Hvad er AI governance?

AI governance er det organisatoriske rammeværk der sikrer at AI-systemer bruges ansvarligt, dokumenteret og i overensstemmelse med regulering. Det omfatter politikker, godkendelsesflows, audit-trail, dataaftaler, model-valg, human oversight og løbende risk-vurdering. Governance er bredere end compliance: compliance handler om at overholde reglerne, governance handler om at have et system der sikrer det sker konsekvent.

Hvad er audit-trail på AI?

Audit-trail på AI er den dokumentation der gør jer i stand til at rekonstruere hvad AI'en gjorde, hvornår, for hvilken bruger, baseret på hvilken prompt og hvilken model. Praktisk består det af mindst fire lag: AI-system-inventory, risk-klassificering pr system, log af hver AI-genereret beslutning eller output, og human oversight-procedure. EU AI Act Art. 12 kræver automatisk logning på high-risk-systemer.

Hvad skal en AI-policy indeholde?

En minimal AI-policy fylder 3-5 sider og dækker: godkendte værktøjer med konkrete navne (Claude, ChatGPT, Gemini, etc.), datapolitik der specificerer hvilke datatyper der må sendes til hvilke modeller, godkendelsesflow for nye værktøjer, audit-trail-krav, human oversight-procedure, ejer og kontaktperson, kvartalsvis review-dato. Politikken ejes typisk af IT-chef plus DPO.

Hvordan logger man prompts uden at gemme klient-data?

Tre tilgange: 1) Hash prompts kryptografisk og log kun hash-værdier (SHA-256) sammen med model-navn, tidspunkt og bruger-ID. Det giver audit-spor uden persistering af indhold. 2) Brug strukturerede prompt-templates hvor variable-værdier (kunde-data) udelades fra log. 3) For high-risk-systemer hvor fuld prompt-logning kræves, opbevar dem krypteret med klient-specifik nøgle, så sletning ved klient-anmodning er teknisk mulig. Den valgte tilgang dokumenteres i politikken.

Hvordan vælger man hvilken AI-model der må bruges til hvad?

Model-valg-policy baseres på fire faktorer: datafølsomhed (hvilke data sendes), forretningskritikalitet (hvad er konsekvensen af fejl), data-residency (EU vs ikke-EU), og leverandør-modenhed (DPA, audit-rapporter, EU AI Act-readiness). Typisk struktur: Claude eller Mistral self-hosted til fortrolige klient-data, Claude API med EU-residency til intern produktion, ChatGPT eller Gemini til ikke-fortrolige opgaver, Copilot kun til kode der ikke indeholder hemmeligheder.

Hænger AI governance sammen med GDPR?

Ja, tæt. AI-systemer der behandler persondata kræver GDPR-grundlag (Art. 6) som vurderes pr use-case. AI-leverandører er databehandlere (Art. 28) og kræver databehandleraftale. Automatiserede beslutninger med retlig virkning kræver eksplicit Art. 22-overvejelse. AI-system-inventory bør krydslinke til GDPR-fortegnelsen så Datatilsynet kan se sammenhængen ved tilsyn.

Hvornår skal vi vælge ISO 42001 frem for ad-hoc governance?

ISO 42001 (AI Management System) giver mening når I sælger til public sector eller enterprise-kunder der kræver det, har flere high-risk-systemer hvor stordrift kan udnyttes, eller bygger AI som produkt og vil signalere modenhed. Det giver IKKE mening hvis I har 1-2 limited risk-systemer eller er en lille SMV uden enterprise-salg. For de fleste vidensintensive SMVer er fokuseret ad-hoc governance vejen, ISO 42001 vurderes efter 6-12 måneders drift.

Hvad er forskellen på governance i praksis og governance på papir?

Governance på papir er en politik der ligger i en mappe ingen åbner. Governance i praksis er hvor politikken er konkret nok til at handles efter, hvor audit-trail er automatisk og ikke manuel, hvor model-valg-policy håndhæves teknisk (godkendelsesflow før installation), og hvor kvartalsvis review faktisk afholdes. Forskellen ses tydeligst når myndighed eller enterprise-kunde beder om dokumentation: governance på papir kollapser, governance i praksis fremlægges på en time.

