Hvem godkendte det, da AI-agenten handlede - og hvem tager ansvaret?

Klumme: AI-agenter er på vej fra pilotprojekter til drift. Når de kan overføre penge, implementere kode og frigive data, skal virksomheder kunne dokumentere, hvornår et menneske har sagt ja.

Artikel top billede

(Foto: Dan Jensen)

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

I hele Norden stilles ledelsesteamene i banker, produktionsvirksomheder, offentlige myndigheder og softwarevirksomheder det samme spørgsmål.

Hvor hurtigt kan vi sætte AI i arbejde?

Dette rejser spørgsmålet om, hvilke handlinger der bør få lov til at foregå autonomt?

AI-agenter er ikke bare chatbots

AI-agenter bliver i stigende grad en integreret del af en organisations arbejdsgange – ikke blot bedre chat-grænseflader.

De er digitale medarbejdere med evnen til at kalde API'er, udløse arbejdsgange, påvirke produktionssystemer og handle med maskinens hastighed.

Det lover reelle gevinster. Men det fremhæver også, hvor ansvarlighed og styring af AI kan svigte, eller hvor vi ikke kan garantere menneskelig overvågning.

I EU har DORA været gældende for finansielle enheder siden 17. januar 2025.

NIS2 udvidede forpligtelserne til cyberrisikostyring til 18 kritiske sektorer og pålagde eksplicit den øverste ledelse ansvaret for cyberrisici.

Og 2. august 2026 træder AI-loven ind i sin primære implementeringsfase, herunder regler for højrisiko-AI-systemer og starten på en bredere håndhævelse.

For nordiske organisationer er styring ikke længere en fremtidig diskussion – det er et driftskrav nu.

Det aktuelle trusselsbillede bør gøre en ende på enhver resterende selvtilfredshed: World Economic Forum siger, at 94 procent af respondenterne forventer, at AI vil være den mest betydningsfulde drivkraft for forandring inden for cybersikkerhed i det kommende år, mens 87 procent identificerede AI-relaterede sårbarheder som den hurtigst voksende cyberrisiko i løbet af 2025.

WEF fandt også, at 54 procent af store organisationer ser sårbarheder hos tredjeparter og i forsyningskæden som deres største hindring for cybermodstandsdygtighed.

Det sidste punkt er især vigtigt i Europa, hvor organisationer er afhængige af lange digitale værdikæder: cloudplatforme, SaaS-værktøjer, betalingssystemer, outsourcede operationer, offentlig-private integrationer og internationale softwareforsyningskæder.

Når en AI-agent agerer på tværs af disse lag, bliver identitet både katalysator og eksplosionsradius.

Den gamle adgangsmodel er ikke nok

Alligevel forsøger de fleste organisationer stadig at styre disse nye arbejdsgange med en model, der er bygget til en ældre verden: Et menneske logger ind, et system giver adgang, en handling finder sted, og logfilerne forklarer det bagefter.

Det er ikke nok, når software kan igangsætte en betaling, godkende en leverandør, implementere kode i produktionen, få adgang til følsomme data eller udløse en sikkerhedsaktion, der påvirker tilgængeligheden.

I disse øjeblikke er det centrale spørgsmål ikke, om systemet blev godkendt på et eller andet tidspunkt.

Det er, om den handling overhovedet burde have været tilladt at ske autonomt?

Dette kan løses direkte ved at prioritere en autorisationsmodel med menneskelig indgriben, der identificerer specifikke kategorier af handlinger, hvor menneskelig godkendelse er påkrævet.

Højrisiko-handlinger kræver et menneskeligt ja

Jeg mener, at bestyrelser bør vedtage et simpelt princip nu: ikke alle AI-handlinger kræver et menneske, men alle højrisiko-AI-handlinger kræver en dokumenterbar menneskelig beslutning.

Det betyder, at der skal defineres tærskler, før agenter når produktionen: En overførsel over et bestemt beløb; en betaling til en ny modpart; adgang til følsom intellektuel ejendom eller regulerede data; en produktionsimplementering i et kritisk miljø; eller en sikkerhedsforanstaltning, der kan tage tjenester offline. Dette er ikke detaljer i arbejdsgangen – det er grænser for styringen.

