Sådan navigerer du i den amerikanske AI-compliance-labyrint

Af Danny Bradbury • 18 December 2025

Når det kommer til regulering, er udtrykket "USA" en selvmodsigelse. Statslovgivningen er alt andet end ensartet, og hver jurisdiktion skræddersyr traditionelt lovgivningen til at passe til dens vælgeres specifikke behov. Intet sted er denne lappeteppe-tilgang til loven mere sand end i den spirende verden af AI.

Lovgivere i alle 50 stater underskrevet 118 AI-relaterede lovforslag i kraft i år, og dermed også de love, der allerede er trådt i kraft. Dette repræsenterer kun 11 % af de 1,080 love, som delstatslovgivere behandlede i 2025.

Vedtagne love bliver også bredere. Colorados SB 24-305 (gældende fra 30. juni næste år) er den første brede ramme for forbrugerrettigheder inden for AI, der påvirker private virksomheder, der udvikler eller bruger "højrisiko-AI-systemer" inden for områder som beskæftigelse, udlån, sundhedspleje og boligbeslutninger.

Forskellige love har forskellige tilgange til problemet, hvilket forværrer kludetæppeeffekten. For eksempel forbinder Texas Responsible Artificial Intelligence Governance Act (TRAIGA), en anden omfattende ramme for forbrugerbeskyttelse inden for AI, der blev underskrevet i år, ansvar med hensigt i modsætning til Colorados resultatbaserede fokus. I mellemtiden har Californien flere love, herunder en der fokuserer på gennemsigtighed af træningsdata.

Alarmklokkerne for overholdelse af regler ringer allerede for amerikanske virksomheder. syv ud af ti IT-ledere rangerer nu overholdelse af regler blandt deres tre største udfordringer for generativ AI-implementering. Gartner (kilden til statistikken) mener, at overtrædelser af AI-regler vil forårsage en stigning på 30 % i juridiske tvister for tech-virksomheder. Virksomheder forstår måske risikoen, men det betyder ikke, at de er klar til den. Under en fjerdedel er sikre på, at de rent faktisk kan håndtere AI-styring, siger markedsanalysefirmaet.

Det er ikke noget nyt for amerikanske virksomheder at kæmpe med regulering, da de i 2018 måtte fordøje GDPR (lidt som en slange, der sluger en ged). Men AI tegner til at blive værre for dem.

Trumps EO-gambit

Ledelsen i kriseramte situationer kan måske søge trøst i præsident Trumps seneste brev. I sidste uge udsendte Det Hvide Hus en Bekendtgørelse søger at tøjle statslig regulering af AI. Dermed forsøger den at indfri mange af de løfter, der er fremsat i dens AI handlingsplan, udgivet i juli.

Den seneste justitsminister udnævner justitsminister Pam Bondi til leder af en 'AI Litigation Task Force', der skal opspore statslige love, som hun anser for ulovlige. Handelsministeriet vil følge op ved at knytte tilskudsansøgninger til det "regulatoriske landskab" i staterne.

Den europæiske rådgiver (EO) har til formål at erstatte statslige regler, som den amerikanske justitsminister (AG) ikke bryder sig om, med en enkelt juridisk ramme, som vil blive udviklet af en specialrådgiver for AI og krypto (en stilling, der i øjeblikket besiddes af den tidligere Paypal-direktør, David Sacks). Den føderale kommunikationskommission (Federal Communications Commission) vil også undersøge muligheden for at oprette en enkelt føderal standard for rapportering og offentliggørelse af AI-modeller.

Dette kan måske opmuntre nogle af de virksomheder, der er bekymrede over kompleksiteten af lovgivningen på statsniveau, men i praksis mener juridiske eksperter ikke, at det har ben.

"Føderale agenturer som justitsministeriet og FTC kan ikke gribe ind i lovlige statslige regler uden en klar delegation fra Kongressen." skrev Olivier Sylvain, professor i jura ved Fordham University og senior policy fellow ved Columbia Universitys Knight First Amendment Institute.

Kongressen spiller ikke med. I juli stemte Senatet med overvældende flertal for at fjerne et foreslået 10-årigt moratorium for håndhævelse af statslige AI-love fra det foreslåede lovforslag. For nylig nægtede lovgivere at tilføje et sådant moratorium til National Defense Authorization Act.

Dekreter vedrører regeringen, ikke den private sektor, hvilket er grunden til, at det seneste dokument forsøger at bruge den udøvende magt til at nedkæmpe statslige retssager. Men "uden nogen lov, der kommer i nærheden af at håndtere statslig regulering af AI, endsige en, der forhindrer den, ville et angreb på stater fra Justitsministeriet eller FTC sandsynligvis være dødt ved ankomsten," tilføjede Sylvain.

