EU AI Act for jurister: hva du må vite før 2. august 2026

Q: Er advokatfirmaets AI-bruk et 'AI-system' etter AI Act?

Som bruker av et AI-verktøy (f.eks. ChatGPT, Claude eller LexCodex) er du en 'deployer' under forordningen. Pliktene ligger primært på leverandøren av AI-systemet. Som deployer har du Art. 26-plikter dersom du bruker høyrisiko-systemer, men det er de fleste juridiske AI-verktøy IKKE.

Publisert 3. mai 2026 · 8 minutters lesetid · LexCodex-redaksjonen

EU AI Act (forordning (EU) 2024/1689) trådte i kraft 1. august 2024, men anvendes trinnvis. Den største milepælen for advokatfirmaer og in-house-team er 2. august 2026, da transparenskrav og høyrisiko-pliktene begynner å gjelde.

Selv om Norge ikke er EU-medlem, gjelder AI Act gjennom EØS-avtalen — og norske jurister og deres klienter må forholde seg til samme krav som EU-baserte aktører.

For jurister reiser det to konkrete spørsmål:

Er AI-verktøyene jeg bruker (ChatGPT, Claude, Legora, Juno, LexCodex) "AI-systemer" etter forordningen — og må jeg som bruker følge noen krav?
Hvordan klassifiserer jeg klienters AI-systemer når de spør meg?

Denne artikkelen svarer på begge. Vi brukte også vårt eget AI Act-verktøy på LexCodex selv og deler resultatet som casestudie.

Tidslinje: hva gjelder når?

Dato	Hva begynner å gjelde
1. aug 2024	AI Act trådte i kraft
2. feb 2025	Forbudte AI-praksiser (Art. 5)
2. aug 2025	GPAI-plikter (Art. 51-55)
2. aug 2026	Høyrisiko-systemer + transparenskrav (Art. 50)
2. aug 2027	Høyrisiko-systemer under Annex I-produkter

For de fleste jurister er det 2. august 2026 som er den relevante milepælen — da må alle limited-risk-systemer oppfylle Art. 50 transparenskrav.

Risikoklassene: en kjapp gjennomgang

AI Act deler AI-systemer inn i fire risiko-klasser:

Forbudt (Art. 5): Subliminal manipulasjon, sosial scoring fra offentlig myndighet, sanntids biometrisk identifikasjon i offentlige rom, emosjonsdeteksjon på arbeidsplasser/skoler m.fl. Sanksjon: opptil 35 MEUR eller 7 % av global omsetning.
Høyrisiko (Annex III): AI-systemer innen rekruttering, utdanning, kredittvurdering, kritisk infrastruktur, politiarbeid, rettsvesenet (men kun for domstoler), grensekontroll. Krever omfattende dokumentasjon, risikohåndtering, menneskelig tilsyn, registrering i EU-database. Sanksjon: opptil 15 MEUR eller 3 % av omsetning.
Begrenset risiko (limited risk, Art. 50): AI-systemer som samhandler direkte med fysiske personer eller genererer syntetisk innhold. Krav: informer brukeren om AI-samhandling, merk AI-generert innhold. Ingen andre obligatoriske krav.
Minimal risiko: Alt annet. Ingen AI Act-spesifikke plikter (men personvernforordningen og annen lovgivning gjelder fortsatt).

Viktig nyanse om Annex III pkt 8 (rettsvesenet): Teksten er spesifikk — den gjelder "AI-systems intended to be used by a judicial authority or on their behalf". Det betyr domstoler og myndigheter innen rettsvesenet, ikke private advokatfirmaer eller in-house-jurister. AI-verktøyet ditt som hjelper deg analysere kontrakter er ikke automatisk høyrisiko bare fordi det handler om juss.

For jurister: er AI-verktøyet ditt et AI-system?

Kort svar: ja, men det er leverandøren som bærer hovedansvaret.

