Viden

AI-risikovurdering

AI-risikovurdering er ikke kun en teknisk eller juridisk øvelse. Den bør begynde i det konkrete arbejde: hvilke opgaver flytter sig, hvilke data bruges, hvem kontrollerer resultatet, og hvem rammes, hvis systemet tager fejl?

Kort svar: En AI-risikovurdering er det konkrete tjek, før en bestemt AI-brug får lov at påvirke mennesker, beslutninger eller arbejdsgange. Den undersøger formål, data, fejltyper, konsekvens ved fejl, menneskelig kontrol, arbejdsmiljø og stopregel. Målet er at gøre risikoen synlig nok til, at organisationen kan handle ansvarligt.

Hvad er den vigtigste pointe?

AI governance svarer på, hvem der styrer rammen. AI-politik svarer på, hvad medarbejdere må i hverdagen. AI-implementering svarer på, hvordan et forsøg bliver til drift. AI-risikovurdering svarer på et smallere spørgsmål: hvad kan gå galt i denne konkrete opgave, før vi lader AI påvirke mennesker, ansvar eller adgang?

I Viden-universet til bogen Hvad skal vi lave nu? er AI anledningen til at tale om arbejde, ansvar, adgang, faglighed og menneskers plads i danske organisationer.

Hvad ændrer AI her?

  • AI-risiko opstår ikke kun i teknologien, men i den opgave, teknologien får lov at påvirke.
  • En lavrisiko-opgave kan blive alvorlig, hvis outputtet bruges til vurdering, frasortering, sagsbehandling eller medarbejderstyring.
  • Risikovurderingen skal gøre ansvar synligt: hvem vælger systemet, hvem bruger det, hvem kontrollerer, og hvem kan sige stop?
  • Databeskyttelse, bias og forklarlighed er vigtige, men arbejdsmiljø, tempo, læring og kontroltab skal også med.
  • AI Act, NIST og ISO giver nyttige rammer, men de skal oversættes til lokale arbejdsopgaver, før de hjælper medarbejdere og ledere.
  • Den enkelte medarbejder må ikke stå alene med risikoen for at bruge et system, organisationen har indført.

Hvordan laver man en AI-risikovurdering, der kan bruges i hverdagen?

  • Opgave: skriv præcist, hvilken arbejdssituation AI skal bruges i, og hvad outputtet påvirker.
  • Mennesker: beskriv hvem der kan blive berørt, hvis outputtet er forkert, skævt eller bruges for sikkert.
  • Data: noter hvilke oplysninger der indgår, hvad der er følsomt, og hvad der aldrig må deles.
  • Fejltyper: nævn de 3-5 fejl, der vil være mest sandsynlige eller mest alvorlige i netop denne opgave.
  • Konsekvens: vurder om en fejl giver irritation, ekstraarbejde, mistet adgang, forkert afgørelse eller arbejdsmiljøbelastning.
  • Kontrol og stopregel: aftal hvem der kontrollerer, og præcis hvornår brugen skal pauses eller løftes til et menneske med ansvar.

En brugbar risikovurdering er mere beslægtet med en arbejdssamtale end med et abstrakt compliance-skema. Den skal kunne læses af dem, der faktisk udfører opgaven, og af dem, der bærer ansvaret, hvis noget går galt.

Derfor skal den ende i en tydelig beslutning: Kan denne AI-brug fortsætte som den er, skal den ændres, skal den begrænses til lavere konsekvens, eller skal den stoppes, indtil ansvar, data eller kontrol er på plads?

Hvad adskiller risikovurdering fra governance, politik og implementering?

Risikovurderingen er ikke endnu et navn for governance. Governance placerer ejerskab og opfølgning. AI-politikken gør hverdagsreglerne tydelige. Implementeringen beskriver vejen fra pilot til drift. Risikovurderingen zoomer ind på én brug: denne opgave, dette datagrundlag, disse mennesker, denne konsekvens ved fejl.

Den forskel er vigtig, fordi mange AI-projekter ser forsvarlige ud på rammeniveau, men bliver uklare i den konkrete opgave. En organisation kan have en god politik og stadig mangle svar på, hvem der kontrollerer et AI-genereret sagsnotat, eller hvornår en screeningsmodel skal stoppes.

Risikoen ligger i opgaven, ikke kun i værktøjet

Det samme AI-værktøj kan være relativt ufarligt i én sammenhæng og alvorligt i en anden. Et resume af en åben tekst er noget andet end et resume af en personalesag. Et forslag til mødedagsorden er noget andet end et forslag til frasortering af kandidater.

Derfor bør risikovurderingen altid spørge: Hvilken opgave er dette? Hvilken beslutning eller vurdering påvirker AI? Hvem kan blive ramt? Og hvor let er det for et menneske at opdage, at outputtet er forkert?

En mini-skabelon: otte spørgsmål før AI bliver drift

  • Opgave: Hvad skal AI helt konkret gøre eller foreslå?
  • Berørte mennesker: Hvem kan blive påvirket af outputtet?
  • Data: Hvilke oplysninger bruges, og hvilke må aldrig bruges?
  • Fejltyper: Hvad kan systemet typisk tage fejl af i denne opgave?
  • Konsekvens: Hvad sker der, hvis fejlen ikke opdages?
  • Menneskelig kontrol: Hvem kan fagligt vurdere outputtet, og har de tid til det?
  • Arbejdsliv: Hvad sker der med tempo, læring, ansvar og mulighed for at sige fra?
  • Stopregel: Hvornår skal brugen pauses, ændres eller løftes til ledelse, HR, jura, AMO eller MED/SU?