Skal små virksomheder også have AI governance?

Ja, men proportionalt. En 15-mands advokat-virksomhed har ikke brug for det samme apparat som en 500-mands bank. Minimum for små vidensintensive virksomheder: en 3-siders AI-politik, en AI-system-inventory (kan være et Google Sheet), klassificering af hver anvendelse mod EU AI Act, og en navngiven AI-ejer. Det tager 2-4 ugers fokuseret arbejde og giver grundlag at stå på overfor klienter, revisor og myndighed.

Pillar · Publiceret 2026-05-26 · 16 min læsetid

AI Governance og audit-trail i praksis

Q: Hvor lang tid skal vi opbevare audit-trail?

EU AI Act kræver mindst 6 måneders logning på high-risk-systemer (Art. 12, stk. 2). For finansielle services kan det være 5-7 år (kapitalmarkedslovgivning). For klient-relateret rådgivning hos advokater og revisorer typisk så længe klientforholdet plus 5 år. Vores anbefaling: minimum 12 måneder for alle AI-systemer i produktion, længere hvis output ligger til grund for beslutninger der kan ankes.

Q: Hvor mange timer kræver det at få governance på plads?

Minimum-pakken (AI-policy, AI-system-inventory, basis audit-trail-praksis): 40-80 interne timer over 4-8 uger plus ekstern rådgivning hvis ønsket. Fuld EU AI Act-readiness for en virksomhed med 1-3 high-risk-systemer: 100-300 timer over 3-6 måneder. ISO 42001-readiness: 200-500 timer over 6-12 måneder. Tempoet bestemmes af om der er afsat dedikeret tid til en AI-ejer, eller om governance skal presses ind ved siden af andet arbejde.

EU AI Act-pillaren beskrev hvad I skal overholde. Denne pillar beskriver hvordan. Konkret: hvilke fire dokumentations-niveauer der skal være på plads, hvordan I logger prompts uden at lække klient-data, hvilken model der må bruges til hvad, og hvor governance på papir adskiller sig fra governance i praksis. Skrevet til direktioner i vidensintensive virksomheder der vil have et fundament der står overfor både revisor og Datatilsyn.

Skrevet af Jesper Sachmann, grundlægger af EnterpriseIQ. 27 års IT-lederskab fra Oracle, Logica og Capgemini, kombineret med hands-on AI og 11 års GRC-baggrund fra Archer (Alliance Director Europe og Integrated Risk Management Lead Nordics).

TL;DR

→Audit-trail består af fire lag: inventory, klassificering, output-log og oversight-procedure.
→Den minimale AI-politik fylder 3-5 sider og dækker værktøjer, data, godkendelser, audit-trail, ejer og review.
→Model-valg afhænger af fire faktorer: datafølsomhed, kritikalitet, data-residency, leverandør-modenhed.
→GDPR og EU AI Act overlapper på fem konkrete punkter: Art. 6, 22, 28, retention og inventory-fortegnelse.
→ISO 42001 er ikke obligatorisk. Vurder først efter 6-12 måneders ad-hoc governance.

Hvorfor governance er afgørende nu

For to år siden var AI governance noget enterprise-kunder snakkede om i powerpoints. I dag er det noget bestyrelser i mellemstore vidensintensive virksomheder bliver bedt om at redegøre for. To kræfter trækker i samme retning.

For det første: EU AI Act kræver formel governance for high-risk-systemer fra 2. august 2026. Det er ikke længere best-practice, det er lovkrav. For det andet: enterprise-kunder, særligt i bank, forsikring og offentlig sektor, er begyndt at spørge til AI-praksis i udbud og leverandørreviews. Selv hvis I ikke selv har high-risk-systemer, kan jeres kunder kræve dokumentation af jeres AI-brug som leverandør.

