Forretning, Drift & Valg

AI Act i kommuner: governance, risikostyring og dokumentation når AI bruges i administrationen

Kommuner er eksplicit omfattet af EU’s AI Act, og loven stiller direkte krav til dokumentation for risikostyring, datastyring, gennemsigtighed og tilsyn. Hvis du arbejder med digitalisering, jura, IT eller en fagforvaltning, er det ikke nok at “prøve lidt AI af” på siden: I skal kunne forklare, styre og dokumentere, hvad der sker.

Her får du et praktisk overblik over, hvordan AI typisk bruges i kommuner, hvad governance bør indeholde, hvordan man laver en robust risikovurdering, og hvad en dokumentationspakke kan bestå af. Undervejs får du konkrete takeaways og faldgruber at undgå, og til sidst en minimum compliance-køreplan for kommuner, der er tidligt i AI-rejsen.

Hvad betyder AI Act for kommuner, og hvorfor er det vigtigt?

AI Act er EU’s forordning, der regulerer udvikling og brug af kunstig intelligens efter risikoniveau, så AI anvendes sikkert, ansvarligt og med respekt for rettigheder. Det betyder noget i kommuner, fordi AI ofte påvirker borgere direkte, indgår i myndighedsudøvelse eller understøtter beslutninger om service, visitation og sagsbehandling.

Det centrale budskab er, at AI ikke kun er et IT-projekt. Kommunen skal kunne dokumentere styring og tilsyn, især når løsningen er højrisiko eller bruges i sammenhænge, hvor fejl kan få betydelige konsekvenser. Mini-konklusion: Start med at antage, at AI-brug kræver sporbarhed og klare ansvarskæder, også når værktøjet “bare hjælper”.

AI i kommunen: konkrete use cases, der typisk dukker op

De fleste kommuner møder AI som et mix af generative værktøjer, klassiske ML-modeller og leverandørplatforme. Det vigtige er at knytte hvert use case til formål, datagrundlag og risiko, frem for at lade teknologien drive behovet.

Sagsbehandling og beslutningsstøtte

AI kan hjælpe med at finde relevant praksis, opsummere bilag, foreslå standardtekster eller strukturere en sag. Her er faldgruben, at medarbejderen ubevidst lader systemet “bestemme”. Menneskelig kontrol skal være reel: tydelige retningslinjer for, hvornår forslag må bruges, og hvornår der skal foretages selvstændig vurdering.

Triage, chat/assistance og analyse

Triage kan bruges til at prioritere henvendelser, foreslå rette kanal eller identificere akutte sager. Chatbots kan give borgere svar på åbningstider, krav og processer, og interne assistenter kan hjælpe medarbejdere med at finde politikker og skabeloner. Analyse kan omfatte mønstergenkendelse i drift, kapacitetsprognoser eller tidlige indikatorer for behov i social- og sundhedsområdet.

  • Sagsopsummering og udkast til breve
  • Prioritering af indkomne henvendelser (triage)
  • Chatbot til simple borgerspørgsmål
  • Intern vidensassistent for medarbejdere
  • Analyse af mønstre i klager, drift eller kapacitetsbehov
  • Kvalitetstjek af dokumenter for mangler eller inkonsistens

Mini-konklusion: Use cases er ofte lavpraktiske, men kan stadig være højrisiko, hvis de påvirker adgang til ydelser eller skaber skævvridning.

Governance: hvem godkender AI-brug, og hvordan organiseres det?

Kommunal AI-governance handler om at beslutte, hvem der må igangsætte, godkende og følge op på AI-løsninger. Det bør være en kombination af ledelsesansvar, fagligt ejerskab og kontrolfunktioner, så der både er fremdrift og sikkerhed.

Roller og godkendelsesflow

Et pragmatisk setup kan være: Fagforvaltningen ejer formålet og processen; IT vurderer arkitektur, integration, drift og sikkerhed; DPO og juridisk funktion vurderer databeskyttelse, hjemmel og transparens; ledelsen godkender risikoniveau og ressourcer. Én ansvarlig produktejer bør udpeges pr. løsning, så “alle og ingen” undgås.

Politikker, træning og grænser

Governance er også regler for brug af generative værktøjer: hvad må medarbejdere indsætte, må de bruge private konti, og hvordan håndteres fortrolige oplysninger? Et minimum er en kort AI-brugspolitik, obligatorisk intro for relevante teams og en fast proces for nye use cases.

Mini-konklusion: God governance gør det lettere at sige ja sikkert, ikke at sige nej langsomt.

Risikovurdering i praksis: hvad skal kommunen kigge efter?

AI Act kræver risikostyring, men risikovurderingen skal give mening for hverdagen. Kommuner bør vurdere risiko ud fra påvirkning på borgere, sandsynlighed for fejl og muligheden for at opdage og rette problemer.

  1. Data: Hvilke datakilder bruges, er de relevante, opdaterede og lovligt indsamlet?
  2. Bias og skævhed: Kan modellen systematisk favorisere eller udelukke grupper?
  3. Fejl og robusthed: Hvor ofte tager den fejl, og hvordan ser fejltyperne ud?
  4. Sikkerhed: Kan systemet manipuleres, lække data eller misbruges gennem prompt-injektion?
  5. Leverandør: Hvilke garantier, auditmuligheder og underleverandører findes?
  6. Menneskelig kontrol: Hvem kan stoppe, overstyre og forklare en anbefaling?

Typiske fejl er at bruge en standard-DPIA som eneste dokument eller at vurdere risiko uden at teste i realistiske arbejdsgange. Best practice er at kombinere juridisk vurdering med konkrete testcases fra drift, så man ser både model- og procesfejl.

Dokumentationspakke: hvad skal I kunne vise, når nogen spørger?

