Norge er i ferd med å innføre EUs KI-forordning — og næringslivet advares nå om ikke å gjenta de kostbare feilene som preget innføringen av personvernforordningen GDPR for snart ti år siden. Det er budskapet i en kommentar publisert i Dagens Næringsliv, der tonen er klar: forbered deg nå, eller betal prisen senere.
Hva er KI-loven, og hva krever den?
EUs AI Act er det første omfattende lovverket i verden som regulerer kunstig intelligens etter risikonivå. Systemer deles inn i kategoriene uakseptabel risiko, høy risiko, begrenset risiko og minimal risiko — med strengest krav til de høyrisiko-systemene, som inkluderer alt fra medisinsk diagnostikk til rekrutteringsverktøy og kritisk infrastruktur.
For norske virksomheter betyr dette konkret at en rekke AI-løsninger de allerede bruker — eller planlegger å ta i bruk — vil måtte dokumenteres, testes og i noen tilfeller godkjennes før de kan tas i drift.
GDPR-tabben ingen vil gjenta
Da GDPR trådte i kraft i 2018, var mange virksomheter uforberedte. Ifølge forskning på GDPR-implementeringen endte compliance-arbeidet med svært høye kostnader: globalt anslo Ernst & Young at verdens 500 største selskaper brukte nær 8 milliarder dollar på å etterleve regelverket i innføringsåret alene.
For mellomstore bedrifter har de løpende kostnadene ligget et sted mellom én og ti millioner kroner årlig, avhengig av virksomhetens art og datamengde. Siden 2018 har europeiske tilsynsmyndigheter ilagt bøter på over 7,1 milliarder euro fordelt på mer enn 1.560 vedtak.
Men like alvorlig som bøtene var forvirringen: vage retningslinjer, udefinerte begreper og for svakt ressurserte tilsynsmyndigheter skapte usikkerhet i årevis etter innføringen.
Tilsynsmyndighetene — en gjenganger i kritikken
Et av de mest gjentatte problemene fra GDPR-erfaringene er at de nasjonale tilsynsmyndighetene rett og slett ikke hadde ressurser til å håndheve regelverket effektivt. EU-byrået for grunnleggende rettigheter (FRA) pekte så sent som i juni 2024 på at manglende finansiering og for få ansatte hindret datatilsynene fra å fylle mandatene sine.
For KI-lovens del vil de samme myndighetene trolig få ansvar for et enda mer teknologisk krevende regelverk. Det er lite som tyder på at ressurssituasjonen er vesentlig forbedret — og det bekymrer ekspertene.
7,1 mrd €Totale GDPR-bøter siden 20188 mrd $Hva verdens 500 største selskaper brukte på GDPR-compliance i 2018
Hva bør norske aktører gjøre nå?
Advarselen fra Dagens Næringsliv er ikke ny, men den er betimelig. Implementeringen av AI Act er allerede i gang i EU, og Norge vil som EØS-medlem måtte innføre regelverket — tidspunktet er foreløpig uavklart, men selskaper som venter til loven er formelt på plass risikerer å stå med ryggen mot veggen.
De viktigste tiltakene som fremheves i ekspertlitteraturen om GDPR-erfaringene er relevante også her: kartlegg hvilke AI-systemer virksomheten bruker, vurder risikonivå, etabler dokumentasjonsrutiner og sørg for at ledelsen er involvert — ikke bare IT-avdelingen.
For norske tech-selskaper og startups som utvikler AI-produkter rettet mot det europeiske markedet, er det i tillegg avgjørende å forstå at kravene gjelder systemet, ikke bare brukeren. Det betyr at ansvar for compliance i stor grad plasseres hos utviklerne.
En mulighet, ikke bare en byrde
Det er verdt å merke seg at kommentatorer og eksperter ikke bare ser KI-loven som en kostnad. En klar og troverdig regulering kan gi norske aktører et fortrinn i et internasjonalt marked der tilliten til AI-systemer er under press. Selskaper som allerede har orden i sysakene vil stå sterkere når kundene begynner å stille spørsmål om etterlevelse.
Likevel er budskapet klart fra dem som fulgte GDPR-prosessen tett: det er mye dyrere å rydde opp enn å forberede seg. Norge har sett det én gang — det er ingen grunn til å se det igjen.
Kilder: Dagens Næringsliv, EU Agency for Fundamental Rights (FRA), Ernst & Young GDPR-rapport 2018, forskning på GDPR-implementeringsutfordringer.