Gå til hovedindhold

Juridisk AI-værktøjskasse

Naviger i juridiske krav til kunstig intelligens med KL’s juridiske AI-værktøjskasse. Værktøjskassen er tænkt som en praktisk hjælp til kommunernes arbejde med at overholde reglerne i databeskyttelsesforordningen (GDPR) og databeskyttelsesloven samt AI-forordningen. Værktøjskassen er især relevant for medarbejdere, der er complianceansvarlige og digitaliseringskonsulenter mv.

Indhold

    KL’s juridiske AI-værktøjskasse er udviklet i samarbejde med Poul Schmith/Kammeradvokaten, som et praktisk værktøj til kommuner, der arbejder med kunstig intelligens. Det skal hjælpe kommuner med at vurdere, om en løsning er et AI-system, AI-systemets risikokategori, kommunens rolle, og om AI-systemet behandler personoplysninger. Værktøjet guider trin for trin kommunen gennem kravene i både AI-forordningen og databeskyttelsesreglerne.

    Den juridiske AI-værktøjskasse findes i tre udgaver:

    • En interaktiv udgave, der fungerer som en visuel guide og vejleder kommunerne gennem hele processen – fra idé til idriftsættelse – med mulighed for at generere en afsluttende vejledende oversigt, som kan bruges i det videre arbejde. Den interaktive AI-værktøjskasse munder til sidst ud i en redigerbar vejledende oversigt for det undersøgte AI-system, som I kan rette til i jeres videre arbejde med AI-systemet.
    • En klassisk udgave med fold-ud menuer, beskrivelser og links til de centrale begreber, handlinger og dokumenter.
    • En dokumentsamling til medarbejderne, der ved præcist hvilke dokumenter de har behov for at anvende.

    Den interaktive juridiske AI-værktøjskasse

    Herunder kan I afprøve KL’s interaktive juridiske AI-værktøjskasse. I kan klikke på alle de runde knapper for at tilgå viden, links og andre ressourcer. For at bevæge jer videre i den interaktive AI-værktøjskasse bedes I klikke på den blå knap med pilen i bunden. Løbende præsenteres I for valg, I skal tage stilling til, før I modtager den vejledende oversigt til kommunens undersøgte AI-system.

    Den klassiske juridiske AI-værktøjskasse

    Herunder finder I de forskellige punkter, kommunen skal arbejde sig igennem i KL’s juridiske AI-værktøjskasse. Det er opbygget som en fold-ud-menu, med tekst, links og dokumenter til jeres arbejde med undersøgelse af AI-systemer i kommunerne. 

    1. Undersøg om systemet er et AI-system

    Et ”AI-system” er ifølge AI-forordningen et maskinbaseret system, der kan fungere med varierende grad af autonomi og tilpasse sig efter det input, det modtager. Systemet kan – ud fra det input, det modtager – udlede, hvordan det kan generere output som forudsigelser, indhold, anbefalinger eller beslutninger, der kan påvirke fysiske eller virtuelle miljøer.

