Forbudte AI-praksisser: hvad din virksomhed ikke længere må gøre

De røde linjer for kunstig intelligens

Før vi overhovedet taler om højrisikosystemer, gennemsigtighedsforpligtelser eller AI-kompetence, trækker den europæiske forordning om kunstig intelligens (forordning 2024/1689) absolutte røde linjer. Artikel 5 opremser de AI-praksisser, der ganske enkelt er forbudte i Den Europæiske Union.

Disse forbud har været gældende siden 1. februar 2025. Det er ikke fremtidige frister: de gælder nu.

Artikel 5, stk. 1 — Règlement (UE) 2024/1689

Følgende praksisser inden for kunstig intelligens er forbudt: […] markedsføring, idriftsættelse eller anvendelse af et AI-system, der anvender subliminale teknikker […] eller bevidst manipulerende eller vildledende teknikker med det formål eller den virkning at ændre en persons adfærd væsentligt […] på en måde, der forårsager eller med rimelighed kan forventes at forårsage væsentlig skade på denne person eller en anden person.

De seks kategorier af forbudte praksisser

1. Social scoring

AI-forordningen forbyder systemer, der evaluerer eller klassificerer fysiske personer på grundlag af deres sociale adfærd eller personlige karakteristika, når denne score fører til ufordelagtig behandling i sammenhænge uden relation til dataindsamlingen, eller som er uforholdsmæssig i forhold til adfærden.

Bemærk: i modsætning til hvad man ofte tror, retter dette forbud sig ikke kun mod regeringer. Det gælder også private aktører. En virksomhed, der opbygger en “pålidelighedsscore” for sine kunder ved at samle betalingsdata, onlineadfærd og interaktioner med kundeservice — og bruger denne score til at nægte ydelser — ville være i overtrædelse.

Konkrete eksempler på nu ulovlige praksisser:

• Et forsikringsselskab, der samler data fra sociale medier for at vurdere en kundes “adfærdsmæssige risikoprofil”
• En udlejer, der bruger en score, der kombinerer betalingshistorik, onlineaktivitet og geolokaliseringsdata til at filtrere lejere
• En arbejdsgiver, der opbygger en automatiseret “engagementsscore”, der betinger adgang til fordele
• En dansk bank som Danske Bank eller Nordea, der ville kombinere transaktionsdata med adfærdsanalyse for at skabe en overordnet “kundescore” uden for kreditprocessen

2. Subliminal manipulation og vildledende teknikker

Ethvert AI-system designet til at ændre en persons adfærd uden dennes viden er forbudt. Det dækker subliminale teknikker (stimuli, der ikke opfattes af bevidstheden) og bevidst manipulerende eller vildledende teknikker.

Eksempler:

• Et system, der tilpasser en e-handelsplatforms grænseflade for at udnytte kognitive bias identificeret af AI (AI-drevne dark patterns)
• Et automatiseret forhandlingsværktøj, der analyserer mikroekspressioner i realtid for at manipulere samtalepartneren
• Et dynamisk prissætningssystem, der udnytter brugerens registrerede følelsesmæssige tilstand

3. Udnyttelse af sårbarheder

AI-systemer, der udnytter sårbarheder relateret til alder, handicap eller social eller økonomisk situation for væsentligt at ændre en persons adfærd, er forbudt.

Eksempler:

• En kommerciel chatbot, der specifikt målretter ældre med overtalelsesteknikker tilpasset deres kognitive sårbarheder
• Et målrettet reklamessystem, der retter sig mod personer i gældssituation for at tilbyde dem forbrugslån
• Et onlinespil, der bruger AI til at identificere og udnytte mindreåriges vanedannende adfærd

4. Biometrisk identifikation i realtid på offentlige steder

Anvendelse af fjernbiometrisk identifikation “i realtid” på offentligt tilgængelige steder til retshåndhævelsesformål er forbudt, med tre strengt regulerede undtagelser:

• Målrettet søgning efter ofre for kidnapning, menneskehandel eller seksuel udnyttelse
• Forebyggelse af en specifik og overhængende terrortrussel
• Lokalisering eller identifikation af en person, der mistænkes for at have begået visse alvorlige forbrydelser

Selv i disse tilfælde kræves forudgående retskendelse, og der gælder strenge garantier.

