Guides, Tips & Viden

AI Act og tredjepartsværktøjer som Copilot og ChatGPT

Trine Thorsen
Trine Thorsen
Redaktør, NetPlus
 · 19. april 2026 · 9 min læsning

Hvis du tror, at et tredjeparts-AI-værktøj “bare er en smart genvej”, er du tættere på en dyr fejl, end de fleste opdager i tide.

I denne artikel får du en praktisk, dansk guide til hvorfor brugen af eksterne AI-løsninger stadig kræver risikovurdering, styring og ansvarlig implementering. Du får konkrete eksempler fra hverdagen (HR, kundeservice, marketing og udvikling), typiske faldgruber, og en håndgribelig tjekliste, så du kan bruge AI sikkert uden at kvæle innovationen.

Vi går især i dybden med data, compliance, leverandørstyring og drift: Hvad du bør spørge om, hvad det typisk koster i tid og ressourcer, og hvordan du undgår de klassiske “vi testede bare lige”-scenarier, der ender med datalæk, fejlbeslutninger eller brud på regler.

Hvad er tredjeparts-AI (og hvorfor betyder det noget)?

Tredjeparts-AI er AI-funktioner eller -platforme, du ikke selv har udviklet eller driver, men som du tilgår via en leverandør (fx SaaS, API’er, plugins eller browser-udvidelser). Det kan være alt fra chatbots og tekstgeneratorer til CV-screening, mødeassistent, oversættelse, billedgenerering eller “copilot”-værktøjer indbygget i andre systemer.

Det betyder noget, fordi ansvaret ikke “flytter med” værktøjet. Du kan godt outsource teknologien, men du kan ikke outsource konsekvenserne. Når medarbejdere indtaster kundedata, interne strategier eller personoplysninger i et eksternt AI-værktøj, kan det udløse både sikkerhedsrisici, juridiske forpligtelser og forretningsmæssige fejl.

Mini-konklusion: Tredjeparts-AI er hurtig at adoptere, men netop derfor er governance og risikostyring afgørende fra dag ét.

Hvorfor risikovurdering stadig er nødvendig, selv med “kendte” leverandører

Mange antager, at store leverandører automatisk er “sikre nok”. Men risikovurdering handler ikke kun om leverandørens størrelse. Den handler om din konkrete brug: hvilke data der behandles, hvilke beslutninger AI’en påvirker, og hvilke fejl der kan ske i netop din kontekst.

Data flytter sig hurtigere, end politikker gør

I praksis ser jeg ofte, at AI bliver indført ad hoc: en afdeling køber et tool på firmakortet, eller en medarbejder bruger en gratis version i browseren. Det tager minutter at komme i gang, men måneder at få overblik over datastrømme, logning, adgangsstyring og sletning. I mellemtiden kan fortrolige oplysninger være delt på måder, der er svære at dokumentere og rydde op i.

AI-fejl er anderledes end “almindelige” softwarefejl

Traditionel software fejler ofte deterministisk: en bug kan reproduceres. Generativ AI kan derimod variere fra gang til gang, og den kan producere svar, der lyder overbevisende, men er faktuelt forkerte. I kundeservice kan det føre til forkerte løfter, og i compliance kan det føre til forkert rådgivning.

Mini-konklusion: Risikoen ligger ikke kun i værktøjet, men i kombinationen af data, workflow og beslutninger.

De største risikokategorier ved tredjeparts-AI i praksis

En effektiv risikovurdering bliver nemmere, hvis du kategoriserer risici. Her er de mest almindelige, jeg møder i organisationer, der bruger eksterne AI-værktøjer:

  • Datasikkerhed og fortrolighed: Hvad sendes ud af huset, og hvordan opbevares det?
  • Persondata og GDPR: Er der hjemmel, databehandleraftale, og korrekt formål?
  • IP og rettigheder: Hvem ejer output, og risikerer du at genbruge beskyttet materiale?
  • Kvalitet og beslutningsrisiko: Hallucinationer, bias, forældet viden og fejlslutninger.
  • Leverandør- og lock-in-risiko: Prisændringer, ændrede vilkår, modelskift, nedetid.
  • Revisionsspor og dokumentation: Kan du forklare, hvad der skete, og hvorfor?