    Se EU-Kommissionens vejledning om AI

    Uddybning af definitionen af et AI-system

    1. "Maskinbaseret system" er et system, der udvikles med og kører på maskiner – det vil sige, at det består af både hardware- og softwarekomponenter. Hardware kan være fysiske elementer som processorer, hukommelse og netværksenheder, mens software omfatter computerkode, programmer og applikationer, der styrer, hvordan hardwaren behandler data og udfører opgaver.
    2. "Fungerer med varierende grad af autonomi" betyder, at AI-systemet er designet til at kunne fungere med en vis grad af uafhængighed fra menneskelig indgriben. Det betyder, at systemet kan træffe beslutninger eller generere output, uden at et menneske manuelt styrer eller præcist specificerer hvert enkelt skridt. Autonomi spænder fra systemer, der kun kræver lidt menneskelig indgriben, til systemer, der kan fungere helt selvstændigt. Systemer, der kun fungerer med fuld manuel kontrol, er ikke omfattet af definitionen.
    3. "Tilpasse sig efter input" betyder, at AI-systemet efter idriftsættelsen kan udvise tilpasningsevne, hvilket betyder, at det kan ændre sin adfærd eller output baseret på nyt input eller erfaringer. Dette kaldes også selvlæringskapacitet. Det er dog ikke et krav, at alle AI-systemer skal kunne tilpasse sig – det er tilstrækkeligt, at systemet har potentialet til at kunne gøre det. Definitionen af et AI-system omfatter således både såkaldt ”statiske” AI-systemer – dvs. hvor AI-systemet ikke ændrer sin model, når systemet anvendes i drift – samt ”adaptive” eller ”dynamiske” AI-systemer, som netop ændrer sig i takt med, at de anvendes i drift og præsenteres for nye inputdata.
    4. "Udleder, hvordan det kan generere output" betyder, at systemet skal kunne lære af data, dvs. selv udlede eller skabe en model for, hvordan det skal generere output i nye tilfælde, der ligner de data, som systemet blev trænet på. Denne evne er central i definitionen og det betyder, at f.eks. automatiserede, matematiske udregninger i et Excelark ikke udgør et AI-system. De teknikker, der muliggør udledning ved opbygningen af et AI-system, omfatter f.eks. maskinlæringstilgange, der af data lærer, hvordan bestemte mål kan nås.
    5. "Output som kan påvirke fysiske eller virtuelle miljøer" betyder, at AI-systemet genererer output, der kan have en effekt på enten den fysiske verden (fx en robotarm, der bevæger sig) eller virtuelle miljøer (fx beslutninger i et IT-system). Output kan være forudsigelser, indhold, anbefalinger eller beslutninger, som kan ændre eller påvirke omgivelserne, hvor systemet anvendes. I generative AI-systemer såsom ChatGPT eller lignende løsninger er outputtet typisk tekst, billeder eller lyd m.v., som genereres via brugerens ”prompt” eller kommandoer til systemet i dets brugergrænseflade.

    2. Undersøg om AI-systemet behandler personoplysninger

    Personoplysninger er enhver information om en identificeret eller identificerbar fysisk person. Dvs. personoplysninger er informationer, der kan bruges til at genkende eller finde frem til en bestemt person. Man siger også, at de er personhenførbare, fordi de kan henføres til enkeltpersoner. Det kan være helt tydelige oplysninger som navn, adresse eller CPR-nummer, men også mere indirekte oplysninger som en e-mailadresse, et billede eller oplysninger om en persons helbred. Hvis en oplysning på nogen måde kan bruges til at identificere en fysisk person – alene eller sammen med andre oplysninger – så er det en personoplysning.

    Se Datatilsynets vejledning om personoplysninger

    Hvis du både bruger et AI-system og behandler personoplysninger, skal du følge både databeskyttelsesreglerne (se afsnit 3) og AI-forordningen (se afsnit 4). I så fald er alle værktøjer i den juridiske AI-værktøjskasse relevante for dig.

    3. Vurdering i forhold til databeskyttelsesreglerne

    Kommunerne skal sikre, at databeskyttelsesretlige krav bliver overholdt ved udvikling, indkøb og drift af AI-systemer. Til dette formål findes to centrale dokumenter:

    "Vejledning til oversigt over databeskyttelsesretlige krav" hjælper kommunerne med at udarbejde en systematisk oversigt over kravene. Den kan anvendes både i forbindelse med udvikling og indkøb af AI-systemer og giver et struktureret grundlag for at arbejde med databeskyttelse i praksis.

    Klik for at åbne "Vejledning til oversigt over databeskyttelsesretlige krav"

    ”Oversigt over databeskyttelsesretlige krav” giver en oversigt over de databeskyttelsesretlige krav, som gælder for kommunernes AI-systemer. Det dækker bl.a. regler om gennemsigtighed, dataminimering, datasikkerhed, borgernes rettigheder og governance. Formålet er at understøtte kommunernes arbejde med at dokumentere og efterleve GDPR gennem ”følg eller forklar”-princippet.

    Klik for at åbne "Oversigt over databeskyttelsesretlige krav"

    Det er vigtigt at have styr på hjemmelsgrundlaget for at bruge AI-systemer. Kommunen skal have et behandlingsgrundlag (hjemmel) for at behandle personoplysninger til udvikling og idriftsættelse af AI-systemet. Ifølge Datatilsynets praksis gælder: Jo mere indgribende behandlingen er for borgerne, jo klarere skal lovgrundlaget være.

