I foråret sad en borger i Lyngby-Taarbæk Kommune over for sin sagsbehandler og spurgte, hvorfor hun var blevet placeret i kategorien “høj risiko” i sygedagpengesystemet. Svaret var uklart. Sagsbehandleren vidste det heller ikke. For ingen – hverken medarbejder, borger eller kommune – kunne forklare, hvordan algoritmen ASTA var nået frem til sin vurdering. Systemet trak på historiske data, rangerede borgere i risikokategorier og påvirkede i praksis prioriteringer i forvaltningen, uden at nogen kunne efterprøve logikken eller dokumentere, om modellen reelt forbedrede sagsbehandlingen.
ASTA blev hurtigt et eksempel på den form for automatisering, som EU i årevis har forsøgt at regulere: beslutningsstøtte, der i virkeligheden påvirker afgørelser; algoritmer, der fastholder mennesker i kategorier; og et system, hvor myndighederne selv mister overblikket over teknologiens betydning for borgernes rettigheder. En case, der viser, hvorfor mange europæiske regler overhovedet findes: fordi retssikkerhed ikke kan outsources til en model.
Men mens algoritmer i det offentlige skaber krav om stærkere regulering, ser det helt anderledes ud i den anden ende af det digitale økosystem. Her sidder en lille dansk HR-startup, der forsøger at udvikle et værktøj, som skal hjælpe små virksomheder med at screene jobansøgninger mere fair og dokumenterbart. De ønsker at undgå bias, ikke at reproducere den. Alligevel møder de en mur af regelkompleksitet: GDPR-forpligtelser, krav om dokumentation, dataminimering, auditspor, transparens, rettigheder for ansøgere – og nu også AI Act’s krav til højrisko-systemer på HR-området.
For startup’en er reguleringen ikke et værn, men en væg: de frygter at lave fejl, frygter at blive ramt af krav de ikke kan overskue, og de ender med at overveje at flytte udviklingen ud af EU. Ikke fordi de er imod rettigheder – men fordi regelsættet er så fragmenteret, at ingen længere kan finde ud af det.
To danske cases – én fra kommunal forvaltning, én fra et garagekontor hos et ungt startup – udstiller Europas grundlæggende dilemma: Hvordan beskytter vi mennesker mod algoritmer, der kan skabe ulighed, når de bruges i det offentlige? Og hvordan undgår vi samtidig, at innovationen kvæles i et regelsæt, som selv eksperter har svært ved at navigere i?
Præcis dette spændingsfelt er kernen i EU’s kommende Omnibus Package: et forsøg på at “forenkle” den digitale lovgivning, reducere overlap og skabe bedre vilkår for innovation. Spørgsmålet er bare, om forenkling bliver til forfladigelse – og om Europa, i forsøget på at blive mere konkurrencedygtigt, er på vej til at skrue ned for de regler, der skulle beskytte borgerne fra næste generation af ASTA’er.
Hvorfor Omnibus Package?
Når Kommissionen taler om Omnibus Package, fremstilles det som en nødvendig “oprydning” i EU’s digitale regelsæt: færre overlap, mere harmonisering og mindre byrde for især SMV’er. Formålet er at skabe et mere strømlinet marked, hvor virksomheder ikke skal navigere i parallelle krav fra GDPR, DSA, DMA, Data Act og AI Act — et problem, Kommissionen selv har erkendt i flere policy-noter, hvor fragmentering fremhæves som en barriere for innovation.
Men forslaget udspringer også af et politisk øjeblik, hvor fortællingen om “too much red tape” fylder mere og mere i Bruxelles. Mario Draghi skriver i sin rapport til Kommissionen, at Europa “hæmmes af langsomme processer, fragmenterede regler og et investeringsklima, der ikke er konkurrencedygtigt”, og anbefaler en gennemgribende reduktion af regulatoriske byrder for at styrke europæisk produktivitet. Draghi-analysen bruges nu aktivt som argument for, at EU skal lette kravene, hvis det vil konkurrere med USA og Kina.
Samtidig har Eurostack — visionen om en fælles europæisk cloud- og data-infrastruktur — skabt momentum for en mere sammenhængende reguleringsramme. Projektet er drevet af ønsket om teknologisk uafhængighed fra amerikanske cloud-giganter, og politikerne argumenterer for, at Europa kun kan stå på egne ben, hvis reglerne bliver mere ensrettede og mindre komplekse.
