Hvad er systemets tilsigtede formål? 6. Hvilke forretningsprocesser understøtter det? 7. Hvem er de primære brugere (antal, roller)? 8. Producerer systemet output der bruges til beslutninger om individer?

Data og drift 9. Hvilke data inputtes til systemet? (persondata? Følsomme kategorier?) 10. Hvor lagres data? (lokalt? Leverandørens cloud? Geografi?) 11. Hvad er systemets model-arkitektur? (regelbaseret, maskinlæring, generativ AI?) 12. Modtager systemet regelmæssige opdateringer der ændrer dets opførsel?

Risiko og governance 13. Falder systemet under en Annex III-kategori? (foreløbig vurdering) 14. Hvilke nøgleafhængigheder har systemet? 15. Hvem er kontaktperson hos leverandøren ved compliance-spørgsmål?

Minimum-felter per system i inventory

En AI inventory behøver ikke være en database. Et struktureret regneark med disse felter er nok til at komme i gang:

| Felt | Beskrivelse | |---|---| | System-ID | Unikt identifikationsnummer | | Navn | Systemets navn | | Leverandør | Virksomhedsnavn + kontaktperson | | Version | Aktuel version/release | | Formål | Kort beskrivelse (1-2 sætninger) | | Forretningsområde | Hvilken afdeling ejer systemet | | Systemansvarlig | Intern kontaktperson | | Risikoniveau | Uacceptabelt / High-risk / Begrænset / Minimal | | Annex III kategori | Relevant kategori hvis high-risk | | Data-typer | Typer af data systemet behandler | | Deployment dato | Hvornår systemet gik live | | Seneste review | Dato for sidst risikovurdering | | Status | Aktiv / Under vurdering / Udfaset |

Ofte oversete AI-systemer i midmarket

Her er en liste over systemer mange midmarket-virksomheder glemmer i den første inventory-runde:

Microsoft 365 / Google Workspace AI-funktioner Copilot i Teams, Word og Excel. AI-assisteret søgning i SharePoint. Gmail Smart Compose. Disse er aktivt i brug hos de fleste med M365 eller Google Workspace — og mange ved ikke de har slået dem til.

CRM og marketing automation HubSpot, Salesforce, og lignende platforms har AI-scoring af leads, predictive send-time, og AI-genereret indhold. Tjek jeres nuværende indstillinger.

ERP-integreret AI SAP, Dynamics, og Visma har alle tilføjet AI-features i de seneste versioner. Anomali-detektion, forecast-modeller, og AI-assisterede workflows.

HR og rekruttering ATS-systemer med CV-screening og kandidat-ranking. Onboarding-platforme med AI-personalisering. Performance management med AI-assisterede vurderinger.

Kundeservice Chatbots og AI-assisterede ticket-routing systemer. Voice AI i kontaktcentre. Sentiment analyse på kundefeedback.

Sikkerhed og overvågning SIEM-løsninger med AI-drevet anomali-detektion. Email security med AI-phishing-detektion. Adgangsstyring med behavioural analytics.

Produktions-OT Forudsigende vedligehold via sensor-data. AI-styret kvalitetskontrol. Energioptimering.

Vedligeholdelse: inventory som levende dokument

En inventory der kun opdateres én gang om året er ikke en inventory — det er en historisk artefakt. Her er hvad der skal sætte en opdatering i gang:

  • Ny leverandøraftale med AI-funktioner: Tilføj systemet inden deployment
  • Majoropdatering fra leverandør: Gennemgå om AI-funktionaliteten er ændret
  • Ændring i forretningsmæssig brug: Systemet bruges nu til en ny formål
  • Incident eller fejl: Review og eventuelt opdatering af risikoniveau
  • Ændring i AI Act-vejledning: Myndigheders fortolkning kan ændre klassificering

Anbefalede processer:

  • Månedlig gennemgang af nye kontrakter og leverandøropdateringer
  • Halvårlig gennemgang af hele inventory med systemansvarlige
  • Årsreview med risikovurdering og compliance-check

Hvad I bruger inventory til

En AI inventory er ikke et mål i sig selv. Den er fundamentet for:

  • Risikovurdering: Prioritering af hvilke systemer der kræver fuld compliance-indsats
  • FRIA: I kan ikke lave en Fundamental Rights Impact Assessment uden at kende systemet
  • Leverandørdialog: Inventory giver jer konkrete samtaler at have med leverandørerne
  • Træningsplanlægning: Hvem bruger hvad hjælper jer med at prioritere AI literacy-training
  • Audit-dokumentation: Tilsynsmyndigheder forventer at se et opdateret register

Valg af opbevaringsformat

Start med det enkleste format der virker. For mange midmarket-virksomheder er det et struktureret regneark de deler med relevante stakeholders. Fordele: lav barriere, alle kender formatet. Ulemper: vanskelig at vedligeholde over tid, ingen workflows, ingen automatisk notifikation.