    Kommuners brug af AI-løsninger kan ikke generelt siges altid at være indgribende for borgerne. Men kommunernes borgerrettede brug af sådanne løsninger vil dog i sagens natur typisk have indflydelse på borgernes livssituation. Derfor vil den behandling af personoplysninger, som AI-løsningen foretager, ofte være indgribende. Som et eksempel på et tilfælde, hvor der derfor ifølge Datatilsynets praksis kræves en klar lovhjemmel for brug af et AI-system, kan nævnes en situation, hvor en kommune ønsker at anvende et AI-system med profilering af borgere i ældreplejen med henblik på at anvende systemet som beslutningsstøtte til at træffe beslutninger om, hvilke borgere der skal tilbydes genoptræningsforløb. 

    Læs mere i Datatilsynets vejledning ”Offentlige myndigheders brug af kunstig intelligens – Inden I går i gang” (pdf)

    Omvendt vil brug af AI til generelle myndighedsopgaver, der ikke er direkte borgerrettede, være mindre indgribende. For eksempel hvis AI bruges til at analysere GPS-data fra hjemmeplejens biler for at effektivisere brugen – her påvirkes borgerne ikke direkte. Det betyder dog ikke, at sådanne systemer er uregulerede. De vil stadig skulle overholde:

    • AI-forordningens generelle krav til f.eks. gennemsigtighed, og
    • Databeskyttelsesreglerne, hvis systemet behandler personoplysninger, f.eks. data, der kan knyttes til medarbejdere eller borgere.

    Denne vurdering skal dokumenteres i konsekvensanalysen (DPIA), som du kan læse mere om herunder.

    Som udgangspunkt må kommunen ikke træffe afgørelser, der sker helt automatisk – altså uden at et menneske kigger på og vurderer sagen. Det følger af databeskyttelsesforordningens artikel 22. 

    Reglen gælder automatisk, så borgeren behøver ikke selv sige fra for at være beskyttet.

    Formålet med reglen er at sikre, at borgere ikke bliver ramt af afgørelser, der kan have stor betydning for deres liv, uden at et menneske har taget stilling. En fuldautomatisk afgørelse kan nemlig overse vigtige detaljer eller nuancer, som en medarbejder ville kunne vurdere.

    Der findes dog enkelte undtagelser, hvor automatiske afgørelser kan være lovlige:

    • hvis der står direkte i lovgivningen, at kommunen må bruge automatiske afgørelser,
    • hvis borgeren har givet sit udtrykkelige samtykke,
    • eller hvis det er nødvendigt for at gennemføre en aftale.

    Selv i de tilfælde, hvor en undtagelse gælder, skal kommunen sikre, at borgeren stadig har ret til at få en medarbejder til at se på sagen, til at udtale sig og til at klage over afgørelsen. Vurderingen af, om AI-systemet er omfattet af forbuddet mod automatiske individuelle afgørelser – og om der er hjemmel til at bruge løsningen – skal dokumenteres i konsekvensanalysen (DPIA), som du kan læse mere om nedenfor i punkt 3.3.

    Hvis kommunens behandling af personoplysninger sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal der udarbejdes en konsekvensanalyse vedrørende databeskyttelse forud for behandlingen af personoplysningerne efter GDPR artikel 35. På engelsk kaldes analysen for en ”data protection impact assessment”, hvorfor den ofte henvises til som blot ”DPIA”. 

    Kommunen skal som hovedregel lave en DPIA, når der behandles personoplysninger til udvikling og brug af AI-løsninger. Det skyldes, at AI ofte er ny teknologi og typisk indebærer (i) behandling af følsomme oplysninger, (ii) oplysninger om sårbare personer eller (iii) behandling af personoplysninger i stort omfang.

    Læs mere i Datatilsynets vejledning ”Offentlige myndigheders brug af kunstig intelligens – Inden I går i gang” (pdf) 

    Det er vigtigt at komme i gang med analysen tidligt i projektet. Husk også at opdatere og vedligeholde den, når løsningen tages i brug eller der sker ændringer.

