Den 2. august 2025 træder de første krav til generative og General-Purpose AI-modeller (GPAI) i kraft under EU’s AI-forordning (AI Act). Kommunale chatbots ligger som udgangspunkt i kategorien “begrænset risiko”, men hvis de behandler følsomme persondata eller træffer automatiske afgørelser, bliver de klassificeret som “høj risiko” med væsentligt skrappere krav. (reuters.com, digital-strategy.ec.europa.eu)
| Krav | Hvorfor det rammer chatbots | Hvad kommunen skal gøre |
|---|---|---|
| Transparens | Borgeren har ret til at vide, at de taler med en AI. | Vis beskeden “Du taler med en AI-assistent” ved første henvendelse. |
| Logning & dokumentation | GPAI-leverandører skal levere modelkort og træningsdata-resume. | Kræv fuld teknisk dokumentation (§ 53) i kontrakten. |
| Datasikkerhed | “Høj risiko” udløser krav om risikostyring, DPIA og incident-håndtering. | Kortlæg dataflow, gennemfør DPIA og lav beredskabsplan for datalæk. |
| Punkt | Hvad I skal gøre | Praktisk hjælp | Output |
|---|---|---|---|
| 1. Lav en risikovurdering | Kortlæg use-cases, datatyper og afgørelsesgrad → bestem om chatbotten er “begrænset” eller “høj” risiko. | Brug Promtes Risk Heat-map-skabelon: sandsynlighed × konsekvens. | Klassificeringsnotat + beslutning om DPIA-behov. |
| 2. Opdater samtykke- & cookie-bannere | Forklar formål, retsgrundlag, datakategorier og borgerens rettigheder. | Indbyg tekstfragmenter fra Datatilsynets skabelon; test på mobil. | Nyt banner + opdateret privatlivspolitik. |
| 3. Tilføj AI Act-krav til leverandørkontrakt | Inkludér: modelkort, eval-metrikker, hændelsesrapportering og artikel 53-dokumentation. | Brug vores Kravspec-skema (A3) – udfyldt på 15 min. | Kontraktbilag + leverandør-roadmap til compliance. |
| 4. Uddan supportpersonalet | Træn i at spotte hallucinationer, bias og fejlsklassificeringer. | 2-timers micro-learning + rollekort: first-line, AI-owner, DPO. | Kursusbeviser + incident-flow i Teams. |
| 5. Planlæg årlig audit | Gennemgå træningsdata, performance, fairness og sikkerheds-logs én gang om året – eller ved større modelopdateringer. | Brug CNIL’s open-source PIA-tool til gen-DPIA og rapportskabelon. | Audit-rapport til ledelse + forbedrings-backlog. |
Tip: Vil I være helt på forkant, så test allerede nu mod EU AI Office’s kommende Code of Practice (forventes ultimo 2025). (artificialintelligenceact.eu)
Promtes platform leveres med:
EU-hosting eller on-prem, ingen tredjelandsoverførsler
Automatisk modelkort-generator & versionsstyring
Dermed kan I gå fra idé til GDPR- og AI Act-klar chatbot på uger, ikke måneder.