Når du som advokat eller in-house-jurist bruker ChatGPT, Claude, Legora, Juno eller LexCodex, er du en "deployer" (bruker) under forordningen. Leverandøren (OpenAI, Anthropic, Legora-selskapet, Norstedts, LexCodex/Nordicbysight) bærer de tunge pliktene rundt å tilby systemet.

Som deployer har du:

For minimal/limited risk-systemer: i prinsippet ingen AI Act-spesifikke plikter. Men personvernforordningen, taushetsplikt, advokatetikk og lignende gjelder selvsagt.
For høyrisiko-systemer (hvis du bruker dem): Art. 26 stiller krav til overvåkning, dokumentasjon, menneskelig tilsyn og rapportering av hendelser. De fleste juridiske AI-verktøy er imidlertid ikke høyrisiko.

I praksis: hvis du bruker et juridisk AI-verktøy som hjelper deg gjennomgå kontrakter, formulere NDA-er, eller researche rettspraksis — det er trolig limited risk. Du trenger bare å påse at leverandørens transparens-informasjon er på plass (som er leverandørens jobb).

For jurister: hvordan klassifiserer du klienters AI-systemer?

Det er her det blir interessant. Klienter kommer til å spørre: "er AI-systemet vårt høyrisiko?" og du må kunne svare.

Fire-trinns prosess:

Er det forbudt? Gå gjennom Art. 5-listen. Hvis ja: stopp systemet.
Faller det under Annex III? Gå gjennom Annex III pkt 1-8. Vanlige relevante områder: HR/rekruttering (pkt 4), kredittvurdering (pkt 5), utdanning (pkt 3).
Er det et system som samhandler med mennesker eller genererer syntetisk innhold? Da er det limited risk med Art. 50-krav.
Ellers: minimal risiko.

Den vanligste fellen vi ser: klienter klassifiserer AI-systemet sitt som høyrisiko "for sikkerhets skyld". Det er dyrt — høyrisiko betyr omfattende dokumentasjonskrav, risikostyringssystem, kvalitetsstyring, registrering i EU-database og løpende overvåkning. Klassifiser korrekt, ikke konservativt.

Casestudie: vi klassifiserte LexCodex selv

Vi syntes det var rimelig å spise vår egen hundemat. Den 3. mai 2026 kjørte vi LexCodex eget AI Act-verktøy på LexCodex som AI-system. Resultatet:

Klassifisering: Limited Risk (Art. 6)
Anvendelige plikter: Art. 50 transparenskrav (informer brukere om AI-samhandling + merk AI-generert innhold). Art. 25 downstream value chain (gi brukere nødvendig informasjon).
Dokumentasjon: Formell klassifiseringsrapport (10 seksjoner etter revisorvennlig struktur).

Hvorfor ikke høyrisiko? LexCodex er et juridisk AI-verktøy rettet mot private advokater og in-house-team — ikke mot domstoler eller rettsmyndigheter. Annex III pkt 8 ("AI-systemer beregnet på rettslige myndigheter") er derfor ikke anvendelig. Ingen av Annex III pkt 1-7 (rekruttering, utdanning, kreditt etc.) er heller relevante.

Hvorfor limited risk og ikke minimal? LexCodex genererer syntetisk tekstinnhold (juridisk analyse) og samhandler direkte med brukere. Art. 50 er derfor anvendelig. Vi oppfyller allerede kravene: disclaimer-banner over hvert verktøyskjema, footer-disclaimer på hver side, all output merket som AI-generert.

GPAI-vilkår: LexCodex bygger på Anthropic Claude (en GPAI). GPAI-pliktene under Art. 51-55 ligger på Anthropic som leverandør, ikke på LexCodex som downstream-bruker. Vår plikt er å følge Art. 25 — som vi gjør gjennom transparens-disclaimere.

