EU AI Act for jurister: hva du må vite før 2. august 2026

Q: Er advokatfirmaets AI-bruk et 'AI-system' etter AI Act?

Som bruker av et AI-verktøy (f.eks. en generell chatbot eller LexCodex) er du en 'deployer' under forordningen. Pliktene ligger primært på leverandøren av AI-systemet. Som deployer har du Art. 26-plikter dersom du bruker høyrisiko-systemer, men det er de fleste juridiske AI-verktøy IKKE.

Publisert 3. mai 2026 · 8 minutters lesetid · Av GD · LexCodex

EU AI Act (forordning (EU) 2024/1689) trådte i kraft 1. august 2024, men anvendes trinnvis. For advokatfirmaer og in-house-team er den største milepælen 2. august 2026, da transparenskrav og høyrisiko-plikter begynner å gjelde.

Norge er ikke EU-medlem, men AI Act gjelder via EØS-avtalen. Norske jurister og klienter forholder seg til samme krav som EU-baserte aktører.

For jurister reiser det to praktiske spørsmål:

Er AI-verktøyene jeg selv bruker "AI-systemer" etter forordningen, og har jeg som bruker noen krav å oppfylle?
Hvordan klassifiserer jeg klienters AI-systemer når de spør?

Denne teksten svarer på begge.

Tidslinje: hva gjelder når?

Dato	Hva begynner å gjelde
1. aug 2024	AI Act trådte i kraft
2. feb 2025	Forbudte AI-praksiser (Art. 5)
2. aug 2025	GPAI-plikter (Art. 51-55)
2. aug 2026	Høyrisiko-systemer + transparenskrav (Art. 50)
2. aug 2027	Høyrisiko-systemer under Annex I-produkter

For de fleste jurister er det 2. august 2026 som er den relevante milepælen. Da må alle limited-risk-systemer oppfylle Art. 50 transparenskrav.

Risikoklassene i korthet

AI Act deler AI-systemer inn i fire risikoklasser:

Forbudt (Art. 5): Subliminal manipulasjon, sosial scoring fra offentlig myndighet, sanntids biometrisk identifikasjon i offentlige rom, emosjonsdeteksjon på arbeidsplasser og i skoler med flere. Sanksjon: opptil 35 MEUR eller 7 prosent av global omsetning.
Høyrisiko (Annex III): AI-systemer innen rekruttering, utdanning, kredittvurdering, kritisk infrastruktur, politiarbeid, rettsvesenet (for domstoler) og grensekontroll. Krever omfattende dokumentasjon, risikohåndtering, menneskelig tilsyn og registrering i EU-database. Sanksjon: opptil 15 MEUR eller 3 prosent av omsetning.
Begrenset risiko (Art. 50): AI-systemer som samhandler direkte med fysiske personer eller genererer syntetisk innhold. Kravene er å informere brukeren om AI-samhandling og merke AI-generert innhold. Ingen andre obligatoriske krav.
Minimal risiko: Alt annet. Ingen AI Act-spesifikke plikter, men personvernforordningen og øvrig lovgivning gjelder fortsatt.

Viktig nyanse om Annex III pkt 8 (rettsvesenet): Teksten gjelder "AI-systems intended to be used by a judicial authority or on their behalf". Det vil si domstoler og myndigheter innen rettsvesenet, ikke private advokatfirmaer eller in-house-jurister. Et AI-verktøy som hjelper deg analysere kontrakter er ikke automatisk høyrisiko bare fordi det handler om juss.

Er AI-verktøyet ditt et AI-system etter forordningen?

Kort svar: ja, men det er leverandøren som bærer hovedansvaret.

Når du som advokat eller in-house-jurist bruker et AI-verktøy er du en "deployer" under forordningen. Leverandøren av verktøyet bærer de tyngre pliktene rundt å tilby systemet.

Som deployer har du:

For minimal- eller limited-risk-systemer: i prinsippet ingen AI Act-spesifikke plikter. Personvernforordningen, taushetsplikt, advokatetikk og øvrig regulering gjelder uansett.
For høyrisiko-systemer (hvis du bruker dem): Art. 26 stiller krav til overvåkning, dokumentasjon, menneskelig tilsyn og hendelsesrapportering. De fleste juridiske AI-verktøy er imidlertid ikke høyrisiko.

