AI-systemer og biometrisk overvågning: EU's forbud og hvad det betyder for danske virksomheder
I april 2026 træder EU AI Act fuldt i kraft, og det betyder en fundamental ændring af, hvordan vi må bruge AI-systemer til biometrisk overvågning i Europa. Som IT-professionel med 15+ års erfaring har jeg set mange regulatorer forsøge at stramme grebet omkring teknologi, men dette forbud er anderledes. Det er ikke et par restriktioner på kanten — det er et direkte forbud mod nogle af de mest udbredte overvågningsteknologier, vi bruger i dag.
Hvis du arbejder i en dansk virksomhed, offentlig institution eller organisation, som bruger ansigtsgenkendelses systemer, iris-scanning eller anden biometrisk overvågning, så er der nu mindre end et år til at få styr på compliance. Jeg har hjulpet flere danske virksomheder gennem denne proces, og det er klart, at mange ikke helt har forstået omfanget af ændringerne. Nogle tror, de kan fortsætte som hidtil; andre er gået i panik og ønsker at fjerne alt biometrisk teknologi. Sandheden ligger et sted mellem — men det kræver planering.
I denne artikel gennemgår jeg præcis hvad EU's forbud mod biometrisk overvågning betyder, hvilke systemer der er omfattet, og vigtigst af alt: hvad du skal gøre nu for at sikre, at din virksomhed er compliant når deadline nærmer sig.
Hvad er EU's forbud mod biometrisk overvågning?
EU AI Act klassificerer visse AI-systemer til biometrisk overvågning som højrisiko, og nogle som direkte forbudt. Det vigtigste at forstå er, at forbuddet primært handler om real-time ansigtsgenkendelses overvågning i offentlige rum. Det betyder, at hvis du har installeret kameraer på dit kontor, i din butik eller på gaden, som automatisk genkender og identificerer mennesker i realtid, så skal det væk.
Forbuddet gælder ikke alle situationer. EU har lavet nogle vigtige undtagelser for sikkerhed og retshåndhævelse. Hvis politiet skal finde en savnet person, eller hvis en lufthavn skal tjekke passagerer mod en database over terrorister, så er det stadig tilladt — men under meget stramme betingelser. Undtagelserne kræver retskendelse, dokumentation og transparent rapportering. Det er ikke noget, man bare kan gøre, fordi man synes, det er praktisk.
Implementeringstidslinen er vigtig at kende. EU AI Act blev vedtaget i december 2023, og de fleste regler træder i kraft i april 2026. Det betyder, at virksomheder har haft tid til at forberede sig, men mange har ikke brugt den tid effektivt. Fra april 2026 gælder forbuddet fuldt ud, og der er ingen "grace period" for virksomheder, der ikke er klar. Hvis du stadig bruger forbudt teknologi efter deadline, risikerer du bøder.
Overgangsperioden for eksisterende systemer er også værd at bemærke. Hvis du allerede havde et biometrisk system installeret før EU AI Act blev vedtaget, har du nogle måneder ekstra til at fase det ud. Men denne grace period er ikke uendelig, og den gælder kun for systemer, der var i drift før december 2023. Alt nyt skal være compliant fra dag ét.
Hvilke AI-systemer er omfattet af forbuddet?
Lad mig være helt konkret om, hvad der er omfattet. Real-time ansigtsgenkendelses systemer på offentlige steder er det primære forbud. Det betyder, at du ikke må bruge AI til at genkende menneskers ansigter fra livefeeds af kameraer på gaden, i butikker, på togstationer eller andre offentlige rum. Dette forbud er bredt og dækker både lokale og fjernidentifikationssystemer.
Fjernidentifikation og masseovervågning er også omfattet. Hvis du bruger AI til at matche ansigter fra billeder eller videoer mod en database for at identificere personer uden deres samtykke, er det forbudt. Dette omfatter både systemer, der bruges til at finde en bestemt person blandt mængder af mennesker, og systemer, der bare generelt scanner befolkningen.
Andre biometriske systemer er også på listen. Iris-scanning og fingeraftryks-matching systemer til overvågning (ikke til frivillig adgangskontrol) er omfattet. Endnu mere interessant — og noget mange glemmer — er emotionel genkendelses AI også omfattet af høj-risiko klassifikationen. Det er de systemer, der forsøger at aflæse menneskers følelser fra deres ansigtsudtryk. Dette er især relevant i uddannelses- og arbejdskontekst.