Human-in-the-loop bør være en kontrol: politikdrevet, kontekstrig og forbeholdt de punkter, hvor ansvarlighed faktisk betyder noget. Håndteres det korrekt, bremser det ikke automatiseringen.

Det gør det modsatte.

Det giver organisationer mulighed for at automatisere aggressivt, hvor risikoen er lav, samtidig med at verificeret menneskelig godkendelse forbeholdes den mindre gruppe af handlinger, hvor konsekvenserne er væsentlige. Hastigheden bevares. Ansvarligheden styrkes.

Det, der betyder noget nu, er ikke så meget en enkelt produktannoncering som den bredere retning: Markedet bevæger sig mod styringsmodeller, hvor rutinehandlinger kan forblive automatiserede, mens definerede højrisikohandlinger eskaleres til en verificeret menneskelig beslutningstager.

For ledelsesteam er dagsordenen nu overraskende praktisk.

Hvilke handlinger må en AI-agent udføre på egen hånd? Hvilke handlinger kræver menneskelig godkendelse?

Og hvordan vil organisationen bevise, hvem der godkendte hvad, under hvilken politik og med hvilket sikkerhedsniveau?

Dette er de spørgsmål, ledelsesteam skal besvare nu, hvis de ønsker at styre agentbaseret AI ansvarligt.

Den næste fase af AI-implementering vil ikke blive defineret af, hvem der automatiserer mest.

Den vil blive defineret af, hvem der kan automatisere ansvarligt: Med maskinens hastighed, når risikoen er lav, og med klart menneskeligt ansvar, når risikoen er høj.

Tillid er ikke hastighedens fjende. Det er det, der gør hastighed sikker at skalere.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.

Læses lige nu

    Annonceindlæg fra Computerworld

    AI skal frigøre tid og skabe nærvær i samtalen med borgeren

    Flere kommuner går nu i gang med at bruge AI-understøttet dokumentation. Målet er, at sagsbehandlere skal bruge mindre tid på referater og registrering – og mere tid på nærvær i mødet med borgeren.

    Navnenyt fra it-Danmark

    Immeo har pr. 1. maj 2026 ansat Sofie Amalie Buur som Consultant. Hun kommer fra en stilling som Frontend Engineer & UI/UX Designer hos Valyrion. Hun er uddannet Cand.it. Softwaredesign ved ITU. Nyt job
    IFS Danmark A/S har pr. 1. april 2026 ansat Sarah Warm som Account Executive, Energy & Utilities. Hun skal især beskæftige sig med salg af IFS' løsninger til nye kunder inden for energibranchen. Hun kommer fra en stilling som Account Executive hos Synergy Investment Group i Holland. Hun er uddannet BSc Economics and Business Economics, Neuroscience & MSc Business Administration Digital Business. Hun har tidligere beskæftiget sig med Solution Sales & Cybersecurity. Nyt job

    Sarah Warm

    IFS Danmark A/S

    Sharp Consumer Electronics har pr. 1. april 2026 ansat Daniel Eriksson som salgsdirektør for de nordiske lande. Han skal især beskæftige sig med at accelerere virksomhedens vækst i Norden. Han kommer fra en stilling som nordisk salgsdirektør hos Hisense. Han har tidligere beskæftiget sig med detailhandel, kommerciel strategi og markedsudvidelser med bemærkelsesværdige resultater til følge. Nyt job

    Daniel Eriksson

    Sharp Consumer Electronics

    Netip A/S har pr. 1. maj 2026 ansat Michael Schou som Operations Manager ved netIP Aalborg og Aarhus. Han kommer fra en stilling som Senior Director - Head of IT hos BDO. Han har tidligere beskæftiget sig med flere områder indenfor IT-branchen, hvor han bla. også har drevet sin egen IT-virksomhed. Nyt job

    Michael Schou

    Netip A/S