Det er den her dobbelthed der gør governance presserende. I er enten på vej til at skulle overholde et lovkrav, eller I er på vej til at miste udbud fordi en større kunde vil have papirerne i orden. For de fleste vidensintensive SMVer er det begge dele.

De fire dokumentations-lag i audit-trail

Audit-trail på AI-systemer består af fire lag, der bygger ovenpå hinanden. Hver enkelt giver mening alene, men den fulde værdi opstår når alle fire er på plads og kan krydsrefereres.

Lag 1: AI-system-inventory

En komplet liste over hvilke AI-systemer der bruges, til hvad, af hvem. Inkluderer både formelle systemer (godkendte SaaS-værktøjer, intern AI-platform) og skygge-IT (medarbejdere der bruger ChatGPT på personlige konti til arbejdsopgaver).

Praktisk format: Google Sheet eller dedikeret GRC-system. Felter: navn, leverandør, anvendelse, brugergrupper, datatyper, EU AI Act-klassifikation, GDPR-grundlag, ejer, godkendt-dato.

Lag 2: Risk-klassificering pr system

Hver AI-anvendelse klassificeres mod EU AI Act-kategorierne: forbudt, high-risk, limited risk eller minimal risk. Klassifikationen følger anvendelsen, ikke teknologien: samme Claude kan være minimal risk i én sammenhæng og high-risk i en anden.

Praktisk format: tilføjes til inventory-arket plus skriftlig begrundelse pr klassifikation (1-3 sætninger). Validering af jurist eller AI-rådgiver anbefales for high-risk-vurderinger.

Lag 3: Output-log pr AI-genereret beslutning

For hver væsentlig AI-genereret output eller beslutning logges: tidspunkt, bruger, model og version, prompt-reference (hash eller template-ID), output-reference, og hvilken menneskelig review der er foretaget bagefter. Kravet skærpes for high-risk-systemer (EU AI Act Art. 12).

Praktisk format: applikations-log i strukturet format (JSON eller database). For self-hosted systemer integreres logning i applikationskoden. For SaaS-værktøjer bruges leverandørens audit-API hvor tilgængelig.

Lag 4: Human oversight-procedure

Skriftlig procedure for hvordan mennesker validerer AI-output før det forlader virksomheden eller fører til beslutninger om mennesker. Procedurens detaljeringsgrad afspejler risk-klassifikation: minimal risk kan have stikprøvekontrol, high-risk kræver dokumenteret review pr output.

Praktisk format: 1-2 siders procedure pr AI-anvendelse, knyttet til inventory. Inkluderer hvem der reviewer, hvad der specifikt tjekkes, og hvordan afvigelser dokumenteres.

De fire lag tilsammen giver det fundament Datatilsyn, revisor eller enterprise-kunde har brug for at se. Manglende ét lag betyder en samtale om hvorfor. Alle fire på plads betyder den samtale aldrig kommer op.

Sådan logger I prompts uden at lække klient-data

En tilbagevendende bekymring i vidensintensive virksomheder: hvis vi logger alle prompts, gemmer vi så ikke klient-fortrolige oplysninger i et nyt system med egen risikoprofil? Det er en gyldig bekymring. Der findes tre praktiske tilgange.

Tilgang 1: Hash-baseret logning

Prompts hashes kryptografisk (SHA-256) og kun hash-værdien logges sammen med metadata: tidspunkt, bruger, model. Selve indholdet persisteres ikke. Det giver audit-spor til at bekræfte at en specifik prompt blev sendt, men ikke indholdet. Velegnet til minimal risk og limited risk-anvendelser hvor man primært skal kunne dokumentere brugsmønster.

Begrænsning: man kan ikke rekonstruere hvad der blev spurgt om. Hvis output viser sig at være fejlagtigt og man vil forstå hvorfor, har man kun output-loggen at gå ud fra.