Konkret sjekkliste for jurister

Før 2. august 2026, gå gjennom følgende:

Inventar over AI-verktøy du bruker. ChatGPT, Claude, Legora, Juno, LexCodex, Lexnova, JP Infonet, Harvey — hvilke lisenser har firmaet? Hva brukes de til?
Verifiser leverandørens transparens-informasjon. Får du og klientene dine vite at resultatet er AI-generert? Finnes disclaimer i tydelig form?
Gjennomgå klientavtaler. Har du klausuler om AI-bruk? Klientene begynner å spørre.
Oppdater informasjon til klienter. Når du bruker AI for saken deres, informer (taushetsbelagte dokumenter bør ikke gå gjennom AI uten ZDR + DPA).
Klassifiser klienters AI-systemer når de spør. Bruk et AI Act-verktøy (vårt eget eller tilsvarende) for formell klassifisering. Dokumenter resultatet.
Lær opp kolleger. Mange i firmaet vet ikke hva AI Act betyr. 30-minutters gjennomgang rekker langt.
Overvåk Kommisjonens delegerte rettsakter. Spesifikke tekniske krav (merking, audit-logging) vil bli fastsatt i delegerte rettsakter i 2026-2027.

Sammendrag

EU AI Act er ikke slutten på AI i juridisk praksis — det er et rammeverk for ansvarlig AI-bruk. For de fleste advokatfirmaer og in-house-team som bruker etablerte juridiske AI-verktøy er situasjonen relativt enkel:

Verktøyet er trolig limited risk eller minimal risk
Leverandøren bærer hovedansvaret for etterlevelse
Du som deployer har lettere plikter (informer klienter, dokumenter bruk)
Når klienter spør om sine egne AI-systemer: bruk en strukturert klassifiseringsmetode i stedet for å gjette

Hvis du vil teste hvordan klassifiseringen fungerer i praksis — prøv vårt AI Act-verktøy. Det er gratis å starte og tar ~10 minutter å fylle ut. Resultatet er en formell rapport du kan dele med klienter eller bruke internt.

Vanlige spørsmål

Når trer EU AI Act i kraft?

AI Act trådte i kraft 1. august 2024. Forbudte AI-praksiser begynte å gjelde 2. februar 2025. GPAI-plikter 2. august 2025. Høyrisiko-systemer + transparenskrav 2. august 2026. Høyrisiko-systemer under Annex I-produkter 2. august 2027.

Er advokatfirmaets AI-bruk et "AI-system" etter AI Act?

Som bruker av et AI-verktøy er du en "deployer" under forordningen. Pliktene ligger primært på leverandøren. Som deployer har du Art. 26-plikter dersom du bruker høyrisiko-systemer — som de fleste juridiske AI-verktøy IKKE er.

Hvordan klassifiserer jeg et AI-system etter AI Act?

Fire trinn: (1) Er systemet forbudt etter Art. 5? (2) Faller det under Annex III (høyrisiko)? (3) Faller det under Art. 50 transparenskrav (limited risk)? (4) Ellers er det minimal risk uten ekstra krav. For jurist-AI-verktøy er det vanligste resultatet limited risk.

Hva betyr "limited risk" etter AI Act?

Limited risk-systemer har transparenskrav etter Art. 50: brukere skal informeres om at de samhandler med AI, og AI-generert innhold skal merkes. Ingen andre obligatoriske krav. For juridiske AI-verktøy som genererer analyse er limited risk det vanligste resultatet.

Klassifiser et AI-system med vårt verktøy

3 minutters spørsmålsflyt, formell klassifiseringsrapport på forespørsel. Gratis under Pro-trial.

Åpne AI Act-verktøyet → Tilbake til blogg

⚠ Dette er en generell oversikt over EU AI Act, ikke juridisk rådgivning. For spesifikke klassifiseringsspørsmål, konsulter kvalifisert jurist eller bruk et strukturert klassifiseringsverktøy som dokumenterer dine antakelser.