Livsstil

Sådan kortlægger du AI-brug, før AI Act rammer organisationen

Peter Overgaard Peter Overgaard · 11. april 2026 · 10 min læsning

Hvis du ikke kan svare præcist på, hvor i organisationen AI allerede bruges, er du reelt i gang med compliance på blinde øjne.

I denne artikel får du en praktisk metode til at skabe overblik over eksisterende AI-anvendelser som første skridt mod compliance, især i lyset af EU’s AI Act, GDPR, informationssikkerhed og interne politikker. Du får konkrete skabeloner i tekstform, typiske faldgruber, og en trinvis plan, der kan gennemføres uden at lamme forretningen.

Du lærer også, hvordan du vurderer risikoniveau, hvor du typisk finder “skjult AI”, hvad det koster i tid og ressourcer, og hvordan du gør kortlægningen til et aktiv i stedet for en kontroløvelse.

Hvad betyder “overblik over AI-anvendelser” – og hvorfor er det vigtigt?

En praktisk definition: Overblik over AI-anvendelser er en systematisk kortlægning af alle steder, hvor organisationen bruger AI (værktøjer, modeller, automatiseringer og leverandørfunktioner), samt hvad de bruges til, hvilke data der indgår, hvem der ejer processen, og hvilken risiko der følger med.

Det betyder noget, fordi compliance-krav kun kan efterleves, hvis du kan dokumentere, hvad du faktisk gør. I praksis ser jeg ofte, at “AI” lever tre steder samtidig: i IT (platforme), i forretningen (use cases) og hos leverandører (indbyggede AI-features). Hvis du kun kigger ét sted, får du et falsk overblik.

Mini-konklusion: Overblik er ikke et excel-ark for excel-arkets skyld; det er fundamentet for risikovurdering, governance og dokumentation.

Hvor gemmer AI sig typisk i en organisation?

AI-anvendelser er sjældent samlet i én afdeling. Tværtimod er de ofte spredt ud som små løsninger, prøveprojekter og “smart features” i standardsoftware. Derfor skal du lede bredere end “vores AI-projekt”.

De synlige AI-tiltag

Det er de use cases, der allerede har et navn, et budget eller en sponsor. Eksempler:

  • Chatbots til kundeservice, der foreslår svar eller håndterer henvendelser automatisk
  • CV-screening eller “talent matching” i HR-systemer
  • Forecasting i supply chain eller salg (efterspørgselsprognoser)
  • Automatisk sagsprioritering i drift eller support

Den skjulte AI (den der skaber compliance-risiko)

Her ligger de fleste overraskelser. Typisk finder du:

  • Generative AI-værktøjer brugt ad hoc (tekst, kode, billedgenerering) uden central godkendelse
  • Microsoft 365/Google Workspace-funktioner med indbygget AI, som medarbejdere slår til
  • Leverandørers “smart scoring” og anbefalinger i CRM, ERP og marketing automation
  • Lokale scripts og automatiseringer, hvor en model kaldes via API

Mini-konklusion: Den største risiko kommer sjældent fra det store AI-program, men fra den stille udbredelse i standardværktøjer og team-baserede eksperimenter.

Trin 1: Sæt rammerne – formål, scope og ejerskab

Før du spørger organisationen, skal du definere, hvad “AI” betyder i jeres kontekst. Hvis definitionen er for snæver (kun “machine learning-modeller”), overser du leverandør-AI og generativ AI. Hvis den er for bred (“alt der automatiserer”), drukner du i RPA og regler.

En brugbar afgrænsning i kortlægningens første iteration er:

  1. Generativ AI (LLM’er, tekst- og billedgenerering, copilots)
  2. Predictive/klassisk ML (scoring, forecasting, klassifikation)
  3. AI-funktioner i standardsoftware (leverandørens indbyggede modeller)
  4. Beslutningsstøtte med automatiseret anbefaling, hvis den påvirker mennesker, adgang, økonomi eller rettigheder

Derudover skal du udpege en proces-ejer. Det kan være en AI governance-lead, DPO, CISO, compliance eller en tværgående rolle. Pointen er ikke placeringen, men at én person har mandat til at indhente svar og følge op.

Mini-konklusion: Uden tydeligt scope og ejerskab bliver kortlægning en spørgerunde uden opfølgning.

Trin 2: Indsamling – sådan finder du use cases hurtigt (uden at starte en inkvisition)

Den mest effektive indsamling kombinerer tre spor: spørgeskema/interviews, teknisk discovery og leverandørgennemgang. Hvis du kun gør én af delene, får du enten “forretningens fortælling” eller “IT’s logfiler” – ikke helheden.