Der er dog vigtige undtagelser. Biometriske systemer til grænsecontrol og sikkerhed er tilladt under specifikke betingelser. Hvis du arbejder på en lufthavn eller grænseovergang, kan du stadig bruge ansigtsgenkendelses systemer til at tjekke pas mod en database. Men selv disse systemer skal være gennemsigtige, og der skal være menneskeligt tilsyn. Du kan ikke bare lade AI'en tage beslutningen alene.
Privat adgangskontrol baseret på biometri er også tilladt, hvis der er korrekt samtykke. Hvis en medarbejder frivilligt accepterer at blive genkendel via ansigtsgenkendelses system for at få adgang til et sikret område, og virksomheden har dokumenteret dette samtykke og kan vise, at der ikke er bedre alternativer, så kan det tillades. Men det kræver meget dokumentation.
Konsekvenser for danske virksomheder og organisationer
Lad mig være helt ærlig: konsekvenserne er betydelige. Danske virksomheder skal nu auditere alle deres eksisterende biometriske systemer og kortlægge, hvilke der skal fjernes eller ændres. Hvis du er IT-leder i en større organisation, betyder det sandsynligvis hundredtusinder af kroner i arbejde og omstilling.
Der er krav om brugersamtykke og transparens for alle systemer, der fortsætter. Du kan ikke længere bare installere et ansigtsgenkendelses system uden at fortælle folk det. Du skal informere personer om, at deres biometriske data indsamles, hvad du bruger det til, hvor længe du gemmer det, og hvem der har adgang til det. Dette skal være skriftligt, og det skal være let at forstå — ikke skjult i 50 siders vilkår.
De potentielle bøder er også værd at tage alvorligt. For alvorlige overtrædelser af EU AI Act kan bøder nå op til 6% af årlig omsætning eller 30 millioner euro, hvad der er størst. For en større dansk virksomhed med en årlig omsætning på 1 milliard kroner betyder det en potentiel bøde på 60 millioner kroner. Det er ikke en lille risiko at ignorere.
Omstillingen af sikkerhedsinfrastruktur vil påvirke mange sektorer. Retail-virksomheder, der har brugt ansigtsgenkendelses systemer til at genkende shoplifters, skal finde alternative løsninger. Transport-selskaber skal ændre deres overvågningssystemer. Offentlige institutioner skal gennemgå, hvordan de bruger biometrisk teknologi. Hospitaler, der måske har brugt ansigtsgenkendelses systemer til patientidentifikation, skal finde nye metoder.
Påvirkningen af retail, transport og offentlige institutioner er konkret og vil mærkes af borgerne. Nogle butikker vil måske installere mere traditionel overvågning eller øge antallet af sikkerhedsvagter. Lufthavne kan få længere køer, hvis de skal have mere manuelt tilsyn med biometriske systemer. Offentlige institutioner skal måske investere i helt nye sikkerhedssystemer.
Sådan sikrer du compliance med EU's biometriske forbud
Hvis du arbejder i en organisation, der bruger AI-systemer til biometrisk overvågning, er der konkrete trin du skal tage nu. Først og fremmest: gennemfør en compliance-audit af dine nuværende AI-systemer. Du skal kortlægge præcis hvilke biometriske systemer du har, hvor de er installeret, hvad de bruges til, og hvem der har adgang til dataene. Dette er arbejde, der ikke kan udskydes.
Dokumenter alle biometriske databehandlinger. Du skal have en komplet oversigt over dataflows — hvor data kommer fra, hvor det gemmes, hvor længe det gemmes, hvem der kan se det, og hvordan det slettes. Hvis du ikke kan dokumentere dette, kan du ikke bevise compliance. Jeg har set virksomheder, der havde systemer, de ikke engang vidste var der, fordi dokumentationen var ikke-eksisterende.
Implementer alternative sikkerhedsløsninger. Hvis du skal fjerne et ansigtsgenkendelses system, hvad erstatter du det med? Her er nogle praktiske alternativer:
- Kort-baseret adgangskontrol med PIN-koder
- Traditionel videoovervågning uden biometrisk analyse
- Øget menneskelig tilstedeværelse og sikkerhedsvagter
- Ikke-biometrisk AI, der analyserer adfærd uden at identificere personer
- Kombinationer af ovenstående
Etabler klare policies for dataopbevaring. Hvis du stadig bruger biometriske systemer, hvor længe må du gemme data? EU's krav er generelt så kort som muligt — ofte bare sekunder eller minutter for real-time systemer. Du skal have skriftlige retningslinjer for, hvornår data skal slettes, og du skal kunne bevise, at du følger disse retningslinjer.