    Brug DPIA-skabelonen til at lave en DPIA og få overblik over de relevante overvejelser ved brug af AI-systemet til behandling af personoplysninger

    Vær opmærksom på, at kommunen ofte skal lave både en FRIA (efter AI-forordningen) og en DPIA (efter GDPR) i AI-projekter, hvor der behandles personoplysninger.

    Databeskyttelse skal tænkes ind i alle faser af AI-systemets livscyklus, jf. GDPR artikel 25. Det er vigtigt, at databeskyttelse indgår i designet, så det bliver en naturlig del af løsningen. Det sikrer både overholdelse af reglerne og gør det lettere at beskytte data.

    Kommunen er dataansvarlig og skal sikre, at databeskyttelsesreglerne overholdes – også når der købes standardløsninger fra leverandører.

    Du kan anvende følgende værktøj i arbejdet med databeskyttelse gennem design og gennem standardindstillinger:

    Brug værktøjet "Oversigt over databeskyttelsesretlige krav"

    Værktøjet kan bruges både, når kommunen selv udvikler en AI-løsning, og som tjekliste ved screening af standardløsninger, der købes på markedet.

    4. Undersøg om AI-systemet er omfattet af AI-forordningen

    Forpligtelserne i AI-forordningen afhænger af, hvilken risikokategori AI-systemet er omfattet af, samt hvilken rolle kommunen har i forhold til systemet. Du skal derfor starte med at afklare dette. 

    4.1 Vurder AI-systemets risikokategori:

    De AI-systemer, som medfører en uacceptabelt høj risiko, betegnes også som forbudte AI-praksisser. De forbudte praksisser, som kommunerne bør være særligt opmærksomme på, omfatter brugen af AI-systemer til følgende formål:

    • Subliminal manipulation (Skadelig manipulation og vildledning) med henblik på eller med det resultat at fordreje adfærd, hvilket forvolder eller med rimelig sandsynlighed vil forvolde betydelig skade.
    • Udnyttelse af sårbarheder (alder, handicap, social/økonomisk situation) for at påvirke adfærd på en måde, som medfører skade for personer.
    • Social scoring hvis den fører til skadelig eller ugunstig behandling af visse fysiske personer eller grupper af personer.
    • Risikovurdere fysiske personer for at forudsige risikoen for, at de vil begå strafbare handlinger, baseret alene på profilering af en fysisk person eller en vurdering af personlighedstræk og personlige egenskaber.
    • Oprettelse/udvidelse af ansigtsgenkendelsesdatabaser via ikke-målrettet indsamling af data fra internettet eller overvågning.
    • Følelsesgenkendelse på arbejdspladser eller i uddannelsesinstitutioner (medmindre begrundet i medicinske eller sikkerhedsmæssige hensyn).
    • Biometrisk kategorisering af personer med henblik på at udlede deres race, politiske anskuelser, fagforeningsmedlemskab, religiøse eller filosofiske overbevisninger, seksuelle forhold eller seksuelle orientering.
    • Biometrisk fjernidentifikation i realtid i offentlige rum til retshåndhævelse.

    Eksempler på AI-systemer med uacceptabel risiko, som kan være relevante for kommuner:

    1. En skole eller anden uddannelsesinstitution bruger et AI-system til at aflæse elevers følelser under undervisning eller optagelsesprøver. Systemet forsøger f.eks. at vurdere, om en elev virker koncentreret eller om eleven er egnet til uddannelsen.
    2. En kommune eller anden offentlig myndighed bruger AI til at lave profiler af familier for at forudsige, om deres børn kan blive udsatte. Profileringen bygger f.eks. på oplysninger om forældrenes mentale helbred, om de er arbejdsløse eller på deres sociale adfærd.
    3. Et AI-system bruges på en arbejdsplads – for eksempel i en kommune – til at overvåge medarbejderes følelser under samtaler. Systemet måler f.eks., om en medarbejder virker stresset eller vred.

    Stop straks og kontakt den ansvarlige projektleder, hvis du arbejder med sådanne systemer.

    Læs mere om forbudte AI-praksisser i EU-Kommissionens vejledning

    Disse systemer er ikke forbudte, men der stilles en række tekniske og organisatoriske krav.