Spor A: Spørg forretningen med konkrete, genkendelige spørgsmål

Hold det lavpraktisk. Medarbejdere svarer bedre på “hvilke værktøjer bruger du?” end “anvender du AI?”. Eksempler på spørgsmål, der virker i praksis:

  • Hvilke værktøjer bruger du til at skrive, opsummere, oversætte eller generere indhold?
  • Har du funktioner i CRM/HR/marketing, der giver scoringer, anbefalinger eller automatisk prioritering?
  • Uploader du dokumenter, kundedata eller kode til eksterne AI-tjenester?
  • Hvilke beslutninger bliver påvirket af en model eller et “score” (fx hvem der kontaktes, hvem der får rabat, hvem der udvælges)?
  • Hvem ejer processen, og hvor ligger data?

Spor B: Teknisk discovery (uden at overvåge medarbejdere ukritisk)

Du kan ofte finde AI-brug via licenser, SSO-katalog, indkøbssystemer, API-kald og godkendte apps. Gå efter mønstre: nye SaaS-abonnementer, høj trafik til kendte AI-domæner, eller integrationer til model-API’er. Gør det transparent og med klare privacy-rammer, så det ikke bliver en tillidskrise.

Spor C: Leverandørgennemgang

Bed jeres primære softwareleverandører om at beskrive, hvilke AI-funktioner der er aktive, hvilke data de træner på, og hvilke underleverandører der indgår. Mange organisationer opdager her, at de “bruger AI” via et flueben, som blev slået til ved en opgradering.

Mini-konklusion: Kombinér menneskelig viden med systemdata og leverandørfakta for at finde både det officielle og det uofficielle AI-landskab.

Trin 3: Dokumentér i et AI-register – minimumsfelter der faktisk kan bruges

Et AI-register er ikke kun en compliance-artefakt; det er et styringsværktøj. Det skal kunne svare på: Hvad er det? Hvem ejer det? Hvilke data? Hvilken risiko? Hvilke kontroller? Og hvad er næste skridt?

Som minimum anbefaler jeg disse felter pr. AI-anvendelse:

  1. Navn på use case og kort beskrivelse
  2. Formål og forretningsproces (fx “kundeservice”, “rekruttering”, “kreditvurdering”)
  3. System/værktøj og leverandør (inkl. underleverandører hvis kendt)
  4. Modeltype (generativ, ML-scoring, indbygget AI) og om der er menneskelig godkendelse i flowet
  5. Datatyper (persondata, følsomme data, forretningshemmeligheder) og datakilder
  6. Output og påvirkning (hvem/hvad påvirkes, og hvor kritisk er det?)
  7. Risikoklasse (lav/mellem/høj) og begrundelse
  8. Kontroller (adgang, logning, privacy, sikkerhed, kvalitet, bias) samt “gaps”

Hvis du vil gøre det ekstra anvendeligt, så tilføj “driftsstatus” (pilot, i drift, udfaset) og “volumen” (fx antal sager pr. måned). 5.000 AI-assisterede afgørelser om måneden kræver et andet kontrolniveau end 20 eksperimenter i et team.

Midt i arbejdet giver det mening at samle metoden og de konkrete felter i en fælles proces for kortlægning af AI-brug, så kortlægningen kan gentages kvartalsvist uden at starte forfra.

Mini-konklusion: Et godt AI-register er kort nok til at blive vedligeholdt, men detaljeret nok til at kunne bære en audit og en risikovurdering.

Trin 4: Klassificér risiko – fra “harmløs assistent” til højrisiko-system

Spørgsmålet “hvordan gør vi det rigtigt?” handler ofte om risikobaseret prioritering. Du skal ikke behandle alle AI-anvendelser ens. En intern skriveassistent til generiske tekster kræver sjældent samme kontrol som et system, der påvirker adgang til job, ydelser eller kredit.

En praktisk risikomodel (hurtig at anvende)

Brug 5 kriterier og giv hver 0–2 point:

  • Påvirkning på menneskerettigheder/ligebehandling (fx rekruttering, visitation, kredit)
  • Automatiseringsgrad (rådgivende vs. automatisk beslutning)
  • Datakritikalitet (ingen persondata vs. følsomme persondata/fortrolige forretningsdata)
  • Skala (få cases vs. stor volumen eller mange brugere)
  • Forklarbarhed og kontrol (kan I forklare output, og har I logning/overvågning?)

0–3 point: lav risiko. 4–6: mellem. 7–10: høj. Det er ikke en juridisk klassifikation i sig selv, men en styringsmekanisme, der hjælper jer med at prioritere.

Kobling til compliance-krav i praksis

Jo højere risiko, desto mere skal du typisk sikre: dokumentation, datastyring, test af kvalitet og bias, menneskelig kontrol, incident-håndtering og leverandørkrav. For generativ AI bør du desuden vurdere risiko for datalæk (prompting af fortrolige oplysninger) og hallucinationer i kritiske arbejdsgange.

Mini-konklusion: Risikoklassificering gør kortlægningen handlingsorienteret: du kan fokusere indsatsen der, hvor konsekvensen er størst.

Hvad koster det at skabe overblik – i tid, penge og organisationens opmærksomhed?