Tilgang 2: Strukturerede prompt-templates

Prompts struktureres som templates med variable-placeholders, hvor selve template-ID logges, men ikke de udfyldte værdier. Eksempel: en kontrakt-review-prompt har template "review_contract_v3" med variable [kontrakt_indhold] og [klient_kontekst]. Loggen indeholder template-ID og hvilke variable der blev udfyldt, men ikke indholdet.

Fordel: stærk audit-trail på brugsmønster og prompt-evolution uden datalækage. Begrænsning: kræver disciplineret prompt-engineering, fordi ad hoc-prompts logges som "free-text" og giver lavere audit-værdi.

Tilgang 3: Krypteret fuld logning

For high-risk-systemer hvor EU AI Act Art. 12 kræver fuld logning, opbevares prompts krypteret med klient-specifik nøgle. Det giver fuld audit-trail samtidig med at klient-anmodning om sletning er teknisk mulig: man sletter blot klient-nøglen, og loggen bliver ulæselig.

Den her tilgang er den dyreste at implementere men den eneste fuldt EU AI Act-kompatible for høj-følsomme klient-data. Vi anbefaler den for compliance-pligtige use-cases i finansrådgivning, advokat-klient-arbejde med fortrolig substans, og healthcare-applikationer.

Hvilken tilgang I vælger dokumenteres i AI-politikken og audit-trail-proceduren. Det er ikke kun et teknisk valg, det er en governance-beslutning der skal kunne forklares.

Model-valg-policy: hvilken AI til hvad

En af de mest oversete dele af AI governance er en eksplicit policy for hvilken model der må bruges til hvilken type opgave. Uden den vil medarbejdere typisk vælge det værktøj de bedst kender, ikke det der passer til datatypen. Policy'en baseres på fire faktorer.

Faktor	Beskriver
Datafølsomhed	Offentlig, intern, fortrolig, hemmelig. Følger virksomhedens dataklassificering
Forretningskritikalitet	Hvad er konsekvensen af forkert output? Bagatel, kvalitetsbrist, klient-tab, retlig sag
Data-residency	EU, UK, US, andet. Bestemmer hvilke leverandører der overhovedet er mulige
Leverandør-modenhed	DPA på plads, EU AI Act-readiness, SOC 2, ISO 27001, audit-reports tilgængelige

En typisk model-valg-policy for en vidensintensiv SMV ser sådan ud:

Self-hosted Llama eller Mistral

Fortrolige klient-data der ikke må forlade huset. Klient-strategi, kontrakt-substans, kapital-information. Hostes på egen Proxmox eller Azure tenant.

Claude API med EU-residency

Intern produktion: research, første udkast af klient-vendt materiale, analyse-opgaver. EU-residency-aftale via Anthropic Enterprise eller AWS Bedrock i Frankfurt.

ChatGPT eller Gemini med DPA

Ikke-fortrolige opgaver: offentligt tilgængeligt indhold, marketing, generel research. DPA underskrevet, data ikke brugt til træning.

GitHub Copilot eller Cursor

Kode-assistance kun. Filtreret for hemmeligheder. Hvis I bygger klient-leverancer hvor kunde-kode må ikke lække, brug self-hosted alternativ som Codeium eller selvhostet Continue.

Perplexity eller andre demo-modeller

Research med offentligt tilgængelige kilder. Skal aldrig modtage klient-data eller intern strategi-information.

Policy'en dokumenteres i AI-politikken og håndhæves teknisk hvor muligt: godkendelsesflow før nye værktøjer installeres, og blokering af ikke-godkendte AI-tjenester på firma-enheder via MDM eller netværks-filter.

Den minimale AI-politik

En AI-politik der virker fylder 3-5 sider. Længere bliver den ikke læst. Kortere mangler den substans der gør den anvendelig i konkrete situationer. Strukturen nedenfor er testet på vidensintensive SMVer og fungerer som startskelet.