AI Act lægger op til, at organisationen kan fremvise dokumentation for risikostyring, datastyring, gennemsigtighed og tilsyn. En praktisk dokumentationspakke kan bygges modulært, så små løsninger ikke drukner i papir, men stadig er sporbare.

Indhold, der typisk bør indgå

  • Formål og afgrænsning: hvad må systemet bruges til, og hvad må det ikke?
  • Datakilder og datakvalitet: ophav, opdateringsfrekvens, følsomhed og adgangsstyring
  • Model/leverandør: version, træningsdata-ansvar, underdatabehandlere og kontraktkrav
  • Test og validering: acceptkriterier, fairness-checks, edge cases og brugertest
  • Monitorering: målepunkter, driftalarmer, kvalitetskontrol og regelmæssig re-evaluering
  • Incident-håndtering: hvordan fejl rapporteres, prioriteres, kommunikeres og lukkes

For at knytte dokumentationskravene til kommunal praksis kan du læse mere om AI Act i kommuner og bruge det som tjekliste til at koble compliance og cybersikkerhed i samme arbejdsgang.

Mini-konklusion: Dokumentation er ikke en mappe til revisor; det er jeres manual til at drive AI sikkert over tid.

Datastyring og GDPR: sådan undgår I de klassiske faldgruber

En stor del af AI-risiko i kommuner handler om data. Selv “uskyldige” tekster kan indeholde personoplysninger, og generative værktøjer kan gemme eller genbruge input afhængigt af opsætning. Derfor bør datastyring være både teknisk og adfærdsmæssig.

Praktiske kontrolpunkter

Start med dataklassifikation: hvad er fortroligt, hvad er persondata, og hvad kan deles? Brug sikre miljøer, hvor logs, prompts og output håndteres kontrolleret. Sørg for, at databehandleraftaler og instrukser dækker AI-funktioner, og at der er klare regler for, om data må bruges til at træne leverandørens modeller.

En typisk faldgrube er “skygge-AI”, hvor medarbejdere bruger gratis værktøjer for at spare tid. Forebyg med sikre alternativer og en enkel eskaleringsvej, så gode idéer kan godkendes hurtigt i stedet for at gå under radaren.

Mini-konklusion: God datastyring er ofte den billigste måde at reducere AI-risiko på, fordi den forhindrer de mest alvorlige hændelser.

Gennemsigtighed og kommunikation: krav overfor borgere og medarbejdere

Gennemsigtighed er både et krav og et tillidsspørgsmål. Borgere skal kunne forstå, når AI bruges, hvad den gør, og hvilke rettigheder de har. Medarbejdere skal vide, hvad der forventes af dem, og hvordan de dokumenterer deres faglige skøn, når AI indgår i arbejdsgangen.

Hvad skal I sige til borgerne?

Kommunikationen bør være konkret: at AI kan bruges til at sortere henvendelser, foreslå svar eller understøtte sagsbehandleren, men at afgørelser træffes efter gældende regler og med menneskelig vurdering, når det er relevant. Undgå tomme formuleringer; giv eksempler på, hvad AI kan og ikke kan.

Hvad skal I sige til medarbejderne?

Internt bør I beskrive, hvornår AI-output må kopieres, hvornår det kun er inspiration, og hvordan fejl rapporteres. Lav korte “do/don’t”-guides og fælles standarder for kildehenvisning, kvalitetstjek og journalnotater, så praksis bliver ens på tværs af afdelinger.

Mini-konklusion: Gennemsigtighed handler ikke om at afsløre alt teknisk, men om at gøre brugen forståelig og efterprøvbar.

Hvad koster compliance, og hvordan undgår man over-implementering?

Omkostninger afhænger af risikoniveau, modenhed og leverandørvalg. De største udgiftsposter er typisk tid til procesdesign, test, uddannelse og løbende tilsyn. Hvis kommunen allerede har stærke rammer for informationssikkerhed og leverandørstyring, kan meget genbruges.

En udbredt fejl er at bygge et tungt governance-lag til alle løsninger, også dem med lav påvirkning. Brug i stedet et trappesystem: let dokumentation for lav risiko, mere omfattende pakke for højrisiko og myndighedsnære løsninger. Det rigtige niveau er det, der gør jer i stand til at opdage fejl tidligt og forklare beslutninger bagefter.

Mini-konklusion: Compliance bliver dyrt, når det kommer som eftermontering; det bliver overkommeligt, når det indbygges i indkøb og projektmodel.

Minimum compliance-køreplan for kommuner tidligt i AI-rejsen

Hvis I er tidligt i rejsen, er målet at få et sikkert fundament uden at kvæle innovationen. Følgende køreplan kan gennemføres i små sprint og tilpasses jeres organisation.

  1. Lav en AI-oversigt: kortlæg alle værktøjer og use cases, også uofficielle
  2. Fastlæg governance: udpeg produktejer, godkendelsesforum og tydelige stop-knapper
  3. Indfør en enkel risikomodel: klassificér use cases efter påvirkning og datatyper
  4. Byg dokumentationspakken som skabeloner: formål, data, leverandør, test, monitorering, incident
  5. Skab sikre arbejdsmiljøer: godkendte værktøjer, logging, adgangsstyring og vejledning
  6. Træn medarbejdere: praktiske eksempler, fejltyper, kvalitetstjek og rapporteringskanal
  7. Kommunikér åbent: borgertekst, intern politik og FAQ om AI i kommunen
  8. Start monitorering: mål kvalitet, klager, afvigelser og opdater modeller/procedurer

Hold det simpelt i starten: én skabelon, én proces og få use cases, der kan testes grundigt. Når de fungerer, kan I udvide porteføljen og hæve modenheden uden at miste overblikket.

Related Posts