    Som eksempler på højrisiko-AI-systemer kan nævnes følgende med særlig relevans for kommunerne:

    Uddannelse og erhvervsuddannelse:

    1. Når et AI-system bruges til at afgøre, om en person kan blive optaget på en skole, et gymnasium, universitet eller anden uddannelsesinstitution, eller hvordan pladser skal fordeles mellem ansøgere, f.eks. hvem der får adgang til bestemte linjer, programmer eller særlige ressourcer.
    2. Når et AI-system bruges til at vurdere elevernes eller de studerendes læringsresultater – for eksempel i form af karakterer, testresultater eller anden faglig evaluering – og disse vurderinger har betydning for, hvordan undervisningen tilrettelægges, eller hvilke muligheder den enkelte får i det videre uddannelsesforløb.
    3. Når et AI-system bruges til at fastslå, hvilket uddannelsesniveau en person har behov for, eller hvilket uddannelsestilbud personen kan få adgang til. Det kan for eksempel være systemer, der automatisk vurderer, om en elev bør tilbydes ekstra støtteundervisning, eller om en studerende er kvalificeret til et bestemt specialiseret kursus.
    4. Når et AI-system bruges til at overvåge eksamener eller prøver med det formål at opdage snyd eller anden forbudt adfærd, for eksempel gennem videoovervågning, analyse af tastemønstre eller anden automatiseret kontrol.

    Beskæftigelse, forvaltning af arbejdstagere og adgang til selvstændig virksomhed:

    1. Når et AI-system bruges i forbindelse med rekruttering eller udvælgelse af medarbejdere – for eksempel til at målrette jobannoncer mod bestemte kandidater, automatisk sortere eller filtrere ansøgninger eller vurdere ansøgeres kvalifikationer.
    2. Når et AI-system bruges til at træffe beslutninger, der påvirker medarbejderes ansættelsesforhold, f.eks. hvem der skal forfremmes, hvem der skal have ændrede arbejdsopgaver, eller hvem der eventuelt skal afskediges. Det kan også være systemer, der fordeler arbejdsopgaver baseret på data om den enkeltes præstationer eller adfærd, eller som overvåger og vurderer medarbejderes indsats.

    Adgang til og benyttelse af væsentlige private tjenester og væsentlige offentlige tjenester og ydelser:

    1. Når et AI-system bruges af offentlige myndigheder – eller på deres vegne – til at vurdere, om borgere har ret til væsentlige offentlige ydelser og tjenester, herunder sundhedsydelser. Det kan f.eks. være systemer, der automatisk behandler ansøgninger om kontanthjælp, sygedagpenge eller tilskud til behandling, og som kan træffe afgørelser om at tildele, reducere, stoppe eller kræve tilbagebetaling af sådanne ydelser på baggrund af oplysninger om den enkeltes situation.

    Ved væsentlige offentlige bistandsydelser forstås bl.a. sundhedstjenester, socialsikringsydelser, sociale tjenester, der yder beskyttelse i tilfælde af barsel, sygdom, arbejdsulykker, afhængighed eller alderdom og tab af beskæftigelse samt social bistand og boligstøtte m.v.
     
    Hvis du bruger eller udbyder et højrisiko-AI-system, kan du bruge værktøjet "Oversigt over krav efter AI-forordningen (Højrisiko) (Udbyder)" eller "Oversigt over krav efter AI-forordningen (Højrisiko) (Idriftsætter)" afhængig af kommunens rolle:

    Brug værktøjet "Oversigt over krav efter AI-forordningen (Højrisiko) (Udbyder)"

    Brug værktøjet "Oversigt over krav efter AI-forordningen (Højrisiko) (Idriftsætter)"


    Inden idriftsættelsen af et højrisiko-AI-system vil det ofte være relevant at udarbejde en konsekvensanalyse vedrørende grundlæggende rettigheder for højrisiko-AI-systemer, som på engelsk kaldes en Fundamental Rights Impact Assessment og forkortes ”FRIA”. Til brug for analysen kan du anvende værktøjet FRIA-skabelon. I kan læse mere om, hvornår I skal lave en FRIA længere nede i vejledningen.

