Bestyrelsesansvar og AI: Hvad loven kræver af dig som leder?

EU AI Act er ikke kun et compliance-spørgsmål for IT-afdelingen. Loven placerer et tydeligt ansvar direkte i bestyrelseslokalet. Som bestyrelsesmedlem eller direktør i en dansk virksomhed der anvender AI-systemer, har du en forpligtelse til at kende loven — og til at sikre at virksomheden handler derefter.

Denne artikel forklarer præcis hvad bestyrelsesansvaret indebærer i praksis, hvilke konsekvenser det har at se bort fra det, og hvordan I strukturerer AI-governance i jeres organisation.

Hvad er bestyrelsesansvar i AI-kontekst?

Bestyrelsesansvar handler traditionelt om at varetage virksomhedens langsigtede interesser, sikre forsvarlig drift og overholde gældende lovgivning. Med EU AI Act udvides dette ansvar konkret til at dække brugen og styringen af kunstig intelligens i organisationen.

Loven introducerer begrebet "AI governance" — altså de politikker, procedurer og strukturer der sikrer ansvarlig brug af AI. Bestyrelsen forventes at godkende og overvåge disse strukturer på samme måde som finansiel governance eller databeskyttelsespolitikker.

Tænk på det som en naturlig udvidelse af den due diligence-forpligtelse bestyrelsen allerede har: ligesom bestyrelsen er ansvarlig for at virksomheden overholder GDPR og bogføringsloven, er den nu ansvarlig for at AI-systemer anvendes lovligt og ansvarligt.

Hvad siger EU AI Act om ledelsesansvar?

EU AI Act stiller eksplicitte krav til de såkaldte "providers" og "deployers" af AI-systemer — dvs. de virksomheder der enten udvikler eller anvender AI. For begge kategorier gælder det, at der skal etableres klare ansvarsstrukturer og governanceprocedurer.

Loven kræver specifikt at:

1.    Der udpeges en ansvarlig person eller funktion for AI-compliance i organisationen

2.    AI-risici identificeres, dokumenteres og løbende overvåges

3.    Der er tilstrækkelig menneskelig oversight over høj-risiko AI-systemer

4.    Medarbejdere der arbejder med AI-systemer har den nødvendige kompetence og viden

5.    Bestyrelsen kan dokumentere sit tilsyn og sine beslutninger om AI

For høj-risiko AI-systemer — fx systemer brugt i HR, kreditvurdering eller sundhed — er kravene endnu skrappere. Her skal ledelsen aktivt sikre at der foreligger risikovurderinger, teknisk dokumentation og audit logs.

Hvad betyder det for danske virksomheder?

Mange danske virksomheder er allerede i gang med AI-implementering uden at have etableret den nødvendige governance-struktur. Det er et problem — ikke kun juridisk, men også strategisk.

Konsekvenserne af manglende compliance kan inkludere bøder op til 35 mio. EUR eller 7 % af global omsætning, midlertidig eller permanent forbud mod anvendelse af AI-systemet, erstatningsansvar over for berørte parter, og alvorlig omdømmeskade.

Bestyrelsen bør ikke vente på at IT-afdelingen løser det. AI-compliance er en strategisk ledelsesopgave — og den er bestyrelses ansvar.

De fem nøgleopgaver for bestyrelsen i 2025-2026

1. Sæt AI på bestyrelsesdagsordenen

AI-governance skal behandles på samme niveau som finansiel risikostyring. Det kræver at bestyrelsen modtager regelmæssige statusrapporter om virksomhedens AI-anvendelse og compliance-status.

2. Kend jeres AI-anvendelse

Bestyrelsen skal kende svaret på grundlæggende spørgsmål: Hvilke AI-systemer bruger vi? Hvilken risikokategori tilhører de? Hvem er ansvarlig for dem? Uden dette overblik er det umuligt at efterleve loven.

3. Udpeg en AI Compliance Officer

Ligesom mange virksomheder har en DPO (Data Protection Officer) for GDPR, anbefaler vi at udpege en AI Compliance Officer — en person der har det daglige ansvar for AI-governance og holder bestyrelsen informeret. Promentek tilbyder certificering til denne rolle via AICO-uddannelsen.

4. Godkend en AI-politik

Bestyrelsen bør godkende en overordnet AI-politik der fastlægger principper for ansvarlig brug af AI i organisationen — herunder krav til risikovurdering, transparens og menneskelig oversight.

5. Sikre løbende kompetenceudvikling

EU AI Act forudsætter at relevante medarbejdere har "AI literacy" — dvs. tilstrækkelig forståelse til at anvende AI-systemer ansvarligt. Det er bestyrelsens opgave at sikre at denne kompetence er til stede i organisationen.

Sådan kommer I i gang — 4 konkrete trin

1. Lav en AI-kortlægning

Identificér alle AI-systemer virksomheden bruger eller udvikler. Hvem leverer dem? Hvilke data behandler de? Tilhører de en høj-risiko kategori?

2. Vurder jeres nuværende governance

Har I allerede et ISO 27001 ISMS? Det er et stærkt fundament der kan udvides med AI-specifikke kontroller. Mangler I et formaliseret system, kan ISO 42001 (standarden for AI Management Systems) være udgangspunktet.

3. Udpeg ansvar og etabler rapporteringslinjer

Afgør hvem der har det operative ansvar for AI-compliance, og etabler en klar rapporteringslinje til bestyrelsen.

4. Uddan ledelse og nøglepersoner

Bestyrelsen og ledelsen behøver ikke blive tekniske eksperter — men I skal forstå de centrale begreber, risici og krav. Et kompetencegivende kursuscertifikat som AICO sikrer den nødvendige indsigt.

Konklusion

EU AI Act markerer en ny æra for ledelsesansvar i Europa. Bestyrelsen kan ikke længere delegere ansvaret for AI ned i organisationen og håbe på det bedste. Loven kræver et aktivt, dokumenteret og struktureret tilsyn — og det er bestyrelsens opgave at levere det.

De virksomheder der handler nu — ved at kortlægge AI-anvendelse, udpege ansvarlige og uddanne nøglepersoner — vil ikke blot undgå bøder. De vil opbygge en AI-governance-kultur der skaber tillid og konkurrencefordel i det europæiske marked.