1. Formål og ramme (1/2 side). Hvorfor har vi denne politik, og hvilke AI-anvendelser omfatter den.
2. Godkendte værktøjer (1/2-1 side). Konkret liste med Claude, ChatGPT, Gemini, n8n, andet. Inkluderer hvilke versioner, hvilken kontoramme (enterprise vs personlig).
3. Datapolitik (1 side). Hvilke datatyper må sendes til hvilke modeller, baseret på datafølsomhed og model-valg-policy.
4. Godkendelses-flow for nye værktøjer (1/2 side). Hvem godkender, hvilke kriterier, hvor lang sagsbehandlingstid.
5. Audit-trail-krav (1/2 side). Hvilke logninger skal forefindes, hvilken retention, hvem er ansvarlig.
6. Human oversight-krav (1/2 side). For hvilke use-cases kræves dokumenteret review, hvordan dokumenteres det.
7. Ejer og kontaktperson (1/4 side). Navngiven AI-ejer plus stedfortræder. Hvor henvender man sig med spørgsmål.
8. Review-cadence (1/4 side). Næste review-dato, hvem deltager, hvad gennemgås.

Politikken godkendes formelt af direktion og deles med medarbejderne på et fællesmøde, ikke kun via mail. Uden træning bliver en politik blot et dokument. Kvartalsvis review-dato sættes i ledelseskalenderen før politikken er færdigskrevet, så implementering ikke afhænger af huskeposter.

GDPR og AI: fem overlap-punkter

GDPR og EU AI Act er separate regelsæt, men overlapper på fem konkrete punkter for vidensintensive virksomheder. AI-system-inventory bør krydslinke til GDPR-fortegnelsen så Datatilsynet ved tilsyn kan se sammenhængen uden ekstra arbejde.

1. Art. 6 lovligt grundlag

Hver AI-anvendelse der behandler persondata kræver et lovligt grundlag (samtykke, kontraktopfyldelse, legitim interesse, retlig forpligtelse, vital interesse, offentlig opgave). Grundlaget vurderes pr use-case og dokumenteres i inventory.

2. Art. 22 automatiserede beslutninger

Beslutninger der træffes alene baseret på automatiseret behandling og har retlig virkning eller tilsvarende væsentlig betydning, kræver eksplicit Art. 22-overvejelse. Eksempel: AI-baseret kreditscoring, automatisk afvisning af klient. Human oversight skal være reel, ikke rubber-stamp.

3. Art. 28 databehandleraftaler

AI-leverandører der behandler persondata er databehandlere og kræver DPA. Aftalen specificerer formål, varighed, kategorier af registrerede, sikkerhedsforanstaltninger, underleverandører og audit-rettigheder. Tilføj AI-leverandører til GDPR-databehandlerregistret.

4. Retention

GDPR kræver at persondata ikke opbevares længere end nødvendigt. AI-træningsdata, prompt-logs og output-historik skal have eksplicit retention-policy. EU AI Act minimum 6 måneder for high-risk-systemer harmoniseres med GDPR-retention.

5. Inventory-fortegnelse

GDPR-fortegnelsen (Art. 30) og AI-system-inventory dækker dele af det samme ground. Krydslink mellem dem så I undgår dobbelt-administration. Datatilsynet ved tilsyn kigger typisk på begge dele samtidigt.

Hvor governance fejler i praksis

Vi har set governance-implementeringer der ser pæne ud på papir kollapse første gang de mødes med en konkret kunde-anmodning eller tilsyns-spørgsmål. Fem typiske faldgruber går igen.

Faldgrube 1: AI-politik uden navngiven ejer

En politik uden navngiven AI-ejer er en politik der ikke vedligeholdes. Kvartalsvis review afhænger af at nogen har den i kalenderen. Konsekvens: politikken er forældet seks måneder efter den blev godkendt.

Faldgrube 2: Inventory der ikke fanger skygge-IT

Den officielle inventory viser 5 godkendte AI-værktøjer. Den faktiske brug i huset er 12 værktøjer, hvoraf 7 kører på personlige konti uden virksomheds-godkendelse. Når en kunde-anmodning kommer ind med "hvilke AI-værktøjer har behandlet vores data", afsløres mismatchet. Løsning: anonym spørgeundersøgelse blandt medarbejdere hvert kvartal.