Et konkret eksempel: En HR-afdeling bruger et AI-værktøj til at opsummere ansøgninger. Hvis ansøgninger indeholder følsomme oplysninger, kan det være en høj risiko. Og hvis AI’en prioriterer bestemte formuleringer, kan det give diskriminerende screening uden at nogen har ønsket det.

Mini-konklusion: Du behøver ikke være “high risk” virksomhed for at have high risk use cases.

Styring: fra “fri leg” til kontrolleret brug uden at bremse farten

God AI-styring (governance) handler om at skabe klare rammer, så medarbejdere kan bruge værktøjer effektivt uden at øge risikoen unødigt. Det er sjældent nok at sende en politik ud på mail. Du skal bygge styringen ind i hverdagen.

AI-politik + praksis = faktisk adfærd

En brugbar AI-politik er kort, konkret og tæt på virkeligheden. Den bør som minimum definere: hvilke data må ikke bruges, hvilke værktøjer er godkendt, og hvornår skal der eskaleres (fx ved persondata, juridisk rådgivning eller automatiske beslutninger).

Godkendelsesflow og værktøjskatalog

Det virker banalt, men et internt “godkendt værktøjskatalog” reducerer shadow AI markant. Når folk ved, hvilke tools de må bruge, og hvorfor, falder trangen til at installere tilfældige plugins. Et simpelt godkendelsesflow (fx 5 spørgsmål) kan ofte være nok til at fange de største røde flag.

Mini-konklusion: Styring virker bedst, når den gør det let at gøre det rigtige og svært at gøre det forkerte.

Ansvarlig implementering: hvem gør hvad, og hvordan dokumenterer I det?

Ansvarlig AI-implementering kræver tydelige roller. Ikke nødvendigvis et helt nyt team, men en aftale om ejerskab, beslutningskompetence og drift. Ellers ender AI med at være “alles og ingens ansvar”.

Et praktisk rolle-setup kan fx være:

  1. Forretningsejer: Definerer formål, succesmål og hvad der ikke må ske.
  2. Data/IT-sikkerhed: Vurderer datatyper, adgang, logning, integrationer.
  3. Legal/Compliance: GDPR, kontrakter, leverandørvilkår, dokumentation.
  4. Procesejer: Sikrer at AI-output kontrolleres, og at mennesker tager ansvar.
  5. Superbrugere: Træner kolleger og fanger fejlmønstre tidligt.

Dokumentation behøver ikke være tung. Men du bør kunne svare på: Hvad bruges værktøjet til? Hvilke data sendes? Hvilke kontroller findes? Hvad er fallback, hvis værktøjet fejler? Og hvem godkendte løsningen?

Regulering spiller også ind. Hvis du arbejder med use cases, der kan påvirke mennesker (ansættelse, kredit, sundhed, uddannelse), bør du orientere dig i krav og forventninger, fx via AI Act og ChatGPT for at forstå, hvordan risikoniveau og pligter typisk vurderes.

Mini-konklusion: Ansvarlig implementering er ikke en rapport; det er et driftssætup, der kan holde til hverdagen.

Sådan laver du en risikovurdering af et tredjeparts-AI-værktøj (trin for trin)

Du behøver ikke et 40-siders framework for at komme i gang. Start med en letvægtsvurdering, og gør den dybere, hvis use casen er kritisk. Her er en praksisnær proces, der typisk kan gennemføres på 1–3 workshops:

  • 1) Afgræns use case: Hvilken opgave løser AI’en, og hvad er “skaden”, hvis den tager fejl?
  • 2) Kortlæg data: Hvilke datatyper (persondata, fortroligt, IP) indtastes og genereres?
  • 3) Vurder behandlingsgrundlag og kontrakt: Er der databehandleraftale, underdatabehandlere, og klare vilkår?
  • 4) Kontroller output-kvalitet: Kræv stikprøver, benchmark mod kendte cases, og definer kvalitetskriterier.
  • 5) Fastlæg menneskelig kontrol: Hvornår må output bruges direkte, og hvornår skal det godkendes?
  • 6) Plan for sikkerhed: Adgangsstyring, logning, sletning, incident response.
  • 7) Drift og ændringer: Hvad gør I ved modelopdateringer, prisændringer eller nyt dataflow?