I praksis: bruker du et juridisk AI-verktøy til å gjennomgå kontrakter, formulere NDA-er eller researche rettspraksis er klassifiseringen trolig limited risk. Da rekker det at leverandørens transparens-informasjon er på plass. Det er leverandørens oppgave, ikke din.

Hvordan klassifiserer du klienters AI-systemer?

Klienter kommer til å spørre om sine egne systemer. En enkel prosess:

Er det forbudt etter Art. 5? Hvis ja: stopp systemet.
Faller det under Annex III pkt 1–8? Vanlige relevante områder er HR og rekruttering (pkt 4), kredittvurdering (pkt 5) og utdanning (pkt 3).
Samhandler det med mennesker eller genererer syntetisk innhold? Da er det limited risk med Art. 50-krav.
Ellers er det minimal risiko.

Den vanligste fellen er at klienter klassifiserer systemet sitt som høyrisiko for sikkerhets skyld. Det blir dyrt. Høyrisiko betyr omfattende dokumentasjonskrav, risikostyringssystem, kvalitetsstyring, registrering i EU-database og løpende overvåkning. Klassifiser korrekt, ikke konservativt.

Sjekkliste før 2. august 2026

Lag en oversikt over AI-verktøy som brukes i firmaet eller in-house-funksjonen. Hva brukes til hva?
Verifiser at leverandørens transparens-informasjon er på plass. Får du og klientene vite at resultatet er AI-generert?
Gjennomgå klientavtalene. Trengs klausuler om AI-bruk? Klienter vil begynne å spørre.
Bestem rutine for informasjon til klient. Taushetsbelagte dokumenter bør ikke gå gjennom AI uten ZDR og DPA.
Bruk et strukturert klassifiseringsverktøy når klienter spør om sine egne systemer. Dokumenter resultatet.
Lær opp kolleger. En kort gjennomgang rekker langt for å bygge felles forståelse.
Følg med på Kommisjonens delegerte rettsakter. Spesifikke tekniske krav fastsettes der i 2026 og 2027.

Sammendrag

AI Act er ikke slutten på AI i juridisk praksis. Det er et rammeverk for ansvarlig bruk. For de fleste firmaer og in-house-team som bruker etablerte verktøy er bildet håndterbart:

Verktøyet er trolig limited risk eller minimal risk.
Leverandøren bærer hovedansvaret for etterlevelse.
Som deployer har du lettere plikter: informere klienter og dokumentere bruk.
Når klienter spør om sine egne systemer, bruk en strukturert klassifiseringsmetode i stedet for å gjette.

Vil du teste hvordan klassifiseringen ser ut for et spesifikt system? AI Act-verktøyet tar omtrent 10 minutter å fylle ut. Resultatet er en formell rapport som kan deles med klient eller brukes internt.

Vanlige spørsmål

Når trer EU AI Act i kraft?

AI Act trådte i kraft 1. august 2024. Forbudte AI-praksiser begynte å gjelde 2. februar 2025. GPAI-plikter 2. august 2025. Høyrisiko-systemer + transparenskrav 2. august 2026. Høyrisiko-systemer under Annex I-produkter 2. august 2027.

Er advokatfirmaets AI-bruk et "AI-system" etter AI Act?

Som bruker av et AI-verktøy er du en "deployer" under forordningen. Pliktene ligger primært på leverandøren. Som deployer har du Art. 26-plikter dersom du bruker høyrisiko-systemer — som de fleste juridiske AI-verktøy IKKE er.

Hvordan klassifiserer jeg et AI-system etter AI Act?

Fire trinn: (1) Er systemet forbudt etter Art. 5? (2) Faller det under Annex III (høyrisiko)? (3) Faller det under Art. 50 transparenskrav (limited risk)? (4) Ellers er det minimal risk uten ekstra krav. For jurist-AI-verktøy er det vanligste resultatet limited risk.

Hva betyr "limited risk" etter AI Act?

Limited risk-systemer har transparenskrav etter Art. 50: brukere skal informeres om at de samhandler med AI, og AI-generert innhold skal merkes. Ingen andre obligatoriske krav. For juridiske AI-verktøy som genererer analyse er limited risk det vanligste resultatet.

Klassifiser et AI-system med vårt verktøy

3 minutters spørsmålsflyt, formell klassifiseringsrapport på forespørsel.

Åpne AI Act-verktøyet → Tilbake til blogg