Faldgrube 3: Audit-trail uden retention-disciplin

Logning startes ambitiøst. Efter seks måneder er log-volumen vokset til urealistisk niveau, ingen ser i loggene, og opbevaringen ophører stille uden formel beslutning. Når Datatilsynet spørger til logs fra et halvt år siden, findes de ikke. Løsning: definér retention-periode skriftligt på dag 1 og automatisér enten arkivering eller sletning.

Faldgrube 4: Human oversight som rubber-stamp

Procedure siger "AI-output reviewes af kvalificeret medarbejder før det forlader huset". I praksis betyder det at junior-medarbejder klikker godkend uden at læse output. Når en fejl bliver offentlig, falder den formelle compliance fra hinanden ved første tilsyn. Løsning: dokumentér konkrete check-punkter pr review og kvartalsvis stikprøve af om review reelt er foretaget.

Faldgrube 5: Governance der lever isoleret fra GDPR

AI-system-inventory ligger i en mappe, GDPR-fortegnelsen i en anden, og de to vedligeholdes uafhængigt. Når Datatilsynet ankommer, opdages inkonsistenser. Løsning: én fælles inventory der dækker begge regelsæt med tags for hvilken regulering der gælder for hvert system.

ISO 42001 versus ad-hoc governance

ISO/IEC 42001 (AI Management System) blev publiceret i 2023 og giver en struktureret ramme for AI governance på linje med ISO 27001 for informationssikkerhed. Standarden er certificerbar og dækker mange af EU AI Act-kravene.

Den centrale beslutning for vidensintensive SMVer er om I skal sigte efter ISO 42001-certificering eller om ad-hoc governance er nok. Anbefalingen er klar: start ad-hoc, vurder ISO efter 6-12 måneders drift.

ISO 42001 giver mening når:

I sælger til public sector eller enterprise-kunder der eksplicit kræver certificering
I har flere high-risk-systemer hvor stordrift kan udnyttes
I bygger AI som produkt og vil signalere modenhed mod markedet
I allerede har ISO 27001 og kan udvide governance-apparatet

ISO 42001 giver IKKE mening hvis:

I har 1-2 limited risk-systemer og ingen high-risk
I er en lille SMV uden enterprise-salg
I bare vil opfylde EU AI Act-minimum
I ikke har eksisterende ISO-erfaring og skal opbygge governance-apparatet fra bunden

For de fleste vidensintensive SMVer er fokuseret ad-hoc governance vejen først. ISO 42001-readiness koster typisk 200-500 interne timer plus 80-150 tkr i ekstern rådgivning og selve certificeringsforløbet. Den investering retfærdiggøres af konkrete kunde- eller markedskrav, ikke af principielle compliance-overvejelser.

Tre skridt I kan tage i denne uge

Skridt 1: Etablér AI-system-inventory

Opret et Google Sheet med felterne: navn, leverandør, anvendelse, brugergrupper, datatyper, EU AI Act-klassifikation, GDPR-grundlag, ejer
Bed medarbejdere navngive alle AI-værktøjer i brug, også personlige konti
Foretag første klassificering pr system (forbudt, high-risk, limited, minimal)
Identificer top 3 systemer hvor governance er mest påtrængende

Skridt 2: Skriv den minimale AI-politik

Brug 8-punkts-strukturen ovenfor som skelet
3-5 sider, ikke mere. Skal kunne læses i kaffepausen
Navngiv en AI-ejer plus stedfortræder
Sæt kvartalsvis review-dato i kalenderen før politikken godkendes

Skridt 3: Krydslink til GDPR-fortegnelsen

Identificér hvilke AI-systemer behandler persondata
Tilføj dem til den eksisterende GDPR-fortegnelse med reference til AI-inventory
Verificér at databehandleraftaler er på plads med AI-leverandørerne
Hvis nogen mangler, kontakt leverandøren og bed om DPA

De tre skridt giver fundamentet for både EU AI Act-readiness og praktisk governance. De skal ikke være perfekte ved første aflevering: de skal være på plads og have en ejer. Iterativ forbedring over de næste tre måneder er bedre end perfekt politik der venter i seks måneder.

