MAL OG SJEKKLISTE

AI-risikovurdering mal

Norske virksomheter som tar i bruk KI må dokumentere hva systemet gjør, hvilken risiko det medfører, og hvilke tiltak som er iverksatt. Denne siden gir en praktisk mal, en rask sjekkliste og oversikt over risikokategoriene etter EUs KI-forordning — med utgangspunkt i norske regler og offentlige kilder.

Kort oppsummert

En AI-risikovurdering dokumenterer systemets formål, dataflyt, risikonivå og tiltak — og er påkrevd ved behandling av personopplysninger etter GDPR.
EUs AI Act deler KI-systemer inn i fire nivåer: forbudt, høy risiko, begrenset risiko og minimal risiko. Norge har ennå ikke gjennomført forordningen i nasjonal rett.
DPIA (vurdering av personvernkonsekvenser) er påkrevd ved høyrisiko-behandling, profilering eller storskala behandling av personopplysninger.
Malen nedenfor kan brukes direkte: fyll ut feltene, klassifiser risiko, list tiltak, og sett en dato for neste revisjon.

En risikovurdering er ikke en teoretisk øvelse. For norske virksomheter som bruker KI til å behandle personopplysninger, ta beslutninger eller styre prosesser, er det et konkret krav under GDPR — og et forventet element i det kommende norske KI-regelverket. God dokumentasjon beskytter både virksomheten og de personene som påvirkes av systemet.

Hva er en AI-risikovurdering?

En AI-risikovurdering er en strukturert gjennomgang av et kunstig intelligens-system for å avdekke og dokumentere potensielle negative konsekvenser for personer, organisasjonen eller samfunnet. Vurderingen skal beskrive:

Hva systemet gjør og hvilken avgjørelse eller prosess det støtter
Hvilke data som behandles, hvor de lagres og hvem som har tilgang
Hvilke personer eller grupper som kan påvirkes, og på hvilken måte
Hvilke risikoer som er identifisert, og hvor sannsynlige og alvorlige de er
Hvilke tiltak som er eller skal iverksettes for å redusere risiko
Hvem som er ansvarlig for oppfølging og neste revisjon

Hvorfor er det påkrevd?

GDPR artikkel 35 krever vurdering av personvernkonsekvenser (DPIA) der behandling av personopplysninger sannsynligvis vil medføre høy risiko for den registrertes rettigheter og friheter. KI-systemer som profilerer, scorer eller automatiserer beslutninger om enkeltpersoner faller som regel inn under dette kravet.

EUs KI-forordning (AI Act) introduserer i tillegg krav til dokumentasjon, menneskelig kontroll og registrering for høyrisiko-systemer. Norge har ennå ikke innlemmet forordningen i EØS-avtalen, men regjeringen har sendt forslag til lov om kunstig intelligens på høring. Nkom og Datatilsynet anbefaler at virksomheter forbereder seg ved å etablere interne vurderingsrutiner allerede nå.

Risikokategorier etter EU AI Act

EUs KI-forordning opererer med en risikobasert tilnærming. Klassifiseringen avgjør hvilke krav som stilles til dokumentasjon, kontroll og åpenhet:

Forbudt risiko

Systemer som utgjør en uakseptabel trussel mot grunnleggende rettigheter er forbudt. Dette omfatter blant annet sosial scoring av enkeltpersoner av offentlige myndigheter, sanntids fjernbiometri i offentlige rom til politiformål, og systemer som utnytter sårbarheter hos spesifikke grupper.

Høy risiko

Systemer som kan påvirke personers sikkerhet, rettigheter eller viktige livsvalg. Eksempler er KI i rekruttering, utdanning, helse, kritisk infrastruktur, rettshåndhevelse og tilgang til offentlige tjenester. Høyrisiko-systemer krever samsvarsvurdering, risikostyringssystem, logging, menneskelig kontroll og registrering.

Begrenset risiko

Systemer der hovedrisikoen er manglende åpenhet, for eksempel chatboter, KI-generert innhold og systemer som etterligner mennesker. Kravet er primært å informere brukere om at de samhandler med KI og å merke KI-generert innhold.

Minimal risiko

Systemer med lav eller ingen påvirkning på enkeltpersoner, for eksempel KI i spill, spamfiltre eller enkle anbefalingssystemer. Det stilles ingen spesifikke reguleringskrav, men frivillige koder og interne retningslinjer anbefales.

Mal for risikovurdering

Bruk tabellen nedenfor som utgangspunkt for en konkret vurdering. Kopier den inn i et dokument eller et verktøy, og tilpass etter virksomhetens størrelse og kompleksitet.