Et godt trick er at bruge en enkel risikomatrix: sandsynlighed (lav/mellem/høj) gange konsekvens (lav/mellem/høj). Mange AI-risici ligger ikke i “sandsynlighed”, men i “konsekvens”, fordi én fejl kan ramme mange kunder hurtigt (fx ved automatiseret udsendelse).

Mini-konklusion: Den bedste risikovurdering er den, der kan gentages, opdateres og bruges i beslutninger.

Hvad koster ansvarlig brug af tredjeparts-AI egentlig?

Spørgsmålet “hvad koster det?” dukker altid op, og det rette svar er: mindre end et brud, men mere end licensen. Ud over abonnementet skal du regne med tid til vurdering, opsætning og løbende kontrol.

Typiske omkostningsdrivere (som ofte undervurderes)

  • Interne timer: IT-sikkerhed, legal, procesejere og træning af brugere.
  • Integration: SSO, adgangsstyring, API-kald, dataminimering.
  • Kontrol og QA: Stikprøver, kvalitetstest, overvågning af fejltyper.
  • Leverandørstyring: Kontraktforhandling, auditering, opdateringer i vilkår.

En praktisk tommelfingerregel

For ikke-kritiske use cases (fx idegenerering uden følsomme data) kan governance ofte klares let. For AI, der påvirker kunder, medarbejdere eller beslutninger, bør du forvente et løbende setup med faste kontroller. Mange organisationer ender med en 80/20-model: 80% af værdi kommer fra en håndfuld godkendte værktøjer og klare arbejdsgange, ikke fra at alle bruger alt.

Mini-konklusion: Licensen er sjældent den dyre del; det er kvalitet, sikkerhed og drift, der afgør totalomkostningen.

De mest almindelige fejl (og hvordan du undgår dem)

Her er de faldgruber, jeg ser igen og igen, når tredjeparts-AI rulles ud for hurtigt:

  • “Vi bruger kun ikke-følsomme data” uden at definere, hvad det betyder i praksis.
  • Manglende dataminimering: Hele mails, kontrakter eller kundesager kopieres ind, selv om et uddrag var nok.
  • Blind tillid til output: AI-svar bruges som facit, især under tidspres.
  • Ingen versions- eller ændringskontrol: Modellen ændrer adfærd, men processen forbliver den samme.
  • Shadow AI: Plugins og gratis tools uden overblik, logning og godkendelse.

Løsningen er sjældent “forbud”. Den virker kortvarigt og skubber ofte brugen under radaren. Bedre er et klart alternativ: godkendte værktøjer, træning i sikker prompting, og en enkel måde at få nye tools vurderet.

Mini-konklusion: De største AI-fejl skyldes proces og adfærd, ikke ond vilje eller teknisk inkompetence.

Bedste praksis: sådan får du både fart og kontrol

Hvis du vil lykkes med tredjeparts-AI, så tænk som en erfaren produkt- og risikoejer: start småt, mål effekten, og skru op med kontroller. Det er ofte mere robust end en stor “big bang”-implementering.

Konkrete anbefalinger, der virker i hverdagen

  • Lav en “AI tilladt/ikke tilladt”-liste med eksempler på data og situationer.
  • Brug standard-prompts til gentagne opgaver og indbyg kvalitetstjek i dem.
  • Indfør to-trins godkendelse for output, der går til kunder eller beslutninger.
  • Træn i kildekritik: Bed brugere om at verificere fakta mod primære kilder.
  • Log og lær: Saml fejltyper og opdater processen, ikke kun brugerne.

En enkel kvalitetskontrol, du kan starte med i morgen

Vælg 20 typiske cases, kør dem gennem værktøjet, og mål: korrekthed, tone, compliance (fx løfter/forbehold), og tid sparet. Gentag efter større opdateringer eller ændringer i brugsmønstre. Det giver et konkret beslutningsgrundlag i stedet for mavefornemmelser.

Mini-konklusion: Best practice er ikke et buzzword; det er gentagelige rutiner, der gør AI pålidelig over tid.

Trine Thorsen
Trine Thorsen
Skribent & redaktør · NetPlus
Teknologistrateg med passion for digital transformation og online innovation. Jeg hjælper virksomheder og privatpersoner med at navigere i tech-landskabet og udnytte digitale løsninger til vækst.

Relaterede artikler