Men bag denne politiske bevægelse ligger også en reel teknisk udfordring: EU’s digitale lovgivning er kompleks og overlapper ofte. Et AI-system kan i dag være omfattet af både GDPR’s datakrav, AI Act’s højrisko-regime og DSA’s gennemsigtighedsregler — uden klar vejledning om, hvordan konflikter skal fortolkes. Kommuner og virksomheder fortæller tilsvarende, at dokumentations- og auditkrav er spredt ud over flere lovkomplekser, som ikke altid er afstemte.
Derfor er Omnibus Package ikke kun et politisk projekt, men et forsøg på at løse et reelt administrativt problem. Spørgsmålet er bare, om “oprydning” ender som oprydning — eller som afmontering.
De konkrete forslag – og hvor grænsen går mellem forenkling og lempelse
På papiret handler Omnibus Package om teknisk harmonisering: ryd op i overlap, fjern dobbeltkrav, skab klarere procedurer. Men som flere EU-jurister og forskere — herunder Andrea Renda (CEPS) — har bemærket, afhænger alt af hvordan forenklingen skrives ind i lovteksten. For dér ligger forskellen mellem oprydning og reel deregulering.
Kommissionens overvejelser samler sig om tre spor:
1) Ensretning af dokumentationskrav
I dag skal et højrisko-AI-system leve op til flere sæt krav: GDPR’s DPIA’er, AI Act’s tekniske dossierer og DSA’s transparensregler. Kommissionen vil samle disse processer. Det kan lette byrderne — især for SMV’er — men Paul Nemitz har advaret om, at hvis samling betyder reduktion, risikerer EU at svække de kontrolmekanismer, som netop blev etableret for at forhindre uigennemsigtige systemer som ASTA.
2) En fælles EU-procedure for markedsadgang
I dag varierer godkendelsesprocesser alt efter, om et system falder under AI Act, DSA, DMA eller Data Act. En samlet, strømlinet indgang kan mindske kompleksitet og accelerere time-to-market. Men civilsamfundsorganisationer som EDRi påpeger, at en for generel “one-stop-shop” kan udvande AI Act’s risikobaserede tilsyn, hvis højrisko-systemer glider lettere igennem uden dybdegående vurdering.
3) Proportionalitetsprincip for SMV’er
Det mest politisk omstridte element: færre auditkrav, kortere dokumentation og lettere adgang til sandboxes. Draghi-rapporten bruges aktivt som argument for at lette byrden for små virksomheder. Men eksperter fra bl.a. BEUC og flere EU-juridiske miljøer advarer om, at højrisiko-AI er højrisiko, uanset virksomhedens størrelse. Et HR-screeningsværktøj kan diskriminere, selv når det udvikles af en lille dansk startup.
Der er et reelt behov for at rydde op i overlappende regulering — det bekræftes både af forskere og virksomheder. Men flere kilder i Bruxelles peger nu på risikoen for, at “forenkling” bliver et politisk argument for at svække krav til tilsyn, dokumentation og gennemsigtighed.
Og det er netop her, grænsen går: mellem legitim harmonisering og den form for afmontering, som gør Europa sårbart over for nye ASTA-lignende fejl — blot i større skala.
Magtspillet: Hvem presser for lempelser – og hvem kæmper imod?
Bag fortællingen om Omnibus Package som en neutral “forenkling” ligger et tydeligt magtspil. På den ene side står aktører, der ønsker færre krav for at accelerere innovation; på den anden side dem, der advarer om, at forenkling risikerer at blive en genvej til deregulering.
Big Tech og deres europæiske brancheorganisationer presser aktivt på for lempelser. Argumentet er velkendt: Europa er “overreguleret” og derfor mindre attraktivt. Store amerikanske cloud-udbydere fremhæver ofte, at parallelle krav fra GDPR, DSA, DMA og AI Act gør det unødigt dyrt at operere i EU. En lignende linje findes hos BusinessEurope, der gentagne gange har argumenteret for, at reguleringen hæmmer europæisk konkurrenceevne — en analyse, der ligger tæt op ad Mario Draghis rapport, som opfordrer EU til at mindske regulatoriske byrder for at løfte produktivitet og innovation.