Felt	Beskrivelse / eksempel
System / navn	Navn på KI-systemet eller modellen som vurderes.
Leverandør	Firmanavn, kontaktperson og avtalestatus.
Formål	Hva systemet skal brukes til og hvilken beslutning det støtter.
Databehandling	Hvilke data som sendes inn, prosesseres og lagres.
Personopplysninger	Ja / nei — og i så fall hvilke kategorier.
Risikonivå	Forbudt / høy risiko / begrenset risiko / minimal risiko.
Tiltak	Konkrete grep for å redusere identifisert risiko.
Ansvarlig	Navn, rolle og kontaktinformasjon for eier av vurderingen.
Dato	Når risikovurderingen ble gjennomført.
Neste revisjon	Dato for neste gjennomgang eller hendelse som utløser revisjon.

GDPR og DPIA

En vurdering av personvernkonsekvenser (DPIA) er påkrevd når behandlingen «sannsynligvis vil medføre høy risiko» for den registrertes rettigheter og friheter. Datatilsynet lister særlig følgende tilfeller:

Systematisk og omfattende vurdering av personlige forhold, inkludert profilering
Omfattende behandling av særlige kategorier av personopplysninger (helse, religion, politikk, osv.)
Systematisk overvåking av personer på offentlige steder i storskala

Selv om et KI-system ikke utløser plikt til DPIA, kan det være hensiktsmessig å gjennomføre en frivillig vurdering — særlig der modellens output er vanskelig å forklare eller der feil kan få konsekvenser for enkeltpersoner.

Datatilsynet anbefaler at virksomheter bruker DPIA som et aktivt styringsverktøy, ikke bare som en dokumentasjonsøvelse i etterkant. Involver personvernombudet tidlig i prosessen.

Sjekkliste for rask gjennomgang

Bruk listen nedenfor for en rask sjekk før et KI-system tas i bruk, eller som årlig revisjon av eksisterende systemer:

Systemet er navngitt og har en tydelig eier internt i virksomheten.
Leverandøren er kjent, og det finnes en gyldig avtale (inkludert eventuell databehandleravtale).
Formålet med systemet er skriftlig dokumentert og formidlet til brukerne.
Det er vurdert om personopplysninger behandles, og i så fall hvilke kategorier.
Behandlingsgrunnlag etter GDPR er identifisert og dokumentert.
Det er vurdert om bruken krever DPIA.
Risikonivå etter AI Act er klassifisert (forbudt / høy / begrenset / minimal).
Eventuelle underleverandører og overføringer utenfor EØS er kartlagt.
Konkrete tiltak for å redusere risiko er beskrevet og satt i verk.
Brukerne er informert når de samhandler med et KI-system (der det er relevant).
Det finnes en plan for feilhåndtering, avvik og eskalering.
Dato for neste revisjon er satt, og vurderingen er godkjent av ledelse.

Ansvarsfraskrivelse

Denne siden er en redaksjonell oversikt basert på offisielle kilder, ikke juridisk rådgivning. Regelverk og myndighetspraksis endrer seg. Virksomheter bør alltid konsultere egne juridiske rådgivere, personvernombud eller relevant tilsynsmyndighet før bindende avgjørelser om KI-bruk.

Ofte stilte spørsmål.

Når er en AI-risikovurdering påkrevd?

En risikovurdering er påkrevd når et KI-system behandler personopplysninger (GDPR) eller kan påvirke personers rettigheter, sikkerhet eller viktige livsvalg. EUs AI Act krever ytterligere dokumentasjon for høyrisiko-systemer. Selv for lavere risiko anbefaler Datatilsynet og Nkom at virksomheter gjennomfører en enkel vurdering.

Hva er forskjellen på høy risiko og begrenset risiko etter AI Act?

Høyrisiko-systemer påvirker vesentlige områder som rekruttering, utdanning, helse, kritisk infrastruktur og rettshåndhevelse. De krever streng dokumentasjon, menneskelig kontroll og registrering. Begrenset risiko gjelder blant annet chatboter og systemer som genererer synlig merket innhold; her kreves hovedsakelig åpenhet og informasjon til brukere.

Er denne malen juridisk bindende?

Nei. Malen er et praktisk redaksjonelt verktøy basert på offisielle kilder. Den erstatter ikke juridisk rådgivning, personvernombudets vurderinger eller avklaringer med Datatilsynet, Nkom eller annen relevant myndighet.

Hvilken myndighet følger opp AI-regelverket i Norge?

Nkom er utpekt som samordnende tilsynsmyndighet for kunstig intelligens i Norge. Datatilsynet har ansvar for personvernregelverket (GDPR). Digdir gir veiledning for offentlig sektor. EUs AI Act er ennå ikke innlemmet i EØS-avtalen; regjeringen har sendt forslag til norsk lov på høring.