februar 18, 2026    In Compliance    By Glenn Kristiansen

EU AI Act: Når «vi tar det senere» kan koste deg dyrt

EU AI Act er i ferd med å bli like uunngåelig for AI-selskaper og profesjonelle AI-brukere som MVA er for regnskapsførere. For tidligfaseselskaper innen helsetech, HR, fintech og SaaS kan dette faktisk bli et konkurransefortrinn – hvis man tenker riktig fra start. Alternativet er ofte kostbare ombygginger, forsinkelser og i verste fall betydelige bøter.

Hva er EU AI Act – kort forklart

EU AI Act er EUs nye rammeverk for kunstig intelligens. Målet er å sikre at AI tas i bruk på en måte som ivaretar helse, sikkerhet og grunnleggende rettigheter, uten å kvele innovasjon. Regelverket gjelder både for dem som utvikler AIsystemer (leverandører) og for virksomheter som bruker dem profesjonelt (brukere/deployers).

Kjernen er en risikobasert tilnærming: jo større påvirkning et system kan ha på mennesker og samfunn, jo strengere krav stilles.

Fire risikonivåer – slik brukes de i praksis

For de fleste virksomheter er det nyttig å kjenne hovedinndelingen:

• Forbudt AI: systemer som manipulerer sårbare grupper, sosial poenggiving og enkelte former for biometrisk masseovervåking.
• Høyrisiko AI: systemer som påvirker jobb, utdanning, kreditt, velferd, kritisk infrastruktur – samt deler av helse- og pasientnære løsninger.
• AI med særskilte transparenskrav: for eksempel chatboter som må opplyse at de er AI, eller innhold som må merkes som AI-generert.
• Minimal risiko: den store resten – interne verktøy, analyse, produktivitetsfunksjoner.

For mange startups ligger de viktigste vurderingene i gråsonen mellom minimal risiko og høyrisiko: rekruttering, kredittscoring, tildeling av goder og beslutningsstøtte som berører enkeltmennesker.

Når begynner dette å få reelle konsekvenser?

EU AI Act fases inn over tid:

• Februar 2025: forbudte AI-praksiser ble ulovlige.
• August 2025: styringsstruktur og regler for general purpose-modeller trer i kraft.
• August 2026: kravene til høyrisikosystemer gjelder fullt ut, inkludert dokumentasjon, risikostyring og løpende oppfølging.

Norge vil i praksis følge EU tett gjennom en egen AI-lov. Og selger du i EU, er du uansett forpliktet fra 2026.

«Vi fikser compliance senere» er ofte den dyreste løsningen

Bøtene kan i verste fall nå opptil 35 millioner euro eller 7 % av global omsetning. For tidligfaseselskaper er likevel den største risikoen ofte mer praktisk enn juridisk:

• produktroadmaps som stopper opp for å retrofitte dokumentasjon og risikovurderinger
• behov for eksterne jurister og tekniske spesialister midt i vekstfasen
• enterprise-kunder eller offentlige innkjøpere som sier nei til pilot eller kontrakt

Selskaper som bygger inn sporbarhet, risikotenkning og menneskelig kontroll fra dag én, stiller langt sterkere i møte med både investorer og kunder.

Transkribering i helse – et godt eksempel på gråsoner

AI-basert transkribering for leger viser hvor nyansert regelverket er. Ikke alle løsninger er automatisk høyrisiko:

• Rene dikterings- og skriveverktøy, der helsepersonell har tydelig kontroll, kan ofte plasseres lavere i risikohierarkiet.
• Systemer som integreres direkte i pasientjournaler, beslutnings- eller triagelogikk, eller brukes som del av medisinsk utstyr, vil langt oftere klassifiseres som høyrisiko – og samtidig omfattes av medisinsk regelverk, inkludert CE-merking.

Samme teknologi kan altså havne i ulike risikoklasser avhengig av bruk, integrasjon og faktisk påvirkning. Tilsvarende gråsoner finnes i HR, finans og kundeservice.

Også brukerne får ansvar

EU AI Act retter seg ikke bare mot leverandører. Profesjonelle brukere av AI får klare plikter, blant annet knyttet til:

• bruk i tråd med leverandørens dokumenterte forutsetninger
• reell menneskelig kontroll der beslutninger påvirker mennesker
• overvåking av hvordan systemet faktisk fungerer over tid

Endrer man bruksområde eller funksjonalitet vesentlig, kan man i enkelte tilfeller selv bli regnet som leverandør – med helt andre forpliktelser.

Hva bør du gjøre nå?

Hvis du utvikler eller bruker AI-basert programvare, er dette gode startspørsmål:

• Hvilke deler av løsningen kan påvirke jobb, helse, økonomi eller tilgang til tjenester?
• Hvor i risikohierarkiet befinner vi oss – og hvilke gråsoner bør vurderes?
• Har vi grunnleggende dokumentasjon og sporbarhet, eller sitter kunnskapen i hodet på én utvikler?

Her ligger også muligheten: selskaper som tar EU AI Act på alvor tidlig, kan selge trygghet – ikke bare funksjonalitet – og slippe dyre omkamper senere.