På den anden side står civilsamfundet og rettighedsorganisationer som EDRi og BEUC, der advarer om, at “forenkling” i praksis kan betyde svækkede krav til audit, dokumentation og gennemsigtighed — og dermed øget magt til Big Tech. Paul Nemitz, en af GDPR’s arkitekter, har understreget netop dette: at Europa ikke må bevæge sig mod en model, hvor teknologi overlades til virksomheders egenkontrol, fordi det svækker demokratisk tilsyn.
Akademiske eksperter — fra databeskyttelsesforskere til digitale governance-professorer — peger samtidig på risikoen for, at højrisko-AI mister sine sikkerhedsnet, hvis dokumentationskrav udvandes. Flere nationale datatilsyn deler denne bekymring og har advaret om, at “man ikke kan føre tilsyn med det, man ikke kan se”.
Midt i dette står europæiske SMV’er og startups. De efterspørger ikke færre regler, men klarere regler: mindre overlap, mere sammenhæng og en reguleringsstruktur, der ikke kræver juridiske teams for at navigere i. De er fanget mellem to blokke — Big Tech, der ønsker færre forpligtelser, og civilsamfundet, der ønsker stærkere kontrollag.
I sidste ende handler magtspillet om Europas digitale identitet:
Skal EU være et marked, hvor innovation vægtes højere end kontrol — eller en retsorden, hvor teknologisk udvikling sker på demokratiets præmisser?
Omnibus Package er derfor ikke bare en teknisk oprydning, men et ideologisk valg, der vil forme Europas magtbalancer i årene frem.
Hvad er risikoen? Når oprydning bliver til afmontering
“Forenkling” lyder uskyldigt, men flere eksperter advarer om, at Omnibus Package kan blive en skjult deregulering. Paul Nemitz har gentagne gange understreget, at stærke dokumentations- og kontrolkrav er “forudsætningen for demokratisk legitimitet i AI-anvendelse”, og civilsamfundsorganisationer som EDRi advarer om, at en reduktion af audit- og gennemsigtighedskrav primært vil gavne de største aktører — ikke borgerne.
Risikoen er, at højrisko-AI bliver lettere at bringe på markedet, hvis kravene til DPIA’er, tekniske dossierer og særskilte auditspor samles eller svækkes. Erfaringerne fra ASTA-algoritmen viser, hvad der sker, når dokumentation er fragmenteret: ingen kunne gennemskue modellens logik, selvom den påvirkede borgeres rettigheder.
Også tilsynene risikerer at blive svækket. Flere nationale datatilsyn — blandt andet i forbindelse med GDPR-håndhævelsen — har advaret om, at “effektivisering” ofte betyder færre ressourcer og mindre adgang til systemer. Hvis Omnibus reducerer dokumentationspligten i tilsynets forsyningslinje, bliver kontrollen i praksis umulig.
Samtidig er HR-området et af de steder, hvor presset for lempelser er stærkest, selvom forskningen entydigt dokumenterer, at rekrutteringsalgoritmer ofte reproducerer bias. Hvis proportionalitetsprincippet bruges til at lempe krav for små virksomheder, risikerer man at svække beskyttelsen netop dér, hvor konsekvenserne er mest vidtrækkende.
Flere EU-jurister advarer desuden om en voksende risiko for “regulatory shopping”, hvor virksomheder vælger de mest lempelige medlemsstater, hvis reglerne udvandes og bliver mere fleksible — en udvikling, der allerede ses i GDPR-sammenhæng.
Endelig peger politiske analytikere på, at EU risikerer at glide mod en mere amerikansk markedsmodel, hvor innovation prioriteres over rettigheder, hvis færre systemer kategoriseres som højrisko, og der gives større frihed til at “eksperimentere”. Det kan styrke investeringer på kort sigt — men undergrave Europas rolle som global standardsetter for ansvarlig teknologi.
Hvor er eksperterne uenige?
Når man taler med eksperter om Omnibus Package, træder en klar konfliktlinje frem — og den går midt igennem det europæiske teknologipolitiske landskab. På den ene side står dem, der mener, at EU risikerer at kvæle sin egen innovationskraft gennem overregulering.