Risiciene ved ikke-kompatibel AI-implementering

Med dette i tankerne gør virksomheder klogt i at planlægge langsigtet overholdelse af AI-regulering på statsligt niveau. For at gøre dette bør tre spørgsmål nu være obligatoriske i bestyrelsesdiskussioner om AI: Hvem er ansvarlig for AI-beslutninger? Hvordan vurderes risiciene? Og hvad sker der, når modeller fejler? Men dette sker ikke. Kun 49 % af bestyrelserne har vurderet AI, risiko, efter den nationale sammenslutning af virksomhedsdirektører.

Farerne ved ikke at vurdere risikoen er mange. Den største af dem er langt den største, ifølge McKinsey, er unøjagtighed, idet 30 % af virksomhederne oplever dette mindst én gang i AI-projekter. I 2024 betalte Air Canada erstatning efter deres chatbot opfundne dødsrabatter, men disse blegner i forhold til den omdømmeskade, det forårsagede.

Nummer to på McKinseys liste var forklarbarhed, hvilket har påvirket 14 % af virksomheder i den virkelige verden af AI-implementeringer. Hvis du ikke kan forklare, hvorfor din model nægtede nogen et lån, kan det føre til regulatoriske problemer. Andre risici omfatter krænkelser af privatlivets fred og cybersikkerhedssårbarheder, som alle kan føre til potentielt regulatorisk tilbageslag.

Virksomheder behøver ikke lede længe efter eksempler på AI-implementeringer, der er gået galt. Én AI-drevet softwareudviklingstjeneste slettede en persons produktionsdatabase, for eksempel. Måske den mest bekymrende af alle var dog skandalen omkring den hollandske skattemyndigheds misbrug af AI at træffe beslutninger om livspåvirkende ydelser.

ISO/IEC 42001 giver et grundlag for AI-overholdelse

I ustabile tider som disse, hvor det regulatoriske AI-landskab langt fra er ensartet, er det vigtigt at vende sig mod veletablerede standarder som f. ISO / IEC 42001 hjælper med at skabe konsekvent god praksis. Det blev udgivet i december 2023 og er en international standard for AI-styringssystemer. Organisationer, der overvejer AI-implementeringer, kan bruge dette til at hjælpe dem med risiko- og konsekvensanalyser. Det er et værktøj til AI-styring, der fungerer på tværs af flere jurisdiktioner.

Virksomheder kan hjælpe med at udvikle og vedligeholde robuste bedste praksisser inden for AI ved at indbygge compliance-foranstaltninger i deres organisationsstruktur. For eksempel kan du udpege et medlem af dit compliance-team til at føre tilsyn med AI-specifikke compliance-foranstaltninger drevet af ISO 42001, og indbygge regelmæssige risikovurderingsforanstaltninger i dine AI-udviklings-, implementerings- og brugsprocesser.

Oversvømmet i et turbulent hav af statslige love, og med skiftende føderale håndhævelsesprioriteter, der tester de juridiske grænser for regulering, er ISO 42001 en redningskrans, som virksomheders compliance-afdelinger kan klamre sig til.

Danny Bradbury

Danny Bradbury har været printjournalist med speciale i teknologi siden 1989 og freelanceskribent siden 1994. Han har skrevet for nationale publikationer på begge sider af Atlanten og har vundet priser for sit undersøgende cybersikkerhedsjournalistikarbejde.

Læs mere fra Danny Bradbury

Cyber sikkerhed 15 januar 2026

Fra perimetersikkerhed til identitet som sikkerhed

Man kan ikke kigge nogen steder hen på en sikkerhedshændelse i disse dage uden at se udtrykket "nul tillid". Det er et modeord, ikke sandt...

Danny Bradbury

Cyber sikkerhed 20. November 2025

Hvad Salesforce-brud lærer os om delt ansvarlighed banner

Hvad Salesforce-brudene lærer os om delt ansvarlighed

2025 har ikke været et godt år for Salesforce-kunder. En lyssky kriminel gruppe iværksatte en række angreb på sine kunder, hvilket i sidste ende påvirkede...

Danny Bradbury

Cyber sikkerhed 13. November 2025

Vurdering af Trump-administrationens ændring i den amerikanske cybersikkerhedspolitik (banner)

Vurdering af Trump-administrationens ændring i amerikansk cybersikkerhedspolitik

Nylige udøvende handlinger og omstruktureringer af agenturer markerer en betydelig ændring i den føderale cybersikkerhedsstrategi, hvilket rejser spørgsmål om national residentialitet...

Danny Bradbury