Træn dine medarbejdere i GDPR og AI Act krav. Dine IT-medarbejdere, sikkerhedspersonale og ledelse skal forstå, hvad der er tilladt, og hvad der ikke er. En enkelt medarbejder, der installerer et forbudt system, fordi vedkommende ikke vidste bedre, kan koste virksomheden millioner i bøder.
Alternative løsninger til biometrisk overvågning
Jeg bliver ofte spurgt: "Hvis vi ikke kan bruge ansigtsgenkendelses systemer, hvad bruger vi så?" Det er et fair spørgsmål, og der er faktisk mange gode alternativer, hvis man tænker kreativt.
Ikke-biometriske identifikationssystemer er det mest åbenlyse alternativ. Kort-baseret adgangskontrol har været brugt i årtier og virker stadig. Du kan kombinere det med PIN-koder, RFID-tags eller endda NFC-teknologi på smartphones. Det er ikke så "smart" som ansigtsgenkendelses systemer, men det fungerer, det er sikkert, og det er lovligt.
Objektbaseret AI-overvågning uden personidentifikation er en anden mulighed. I stedet for at genkende personer, kan AI analysere adfærd — for eksempel at opdage, hvis nogen bevæger sig på usædvanlige måder, eller hvis der er genstande, der ikke burde være der. Dette kan hjælpe med sikkerhed uden at identificere personer. En AI kan for eksempel se, at en person uden uniform har adgang til et område, uden at vide, hvem personen er.
Adgangskontrol baseret på kort og PIN er gammeldags, men det virker. Du kan gøre det mere moderne ved at bruge mobile solutions, hvor medarbejdere kan låse op ved at bruge deres smartphone. Kombineret med tidsbaserede adgange og detaljeret logging, kan dette være lige så effektivt som biometriske systemer.
Hybrid-løsninger med reduceret biometrisk data er også mulige. I stedet for at gemme fulde ansigtsdata, kan du gemme krypterede templates, der kun kan bruges til at matche mod nye billeder, ikke til at rekonstruere ansigter. Dette reducerer privatlivsrisikoen betydeligt. Du kan også bruge biometriske systemer kun til frivillig adgangskontrol for medarbejdere, ikke til masseovervågning.
Privacy-by-design tilgange er vigtige at implementere. Det betyder, at du fra starten designer dine sikkerhedssystemer med privatlivsbeskyttelse i tankerne. I stedet for at spørge "Hvordan indsamler vi mest data?", spørger du "Hvad er det minimale data, vi skal indsamle for at løse problemet?" Dette kræver en mentalitetsændring i mange organisationer.
Tidsplan og implementering i Danmark
Lad mig være helt klar om tidsplanen. EU AI Act fuldt implementering april 2026 — det er mindre end et år væk fra nu. Dette er ikke en dato, der kan flyttes. Fra denne dato gælder alle regler fuldt ud, og der er ingen undskylding for ikke at være klar.
Danmark har ikke særlige nationale regler, der er mindre strenge end EU's forbud. Vi følger EU AI Act direkte, og danske myndigheder vil håndhæve det. Datatilsynet vil være den primære myndighed, der fører tilsyn, og de er allerede begyndt at forberede sig. Jeg forventer, at vi vil se de første håndhævelser kort efter april 2026.
Overgangsperioder for eksisterende systemer er vigtige at forstå. Hvis du havde et biometrisk system i drift før december 2023, har du nogle måneder ekstra til at fase det ud. Men denne periode slutter ikke senere end december 2026. Alt nyt system skal være compliant fra dag ét efter april 2026.
Myndighedstilsyn og kontrol vil blive mere intensivt. Datatilsynet har allerede annonceret, at de vil føre tilsyn med virksomheder, der bruger biometriske systemer. De vil sandsynligvis starte med større virksomheder, men over tid vil alle blive kontrolleret. Du kan ikke gemme dig.
Her er de vigtigste milepæle og deadlines:
- Nu til juli 2026: Audit og dokumentation af eksisterende systemer
- Juli til september 2026: Implementering af alternative løsninger
- September til december 2026: Fase-ud af forbudt teknologi
- December 2026: Alle systemer skal være compliant
Min anbefaling er at starte nu. Vent ikke til juli eller august. Jo tidligere du starter, jo mere tid har du til at løse problemer, og jo mindre stress bliver det. Jeg har set virksomheder, der ventede for længe, og det blev dyrt.