FAQ

Hvor lang tid skal vi opbevare audit-trail?

EU AI Act minimum 6 måneder for high-risk-systemer. Finansielle services typisk 5-7 år. Klient-relateret rådgivning hos advokater og revisorer normalt klientforhold plus 5 år. Vores anbefaling: minimum 12 måneder for alle AI-systemer i produktion.

Hvor mange timer kræver det at få governance på plads?

Minimum-pakken (politik, inventory, basis audit-trail): 40-80 interne timer over 4-8 uger. Fuld EU AI Act-readiness: 100-300 timer over 3-6 måneder. ISO 42001-readiness: 200-500 timer over 6-12 måneder.

Kan vi outsource AI governance?

Politik-skrivning og inventory-opbygning kan outsources. Audit-trail-praksis og ejerskab kan ikke. Den eksterne rådgiver leverer skelet og kvalitetssikring, men en virksomhed uden intern AI-ejer mister governance-disciplinen efter 3-6 måneder. Hybrid-tilgang fungerer bedst.

Hvad hvis vi ikke har en DPO?

Vidensintensive SMVer er ofte ikke forpligtet til DPO (under 250 ansatte og ingen high-risk-behandling). I dette tilfælde tager IT-chef eller compliance-ansvarlig ejer-rollen for AI governance. Hvis I har high-risk-systemer eller behandler følsomme persondata systematisk, bør I overveje frivillig DPO eller delt DPO-funktion med andre SMVer i samme branche.

Skal medarbejdere uddannes i AI governance?

Ja, men proportionalt. Alle medarbejdere der bruger AI-værktøjer bør have 30-60 minutters introduktion til politikken (typisk ved opstart plus årlig opfølgning). AI-ejer og stedfortræder bør have dybere uddannelse, fx EnterpriseIQ Bootcamp eller tilsvarende. Specialiserede roller (DPO, compliance) bør have formel uddannelse i EU AI Act og ISO 42001.

Hvordan ved vi om vores governance er god nok?

Tre tests: 1) En enterprise-kunde beder om dokumentation af jeres AI-praksis. Kan I levere på 24 timer? 2) Datatilsynet starter tilsyn med fokus på AI. Har I inventory og log klar? 3) En medarbejder spørger "må jeg sende denne klient-aftale til Claude?". Kan vedkommende selv finde svaret i politikken? Hvis ja til alle tre, har I governance i praksis, ikke kun på papir.

Næste skridt

Tre veje afhængigt af hvor I står:

Gratis

Hent EU AI Act-tjeklisten

8-siders PDF med 12-punkts tjekliste der dækker både compliance og governance-grundlaget.

Fra 15.000 kr

Book Quick Check

1 dags vurdering med komplet AI-system-inventory, risk-klassifikation, AI-policy-stub og 90-dages roadmap.

Gratis

30 min samtale

Uforpligtende screening. Vi finder ud af om Quick Check passer jer, eller om I har brug for noget andet.

Om forfatteren

Jesper Sachmann er grundlægger af EnterpriseIQ. 27 års IT-lederskab fra Oracle, Logica og Capgemini, kombineret med hands-on AI-erfaring og 11 års GRC-baggrund fra Archer (Alliance Director Europe og Integrated Risk Management Lead Nordics).

AI-attribution: Denne artikel er AI-assisteret produceret med Claude Opus 4.7, menneskelig review af Jesper Sachmann. Se vores AI-transparenspolitik for hvordan vi bruger AI i alle leverancer.

Citerer du denne artikel? "EnterpriseIQ: AI Governance og audit-trail i praksis (2026-05-26)" eller link til enterpriseiq.dk/indsigt/ai-governance-audit-trail.