Mario Draghi har i sin rapport til Kommissionen advaret om, at EU’s nuværende regulering “risikerer at gøre Europa mindre konkurrencedygtigt, fordi omkostningerne ved at innovere er højere end andre steder.” Andrea Renda fra CEPS har formuleret det endnu skarpere ved at sige, at Europa “må finde en måde at regulere smartere — ikke nødvendigvis mere — hvis vi vil give vores virksomheder en reel chance.”For denne gruppe er problemet ikke rettigheder, men hastighed: SMV’er mister tid og kapital på at forstå et regelværk, der vokser hurtigere end deres produkter.
På den anden side står dem, der advarer om, at forenkling risikerer at blive en skjult deregulering, hvor borgernes rettigheder bliver det første offer. Paul Nemitz, en af GDPR’s hovedarkitekter, har gentagne gange understreget, at “vi kan ikke overlade AI til selvregulering eller frivillige etiske principper”, og at stærk regulering er nødvendig, fordi teknologiske beslutninger ellers “vil blive truffet af private aktører uden demokratisk legitimitet.” Civilsamfundsorganisationer som EDRi og BEUC har formuleret samme bekymring: at en lempelse af reglerne primært vil gavne de store platforme, som allerede har magten, mens gennemsigtighed, tilsyn og klagemuligheder forsværes for almindelige borgere.
De to grupper har samme udgangspunkt — at Europa skal være stærkere. Men deres diagnose er radikalt forskellig. For den ene er reguleringen problemet; for den anden er den selve garantien for et demokratisk digitalt rum.
Og det er netop i dette konfliktfelt, AI Portalen skal stå: kritisk, undersøgende og uden at overtage hverken markedets fortælling om “innovationens byrder” eller politiske forsøg på at udglatte konsekvenserne af deregulering.
Geopolitisk dimension: Europa mellem USA og Kina
Debatten om Omnibus Package foregår ikke i et vakuum. Den er del af et større geopolitisk opgør om, hvilken rolle Europa vil spille i en teknologisk verdensorden domineret af USA og Kina. Mario Draghi skrev i sin rapport til EU-Kommissionen, at Europa “må reducere regulatoriske barrierer, hvis vi skal bevare vores globale konkurrenceevne”, og netop det udsagn bruges nu som løftestang for at argumentere for løsere, mere fleksible regler. Samtidig forsøger EU med Eurostack at skabe en fælles europæisk cloud-infrastruktur, der kan mindske den strategiske afhængighed af amerikanske giganter som Amazon, Microsoft og Google — en afhængighed, der i dag giver USA betydelig teknologisk magt over europæisk økonomi og infrastruktur.
Men der er også en risiko for, at en forenkling af reguleringen skubber EU i retning af en mere amerikansk tilgang til teknologi, hvor markedets behov vejer tungere end borgernes rettigheder, og hvor innovation prioriteres over ansvarlighed. På den anden side står Kina som et eksempel på det modsatte ekstrem: en hyper-centraliseret model, hvor staten bruger teknologi til overvågning og social styring — en tilgang, EU gentagne gange har understreget, at man ikke vil efterligne.
Europa befinder sig derfor i et identitetsproblem: Skal EU fortsat være verdens førende rettigheds- og demokratimodel — eller glide mod at blive et mere åbent, mere risikovilligt tech-marked, hvor innovation kommer før kontrol?
Et Europa ved en skillevej
Omnibus Package er i virkeligheden langt mere end en teknisk reguleringsoprydning. Det er et ideologisk opgør om, hvilken digital fremtid Europa vil vælge — og hvilke værdier der skal stå stærkest i de næste årtier. På den ene side står ønsket om hurtigere innovation, global konkurrencekraft og et mere fleksibelt marked, som Draghi-rapporten og erhvervsaktører fremhæver. På den anden side står den europæiske tradition for at sætte borgerrettigheder, tilsyn og demokratisk kontrol over kommercielle interesser — et princip, der er blevet udfordret af både geopolitisk pres og teknologisk kompleksitet.
Europa står altså ved en skillevej: Skal EU være verdens mest ansvarlige og rettighedsbaserede digitale model — eller verdens mest åbne og risikovillige tech-marked?
Det er spændingsfeltet mellem innovation og rettigheder, marked og kontrol, som Omnibus Package nu skal navigere i. Og det er her, løsningerne skal findes: i et Europa der både kan forenkle og beskytte, udvikle og regulere, modernisere og bevare sin demokratiske kerne.
Follow Me