Ofte stillede spørgsmål om AI-systemer og biometrisk overvågning
Er ansigtsgenkendelses systemer helt forbudt i EU?
Nej, ikke helt. Real-time ansigtsgenkendelses overvågning i offentlige rum er forbudt, men der er undtagelser for sikkerhed, retshåndhævelse og grænsekontrol. Private virksomheder kan stadig bruge biometriske systemer med korrekt samtykke og dokumentation. Hvis en medarbejder frivilligt accepterer ansigtsgenkendelses adgangskontrol, og virksomheden kan dokumentere, at der ikke er bedre alternativer, kan det tillades. Men det kræver meget dokumentation og transparens.
Hvad sker der, hvis min virksomhed ikke overholder forbuddet?
Virksomheder risikerer bøder op til 6% af årlig omsætning eller 30 millioner euro (hvad der er størst) for alvorlige overtrædelser. Derudover kan systemerne forbydes, og der kan være juridiske konsekvenser. Datatilsynet kan også påbyde omgående nedlukning af systemer, hvis de vurderer, at der er en alvorlig risiko for privatlivsbrud. Og hvis der sker en databrud på grund af dit ikke-compliant system, kan du også blive holdt ansvarlig efter GDPR.
Hvordan påvirker dette danske detailhandler og lufthavne?
Detailhandlere kan ikke længere bruge ansigtsgenkendelses overvågning til generel butikskontrol eller for at identificere shoplifters. De skal finde alternative løsninger som øget menneskelig tilstedeværelse, traditionel videoovervågning uden biometrisk analyse, eller ikke-biometrisk AI. Lufthavne og grænseovergange kan fortsætte med biometriske systemer til sikkerhedsformål under specifikke betingelser — men kun for at tjekke mod sikkerhedsdatabaser, ikke for generel overvågning. Og selv dette skal være transparent og have menneskeligt tilsyn.
Hvilken rolle spiller GDPR i forhold til dette forbud?
GDPR og EU AI Act arbejder sammen. GDPR regulerer databehandling generelt, mens AI Act sætter krav til selve AI-systemerne. Biometriske data betragtes som særlige kategorier under GDPR, hvilket gør kravet endnu strengere. Du skal både overholde GDPR's regler for særlige kategorier af data og AI Act's regler for højrisiko-systemer. Det betyder mere dokumentation, mere samtykke, og mere kontrol.
Hvad skal jeg gøre nu for at forberede min virksomhed?
Start med at kortlægge alle AI-systemer og biometriske databehandlinger. Gennemfør en compliance-audit, dokumenter alle processer, og planlæg migration til alternative løsninger inden april 2026. Hvis du har mange systemer, kan det være værd at hyre en ekstern konsulent til at hjælpe. Vigtigst af alt: start nu. Vent ikke til marts 2026, for så er det for sent.
Konklusion: Forberedelse er nøglen
EU's forbud mod biometrisk overvågning er reelt, det er tæt på, og det vil påvirke næsten alle danske virksomheder og organisationer. AI-systemer til biometrisk overvågning kan ikke længere bruges til real-time masseovervågning, og det er ikke noget, der kan ignoreres eller udskubes.
Det vigtige at forstå er, at dette ikke er slutningen på AI eller sikkerhed. Det er en påmindelse om, at magt kræver ansvar. Teknologi, der kan bruges til at overvåge hele befolkningen uden deres vidende, skal reguleres. EU har valgt at regulere det ved at forbyde de værste tilfælde. Det er ikke perfekt, men det er en start.
For danske virksomheder betyder det konkret arbejde nu. Audit dine systemer, dokumenter alt, find alternative løsninger, og træn dine medarbejdere. Hvis du gør det nu, vil du være klar, når april 2026 kommer. Hvis du venter, risikerer du betydelige bøder og juridiske problemer.
Jeg har set teknologi ændre verden flere gange i min karriere. Nogle gange er det ændringer, vi ønsker; nogle gange er det ændringer, vi er nødt til at acceptere. Dette forbud er af sidstnævnte type. Accepter det, planlæg for det, og brug det som en mulighed til at tænke nyt om sikkerhed og privatlivsbeskyttelse i din organisation.