    Brug værktøjet "FRIA-skabelon"

    AI-forordningen stiller særlige krav om gennemsigtighed for visse AI-systemer, der ikke er højrisiko, men hvor det er vigtigt, at borgerne ved, at de interagerer med AI. Et AI-system med begrænset risiko er et system, hvor der stadig kan være en vis påvirkning af brugeren, men ikke på en måde, der anses som farlig eller stærkt indgribende.

    Eksempler på AI-systemer med begrænset risiko, som kan være relevante for kommuner:

    1. AI-systemer, der interagerer med mennesker, herunder chatbots, hvor brugeren skal informeres om, at de taler med en maskine.
    2. AI-systemer, der genererer eller manipulerer indhold, f.eks. billeder, tekst eller video, hvor det skal fremgå, at indholdet er skabt af AI (fx deepfakes).
    3. AI-systemer, der anvendes til følelsesgenkendelse eller biometrisk kategorisering (og hvor AI-systemet ikke er omfattet af forbuddet i artikel 5, jf. herom ovenfor). 

    Kravene til systemer med begrænset risiko vil typisk være:

    • Gennemsigtighed, hvor brugeren skal vide, at de interagerer med et AI-system.
    • Mulighed for at tage informerede valg (fx kunne fravælge anbefalinger i tilfælde af et anbefalingssystem).

    De skal altså ikke leve op til krav om risikostyring, dokumentation og tredjepartscertificering, som gælder for højrisikosystemer.

    Du kan anvende ét af følgende værktøjer afhængigt af kommunens rolle: "Oversigt over krav efter AI-forordningen (Begrænset risiko) (Udbyder)" eller "Oversigt over krav efter AI-forordningen (Begrænset risiko) (Idriftsætter)":

    Brug værktøjet "Oversigt over krav efter AI-forordningen (Begrænset risiko) (Udbyder)" 

    Brug værktøjet "Oversigt over krav efter AI-forordningen (Begrænset risiko) (Idriftsætter)"

    Her hører de AI-systemer til, som ikke er omfattet af de tre andre kategorier. Det kan for eksempel være AI i spamfiltre, optimering af kommunens bilflåde eller generering af tekstindhold til nyheder. For disse systemer gælder der ingen særlige krav i AI-forordningen.

    4.2 Fastlæg kommunens rolle

    Find ud af, hvilken rolle kommunen har i forhold til AI-systemet. Kommunens forpligtelser afhænger af rollen og risikokategorien. Kommunen vil oftest være enten:

    • Udbyder: Kommunen er udbyder, når kommunen udvikler eller får udviklet et AI-system og bringer det i omsætning eller ibrugtager AI-systemet under eget navn.
    • Idriftsætter: Kommunen er idriftsætter, når kommunen anvender et AI-system i sin myndighedsudøvelse. 

    Her er nogle praktiske eksempler på rollefordelingen. Bemærk, at en kommune kan være både udbyder og idriftsætter i forhold til det samme AI-system, jf. eksempel 2 og 3 nedenfor:

    • Eksempel 1: En kommune køber et CV-screeningsværktøj fra en leverandør med henblik på at bruge CV-screeningsværktøjet til at frasortere ansøgere i kommunens ansættelsesproces.
      Kommunen er idriftsætter, leverandøren er udbyder.
    • Eksempel 2: En kommune vælger at egenudvikle et CV-screeningsværktøj og ibrugtager det på samme måde som i eksempel 1 ovenfor. Kommunen er både udbyder og idriftsætter.
    • Eksempel 3: En kommune indgår en kontrakt med en it-leverandør, der skal udvikle et skræddersyet CV-screeningsværktøj til kommunen. Her er kommunen igen både udbyder og idriftsætter, fordi it-leverandøren ikke selv bringer systemet i omsætning på markedet eller ibrugtager det i eget navn.
    • Eksempel 4: En kommune anvender en generativ AI-løsning fra en stor cloudleverandør uden at ændre systemet. Her er cloudleverandøren udbyder og kommunen idriftsætter.

    Vær opmærksom på, at kommunens rolle kan ændre sig, hvis kommunen fx ændrer systemet væsentligt eller bruger det i nye sammenhænge. Dette følger af AI-forordningens artikel 25. Kommunen kan dermed gå fra kun at være idriftsætter til også at være udbyder.