Overvej at migrere til et dedikeret AI governance-værktøj når inventory nærmer sig 15-20 systemer. Fordelene ved et dedikeret værktøj:

  • Risikovurdering er integreret
  • Dokumentgenerering (teknisk dokumentation, FRIA) understøttes direkte
  • Compliance-status er synlig på tværs af systemer
  • Versionshistorik for ændringer

Prioritering: Hvilke systemer er vigtigst at kortlægge først?

Ikke alle AI-systemer er ens vigtige i compliance-sammenhæng. Brug denne prioriteringsrækkefølge:

Prioritet 1 — Systemer med direkte individuelle beslutningseffekter Rekrutteringsværktøjer, kreditvurderingssystemer, performance-vurderingsværktøjer. Disse er sandsynligvis high-risk under Annex III og kræver fuld compliance-indsats.

Prioritet 2 — Systemer der behandler store mængder personoplysninger CRM med AI, HR-systemer med AI-analyse, kundedataprofiler med AI-drevet segmentering. Disse kræver koordination med GDPR-complianceprocessen.

Prioritet 3 — Systemer med kritisk forretningsbetydning Produktionsstyring, supply chain-optimering, finansielle prognosemodeller. Ikke nødvendigvis high-risk, men vigtige at have dokumenteret.

Prioritet 4 — Generative AI-produktivitetsværktøjer Copilot, ChatGPT-enterprise, Gemini. Typisk ikke high-risk, men bør registreres og acceptable-brug-regler bør defineres.

Hvornår er inventory "god nok"?

Et spørgsmål der stilles hyppigt: "Hvornår er vores AI inventory komplet?" Svaret er pragmatisk: Det er komplet nok når det dækker de systemer med størst risiko og forretningsmæssig betydning, og når det har en vedligeholdelsesproces der holder det opdateret.

Perfekt er fjenden for det gode. En inventory med 80% dækning der er opdateret er mere værd end en 100% inventory der er seks måneder forældet.

Tre tegn på en "god nok" inventory:

  • Alle high-risk AI-systemer er identificeret og har fuldstændige records
  • Alle systemer med direkte individuelle beslutningseffekter er inkluderet (rekruttering, kredit, sundhed)
  • Der er en vedligeholdelsesproces der automatisk tripper ved nye indkøb

Inventory og revisionsberedskab

Hvis tilsynsmyndigheder anmoder om dokumentation, er AI inventory'en typisk det første dokument de vil se. En god inventory demonstrerer at I har overblik over jeres AI-deployment og tager compliance alvorligt.

Det I bør have klar til et tilsyn:

  • En opdateret inventory med dato for seneste review
  • Dokumentation for klassificeringsgrundlaget for hvert high-risk system
  • Kontaktoplysninger på leverandørerne af high-risk systemer
  • Status på FRIA og teknisk dokumentation for high-risk systemer

Selv en simpel og ufuldstændig inventory der viser en god-tro indsats vil stå stærkere end ingen inventory overhovedet.

Første skridt — i morgen

Start med dette:

  1. Send en e-mail til alle IT-systemejenere med spørgsmålet: "Inkluderer de systemer du ejer AI-funktioner?"
  2. Tjek jeres Microsoft 365 / Google Workspace admin-indstillinger for aktiverede AI-features
  3. Gennemgå de fem nyeste leverandøraftaler for AI-clausuler eller AI-funktioner
  4. Skriv de første ti systemer ned — det er nok til at validere jeres inventory-format
  5. Download AI Act-tjeklisten og brug den til at prioritere næste skridt

En AI inventory på ti systemer taget på to dage er mere værd end en perfekt inventory planlagt til næste kvartal. Start i dag.

Virksomheder der ønsker en struktureret platform til inventory og risikoklassificering kan bruge Atlas, der giver et centralt AI register med integreret governance-workflow. Men regneark er et fuldt acceptabelt udgangspunkt.

Det I ikke ved I har, kan I ikke regulere. Inventory er ikke bureaukrati — det er grundlaget for al beslutningstagning om AI i jeres organisation.

eu-ai-actai-inventorycompliancegovernance
DelLinkedInX

Spekir bygger det lag, der forbinder strategi med IT-porteføljen. Se Atlas →

Relaterede artikler

EU AI Act for midmarket — hvad du faktisk skal gøre

En pragmatisk køreplan til IT-leder eller compliance-koordinator der skal omsætte EU AI Act til handling uden dedikeret compliance-team. De 20 ting, prioritering og hvad der er realistisk.

9 min

Annex III forklaret — hvornår er din AI 'high-risk'?

De otte kategorier i Annex III gennemgået med konkrete eksempler fra nordisk midmarket. Hvornår er jeres rekrutteringsværktøj, kreditscoring eller OT-system high-risk under EU AI Act?

8 min

Din AI-politik — 8 sektioner du ikke kan undvære

Hvad skal en AI-politik indeholde? De otte obligatoriske sektioner, typiske fejl og hvad der adskiller en politique der faktisk bruges fra én der lever i en PDF-mappe ingen åbner.

8 min

Alle artikler