5. Følelsesgenkendelse på arbejdspladser og i uddannelse

Artikel 5, stk. 1, litra f — Règlement (UE) 2024/1689

[Det er forbudt] at markedsføre, idriftsætte eller anvende AI-systemer til at udlede følelser hos en fysisk person på arbejdspladsen og i uddannelsesinstitutioner, medmindre anvendelsen af AI-systemet er beregnet til at blive iværksat eller bragt på markedet for medicinske årsager eller sikkerhedsårsager.

Dette forbud er særligt relevant for virksomheder. Det dækker:

• Værktøjer til følelsesanalyse under videomøder: systemer, der analyserer deltagernes ansigtsudtryk under møder
• Systemer til følelsesmæssig overvågning: kameraer eller software, der registrerer stress, frustration eller manglende engagement hos medarbejdere
• Følelsesanalyse i uddannelse: værktøjer, der måler lærende personers følelsesmæssige tilstand for at tilpasse indholdet

De eneste undtagelser: medicinske formål (f.eks. smerteregistrering hos ikke-kommunikerende patienter) eller sikkerhedsformål (f.eks. træthedsdetektion hos professionelle chauffører).

6. Opbygning af ansigtsgenkendelses-databaser via scraping

AI-forordningen forbyder opbygning eller udvidelse af ansigtsgenkendelses-databaser gennem umålrettet indsamling af billeder fra internettet eller videoovervågning. Det er et direkte svar på praksisser fra virksomheder som Clearview AI, der havde opbygget en database med flere milliarder ansigter ved at høste offentlige fotos.

📄AI-risici i virksomheden: identificér og håndtér effektivt→

Sådan kontrollerer du, om din virksomhed er i overtrædelse

De fleste virksomheder tror spontant, at disse forbud ikke vedrører dem. Men visse anvendelser, især inden for HR og marketing, kan komme faretruende tæt på.

Tjekliste til verifikation

Stil jer selv disse spørgsmål:

• Scoring og klassificering: Tildeler I automatiserede scorer til enkeltpersoner (kunder, medarbejdere, kandidater), der kombinerer data fra forskellige sammenhænge?
• Overtalelse og personalisering: Udnytter jeres anbefalings- eller marketingsystemer identificerede sårbarheder (alder, økonomisk situation, følelsesmæssig tilstand)?
• Følelsesmæssig overvågning: Bruger I værktøjer, der analyserer jeres medarbejderes ansigtsudtryk, stemme eller adfærd til andre formål end medicinske eller sikkerhedsmæssige?
• Biometri: Bruger I ansigtsgenkendelse i jeres lokaler? I så fald under hvilke betingelser?
• Ansigtsdata: Har jeres AI-leverandører opbygget deres træningsdatabaser ved scraping af online billeder?

Hvis svaret på ét af disse spørgsmål er “ja” eller “måske”, er en grundig analyse påkrævet.

Uddannelsens rolle

Medarbejdernes kendskab til disse forbud er afgørende. Kravet om AI-kompetence (Artikel 4) inkluderer nødvendigvis forståelse af hvad der er forbudt. En medarbejder, der ikke ved, at det er ulovligt at bruge følelsesgenkendelse i professionel sammenhæng, kan ikke rapportere en ikke-overensstemmende praksis.

Uddannelse af teams i disse forbud er ikke valgfrit — det er en forudsætning for enhver ansvarlig AI-styring.

📄AI Act Artikel 4: pligten til AI-uddannelse forklaret→

Sanktionerne

Forbudte praksisser er underlagt det højeste sanktionsniveau i AI-forordningen: op til 35 millioner euro eller 7 % af den årlige globale omsætning, det højeste beløb gælder. Det er de strengeste bøder, der nogensinde er fastsat i europæisk digital regulering — højere end GDPR’s.