APREX · EST. 2026Direkte svar
En norsk virksomhet som bruker KI bør dokumentere hva systemet gjør, hvilke data som behandles, hvem som har ansvar, om personopplysninger inngår, og om bruken kan falle inn under høyere risikokategorier i EUs KI-forordning. Bruk eksisterende GDPR-arbeid som grunnmur, og følg status hos regjeringen, Nkom og Datatilsynet for norske krav.
Praktisk sjekkliste
1. Lag en KI-oversikt
- List opp KI-systemer, leverandører, interne eiere og formål.
- Beskriv hvilke data som sendes inn, hvor data lagres, og om personopplysninger inngår.
- Skill mellom eksperimenter, interne verktøy og systemer som brukes i produksjon.
2. Avklar personvern før bruk
- Vurder behandlingsgrunnlag etter GDPR når KI-løsningen behandler personopplysninger.
- Sjekk databehandleravtale, underleverandører og overføringer utenfor EØS.
- Vurder om bruken krever DPIA, særlig ved profilering, storskala behandling eller høy risiko for de registrerte.
3. Kartlegg AI Act-risiko
- Vurder om bruken kan være forbudt, høy risiko, begrenset risiko eller minimal risiko etter EUs risikobaserte modell.
- Prioriter systemer som påvirker rekruttering, utdanning, helse, kritisk infrastruktur, rettshåndhevelse eller tilgang til viktige tjenester.
- Følg norsk status separat: AI Act gjelder ikke direkte som norsk lov før regelverket er gjennomført i Norge.
4. Still krav til leverandøren
- Be om dokumentasjon på modell, treningsdata på overordnet nivå, sikkerhet, logging, datalagring og sletting.
- Avklar om leverandøren bruker kundedata til trening eller forbedring av modellen.
- Sørg for at kontrakten dekker support, hendelser, endringer i modellen og mulighet til revisjon der risikoen tilsier det.
5. Dokumenter styring og kontroll
- Definer intern eier, godkjenningsløp og krav til menneskelig kontroll for viktige beslutninger.
- Loggfør vesentlige vurderinger, tester, avvik og endringer i bruken.
- Lag en enkel policy for hva ansatte kan og ikke kan legge inn i KI-verktøy.
6. Merk og informer der det trengs
- Informer brukere når de samhandler med en chatbot eller et KI-system der dette er relevant.
- Merk KI-generert eller vesentlig KI-endret innhold når risiko for forveksling tilsier det.
- Sørg for at intern og ekstern informasjon er forståelig, konkret og oppdatert.
Offisielle kilder
Kildene under er valgt fordi de er offisielle eller myndighetsnære primærkilder for AI Act, norsk gjennomføring, personvern og offentlig digitalisering.
- EU-kommisjonen: Regulatory framework on AI
- EUR-Lex: Regulation (EU) 2024/1689
- Regjeringen: Lov om kunstig intelligens i Norge sendes på høring
- Nkom: KI-forordningen og norsk rett
- Datatilsynet: Sandkasse for kunstig intelligens
- Digdir: Kunstig intelligens
FAQ
Gjelder EUs AI Act som norsk lov nå?
Nei. KI-forordningen er EØS-relevant, men er foreløpig ikke innlemmet i EØS-avtalen. Regjeringen har sendt forslag til norsk lov om kunstig intelligens på høring, og virksomheter bør følge status hos regjeringen og Nkom.
Hva bør en norsk virksomhet gjøre først?
Start med å lage en oversikt over KI-systemene dere bruker, hvilke data som behandles, hvem leverandøren er, og om bruken kan påvirke personer, rettigheter, sikkerhet eller viktige beslutninger.
Er denne sjekklisten juridisk rådgivning?
Nei. Sjekklisten er en praktisk redaksjonell oversikt basert på offisielle kilder. For bindende vurderinger bør virksomheten bruke juridisk rådgiver, personvernombud eller relevant tilsynsmyndighet.
Hvem er relevante norske myndigheter?
Nkom er utpekt som samordnende tilsynsmyndighet for kunstig intelligens i Norge. Datatilsynet har ansvar for personvernregelverket. Digdir gir veiledning for digitalisering i offentlig sektor.