Et konkret eksempel: AI til screening af ansøgninger

Hvis AI bruges til at sortere eller prioritere ansøgninger, er risikoen ikke kun, om modellen er teknisk præcis. Risikoen handler også om adgang til arbejde. En kandidat kan blive fravalgt, fordi CV’et ikke ligner de mønstre, systemet tidligere har lært at belønne, eller fordi en begyndende karrierevej ikke passer ind i en snæver profil.

En god risikovurdering vil derfor spørge: Må AI kun hjælpe med administrativ sortering, eller påvirker den faktisk hvem et menneske ser? Kan kandidaten få en forklaring? Hvem opdager skævheder? Hvem kan tilsidesætte outputtet? Og hvad er stopreglen, hvis bestemte grupper systematisk får dårligere adgang?

Når AI bruges i vurderinger af mennesker

Risikovurderingen skal være særlig streng, når AI indgår i rekruttering, medarbejdervurdering, uddannelse, sagsbehandling eller andre situationer, hvor et menneskes adgang, rettigheder eller muligheder kan påvirkes. Her er en fejl ikke bare en teknisk fejl. Den kan blive en lukket dør.

EU’s AI Act placerer flere anvendelser i beskæftigelse, arbejdstagerstyring, uddannelse og adgang til tjenester i et højrisikoperspektiv. Det betyder ikke, at al brug er forbudt. Det betyder, at organisationen skal kunne forklare formål, data, kontrol og ansvar, før systemet bliver hverdag.

Kontroltab er også en risiko

Mange risikovurderinger bliver stærke på data og svage på arbejdsliv. Men hvis medarbejdere ikke ved, hvornår de må stole på et AI-output, hvem der bærer ansvaret, eller hvordan de kan sige fra, opstår der kontroltab. Det kan føre til tavs brug, skjult modstand eller for høj tillid til systemet.

I bogens perspektiv er kontroltab ikke et blødt sideproblem. Det er et signal om, at opgave, ansvar og menneskelig dømmekraft ikke længere hænger tydeligt sammen. En god risikovurdering skal derfor spørge, hvad mennesker skal kunne se, forstå og stoppe.

Hvad kilderne bidrager med

AI Act giver et reguleringssprog for risikobaseret AI og højrisikoanvendelser. NIST AI Risk Management Framework giver et praktisk sprog for at kortlægge, måle, styre og følge op på AI-risici. ISO/IEC 42001 beskriver ledelsessystemer for AI, mens Datatilsynet og Digitaliseringsstyrelsen gør danske data- og myndighedsspørgsmål mere konkrete.

EU-OSHA minder om, at digitalisering også påvirker arbejdsmiljø og organisering. Det er afgørende for bogens vinkel: En AI-risikovurdering er først færdig, når den også har set på mennesker, tempo, ansvar, læring og mulighed for at sige stop.

Spørgsmål der bør stilles lokalt

  • Hvilken konkret opgave vurderer vi — og hvad er formålet med AI-brugen?
  • Hvilke mennesker kan blive påvirket, hvis outputtet er forkert eller skævt?
  • Hvilke data bruges, og hvilke oplysninger må aldrig indgå?
  • Hvem har fagligt ansvar for at kontrollere AI-outputtet?
  • Hvordan opdager vi fejl, bias, dataproblemer eller falsk sikkerhed?
  • Hvad sker der med tempo, ansvar, læring og arbejdsmiljø, hvis forsøget skaleres?
  • Hvornår skal AI-brugen stoppes, ændres eller løftes til ledelse, jura, HR, AMO eller MED/SU?

Hvordan hænger det sammen med bogen?

Bogen arbejder med fire positioner i AI-forandringen: de fortrængte, de transformerede, de udelukkede og de empowered. De er ikke faste typer, men steder mennesker kan befinde sig, når arbejdet flytter sig.

Derfor handler denne side også om AI-uro, kontroltab, orienteringstid og begyndelsesopgaver — de begreber, der gør samtalen mere konkret end enten begejstring eller panik.

FAQ

Hvad er en AI-risikovurdering?

En AI-risikovurdering er en systematisk vurdering af, hvad der kan gå galt, når AI bruges i en bestemt opgave: data, fejl, bias, ansvar, menneskelig kontrol, arbejdsmiljø og konsekvenser for de mennesker, der berøres.

Hvornår bør man lave en AI-risikovurdering?

Den bør laves før AI bruges i drift, især når systemet påvirker mennesker, vurderinger, adgang, sagsbehandling, rekruttering, medarbejderstyring eller følsomme oplysninger. Den bør også opdateres, når brugen ændrer sig.

Er AI-risikovurdering det samme som AI governance?

Nej. Governance er den samlede styring af ansvar, regler og opfølgning. Risikovurderingen er den konkrete undersøgelse af en bestemt AI-brug og dens mulige konsekvenser.

Hvem bør deltage i en AI-risikovurdering?

Ledelse, faglige medarbejdere, IT, jura, HR, arbejdsmiljøorganisation og medarbejderrepræsentanter bør inddrages efter opgaven. Risikoen kan ikke forstås kun fra systemets side; den skal også ses fra arbejdet.

Hvad er en god stopregel for AI?

En god stopregel beskriver, hvornår brugen skal pauses eller løftes til et menneske med ansvar: ved følsomme data, usikre kilder, uforklarlige forslag, tydelig bias, høj konsekvens ved fejl eller arbejdsmiljøbelastning.

Kilder og videre læsning

Prøvelæsning

Arbejder du med dette — eller kender du én, der gør?

Vi søger prøvelæsere med erfaring fra HR, ledelse, fagbevægelse, arbejdsmiljø, uddannelse og almindeligt arbejdsliv. Du behøver ikke være AI-ekspert. Du skal bare kende arbejdet indefra.

Bliv prøvelæser