“Hvad koster det?” er et fair spørgsmål, især fordi kortlægning ofte lander som en ekstra opgave. I praksis afhænger omfanget af størrelse, værktøjslandskab og modenhed, men her er realistiske pejlemærker:

  • Mindre organisation (100–300 ansatte): 2–4 uger fra opstart til første registerversion, typisk 40–80 arbejdstimer samlet
  • Mellemstor (300–2.000 ansatte): 4–8 uger, typisk 120–250 timer, især hvis der er mange forretningssystemer
  • Stor/koncern: 8–16 uger for en første baseline, ofte 300+ timer fordelt på flere teams og lande

Den skjulte omkostning er mødetid og koordinering. Du kan reducere den ved at lave en kort spørgeramme, standardisere registreringsfelter og køre korte, fokuserede interviews (30 minutter) med procesejere i stedet for brede workshops.

Mini-konklusion: Overblik behøver ikke være et halvårsprojekt; en brugbar baseline kan laves hurtigt, hvis du accepterer iteration og prioritering.

Typiske fejl (og hvordan du undgår dem)

De samme faldgruber går igen, uanset branche. Her er dem, der oftest koster tid eller skaber et falsk sikkerhedsnet:

  • Kun at kortlægge “projekter” og overse indbygget AI i standardsoftware. Løsning: kræv leverandøroversigt og tjek licens-/feature-aktivering.
  • At gøre det til en kontroløvelse, så folk skjuler ad hoc-brug. Løsning: kommunicér formålet som risikoreduktion og støtte, ikke sanktion.
  • Manglende datafokus: man beskriver værktøjet, men ikke dataflowet. Løsning: tving feltet “datakilder og datatyper” ind i registeret.
  • Ingen ejer pr. use case. Løsning: registrér både forretningsansvarlig og teknisk ansvarlig, og gør det til et krav for “produktion”.
  • Alt bliver “mellem risiko”, fordi man ikke vil tage stilling. Løsning: brug en enkel pointmodel og kræv kort begrundelse.
  • Registeret dør efter første version. Løsning: gør opdatering til en del af change management og indkøbsprocessen.

Erfaringen er, at de to vigtigste succesfaktorer er psykologisk tryghed i indsamlingen og konsekvent registreringsdisciplin bagefter.

Mini-konklusion: De største fejl handler ikke om teknik, men om adfærd, incitamenter og governance.

Bedste praksis: Gør kortlægningen til en løbende proces (ikke en engangsøvelse)

Når du har første baseline, er næste skridt at sikre, at den ikke bliver forældet om tre måneder. AI spreder sig hurtigt, og leverandører tilføjer nye funktioner løbende.

Indbyg “AI-touchpoints” i eksisterende processer

Du får mest effekt ved at koble AI-registeret til de steder, hvor ændringer allerede sker:

  1. Indkøb: nye SaaS-kontrakter og feature-opgraderinger skal deklarere AI
  2. IT change management: nye integrationer og API-kald vurderes for modelbrug
  3. Informationssikkerhed: risikovurdering og dataklassifikation opdateres ved nye use cases
  4. Privacy/GDPR: DPIA-lignende vurderinger trigges ved persondata og høj påvirkning
  5. HR og træning: onboardingsmateriale for generativ AI og datahåndtering

Mål modenhed med simple KPI’er

Hold KPI’erne få og operationelle, fx:

  • Andel af AI-use cases med udpeget ejer (mål: 100%)
  • Andel med dokumenteret dataflow (mål: 80–100% afhængigt af risiko)
  • Antal “ukendte” AI-features identificeret via leverandører pr. kvartal
  • Tid fra ny AI-anvendelse til registrering (mål: under 30 dage)

Mini-konklusion: Compliance bliver realistisk, når AI-kortlægning lever i de processer, der allerede styrer indkøb, ændringer og risiko.

Fra overblik til handling: Din 30-dages plan

Hvis du vil i gang uden at drukne, så kør en kort, stram plan med tydelige leverancer. Her er en praktisk 30-dages version, jeg har set fungere i både private virksomheder og offentlige enheder:

  1. Uge 1: Definér AI-scope, udpeg ansvarlig, og lav registreringsskabelon (AI-register)
  2. Uge 2: Kør målrettede interviews med 10–15 nøgleprocesser og gennemgå top-20 leverandører
  3. Uge 3: Sammenhold fund med teknisk discovery (SSO, licenser, integrationer) og udfyld registeret
  4. Uge
Peter Overgaard
Skrevet af
Peter Overgaard
Journalist & redaktør · Eye For It
Alle artikler →

Lignende artikler

Skalering af e-commerce: Derfor bør en Google Ads Specialist kende din forretning – ikke kun kontoen
28. dec 2025 · 7 min læsning
Automatisk ur eller kvartssur – hvad bør du vælge?
11. nov 2025 · 5 min læsning
Førstehjælp i fællesskab: Sådan løfter din boligforening den kollektive handlekraft
18. maj 2026 · 10 min læsning
Psykisk vold i hjemmet: Tegn, konsekvenser og første skridt for mænd
21. maj 2026 · 11 min læsning