    • Eksempel 1: Kommunen køber et færdigudviklet CV-screeningsværktøj og er derfor idriftsætter. Hvis kommunen senere selv ændrer systemet væsentligt, f.eks. ved at ændre systemets algoritmer for at tilpasse udvælgelseskriterierne, eller udvikler nye moduler, så systemet får en funktionalitet, som går ud over det, leverandøren har leveret, vil kommunen også blive udbyder.
    • Eksempel 2: Kommunen udvikler selv et CV-screeningsværktøj og er derfor både udbyder og idriftsætter. Hvis kommunen senere beslutter at stille værktøjet til rådighed for andre kommuner eller sælge det kommercielt, vil dens rolle som udbyder blive yderligere tydelig, fordi kommunen nu bringer systemet i omsætning til andre aktører.
    • Eksempel 3: Kommunen får udviklet et skræddersyet CV-screeningsværktøj af en it-leverandør, men det er kommunen, der ibrugtager det under eget navn. Hvis kommunen senere udvider systemet med nye funktioner, f.eks. til også at håndtere andre typer rekruttering eller endda helt andre formål, vil det kunne betyde, at kommunen nu betragtes som udbyder af et nyt system, fordi det går ud over det oprindelige formål.
    • Eksempel 4:Kommunen bruger en generativ AI-løsning fra en cloudleverandør uden at ændre systemet og er derfor kun idriftsætter. Hvis kommunen begynder at integrere egne algoritmer i løsningen eller tilføjer egne træningsdata, så output væsentligt ændres i forhold til standardløsningen, kan den også blive udbyder, fordi den skaber en ny variant af systemet.

    Ud fra vurderingen af AI-systemets risikokategori samt kommunens rolle i forhold til AI-systemet, kan du nu vælge det relevante værktøj, der kan hjælpe dig med at identificere de krav, du skal overholde i forhold til AI-systemet:

    Oversigt over krav efter AI-forordningen (Højrisiko) (Udbyder) 

    Oversigt over krav efter AI-forordningen (Højrisiko) (Idriftsætter) 

    Oversigt over krav efter AI-forordningen (Begrænset risiko) (Udbyder) 

    Oversigt over krav efter AI-forordningen (Begrænset risiko) (idriftsætter) 

    4.3 AI-konsekvensanalyse (FRIA)

    Hvis kommunen er idriftsætter af et højrisiko-AI-system, skal der laves en FRIA, der står for en ”fundamental rights impact assessment”, efter AI-forordningens artikel 27. Dette gælder dog ikke for højrisiko-AI-systemer, der bruges som sikkerhedskomponenter i kritisk infrastruktur, fx digital infrastruktur, vejtrafik eller forsyning af vand, gas, varme og el, jf. Bilag 3 (Højrisiko-AI-systemer omhandlet i artikel 6, stk. 2 ). 

    Når du skal udarbejde en FRIA, kan du anvende værktøjet "FRIA-skabelon":

    Brug værktøjet "FRIA-skabelon"

    5. Uddannelse af medarbejderne i AI-færdigheder

    Medarbejdere skal have de nødvendige AI-færdigheder (AI-literacy) for at bruge AI ansvarligt. AI-forordningens artikel 4 kræver, at udbydere og idriftsættere sikrer, at medarbejdere og andre involverede har tilstrækkelig viden og kompetencer – uanset AI-systemets risikokategori.

    AI-færdigheder dækker over teknisk viden, erfaring, uddannelse, den konkrete anvendelseskontekst og de personer, som AI påvirker.

    Digitaliseringsstyrelsen anbefaler en systematisk indsats med e-læring, interne fagfællesskaber og løbende opdatering af viden.

    Læs Digitaliseringsstyrelsens vejledning om AI-færdigheder

    Dansk Standard anbefaler en risikobaseret tilgang, så indsatsen matcher organisationens behov og AI-systemernes kompleksitet. De foreslår en enkel 5-trins model: kortlæg behov, sæt mål, planlæg træning, gennemfør og forankr, og evaluer løbende.

    Læs Dansk Standards guide om AI-færdigheder