HR KI-dokumentasjonspakke: hva bør ligge i mappen?
Når HR-avdelingen bruker KI-systemer – for eksempel i rekruttering, prestasjonsvurdering eller kompetansekartlegging – krever KI-forordningen at bruken er dokumentert. Men hva skal dokumentasjonen faktisk inneholde, og hvordan bør den organiseres? Denne artikkelen gir deg en praktisk oversikt over dokumentene som bør ligge i mappen for hvert HR-system som bruker KI.
Merk: Denne artikkelen er veiledende. Omfanget av dokumentasjonen avhenger av systemets risikoklasse og virksomhetens størrelse.
Hvorfor en dokumentasjonspakke?
Dokumentasjonspakken tjener flere formål:
- Tilsyn: Du kan raskt svare på hva virksomheten bruker, hvordan, og hvilke vurderinger som er gjort.
- Revisjon: En revisor kan verifisere at prosessen er fulgt og at vurderingene er sporbare.
- Intern overlevering: Når en systemeier bytter rolle eller slutter, overtar neste person en komplett mappe – ikke fragmenter spredt i e-post og regneark.
- Hendelseshåndtering: Ved avvik har du grunnlaget for å vurdere hva som gikk galt og hva som var planlagt.
Oversikt: dokumenter per system
For hvert KI-system i HR bør dokumentasjonspakken inneholde følgende:
| Dokument | Påkrevd for | Kort beskrivelse |
|---|---|---|
| Systemfil | Alle KI-systemer | Grunnleggende informasjon om systemet |
| Klassifiseringsnotat | Alle KI-systemer | Begrunnelse for risikoklassifisering |
| Konsekvensvurdering (FRIA) | Høyrisiko | Vurdering av konsekvenser for grunnleggende rettigheter |
| DPIA | Systemer med personopplysninger | Personvernkonsekvensvurdering etter GDPR |
| Leverandørdokumentasjon | Alle KI-systemer | Teknisk dokumentasjon fra leverandøren |
| Tilsynsrutine | Høyrisiko | Beskrivelse av menneskelig tilsyn |
| Drøftingsreferat | Systemer som berører ansatte | Referat fra drøfting med tillitsvalgte |
| Informasjonstekst | Systemer som berører personer | Tekst som oppfyller informasjonsplikten |
| Opplæringsdokumentasjon | Alle KI-systemer | Oversikt over hvem som har fått opplæring |
| Hendelseslogg | Alle KI-systemer (anbefalt) | Logg over avvik, feil og klager |
| Endringslogg | Alle KI-systemer | Oversikt over endringer i systemet og dokumentasjonen |
Hvert dokument forklart
1. Systemfil
Systemfilen er hoveddokumentet. Den gir oversikt over hva systemet er, hvem som eier det, og hvordan det brukes.
Minimumsinnhold:
- Systemnavn og leverandør.
- Formål og bruksområde.
- Hvilke data systemet behandler.
- Hvem som bruker systemet (roller).
- Hvem som eier systemet (navngitt person).
- Stedfortreder for eier.
- Klassifisering (risikoklasse).
- Dato for opprettelse og siste gjennomgang.
2. Klassifiseringsnotat
Et kort notat som forklarer hvorfor systemet er klassifisert i den aktuelle risikoklassen.
Minimumsinnhold:
- Systemnavn.
- Vurdert risikoklasse (høy, begrenset, minimal).
- Begrunnelse med referanse til forordningens vedlegg III eller andre relevante bestemmelser.
- Dato og hvem som har gjennomført vurderingen.
- Godkjenning.
3. Konsekvensvurdering (FRIA)
For høyrisiko-systemer: en vurdering av konsekvensene for grunnleggende rettigheter (Fundamental Rights Impact Assessment).
Minimumsinnhold:
- Hvilke rettigheter som kan berøres (diskriminering, personvern, rett til arbeid).
- Identifiserte risikoer.
- Tiltak for å redusere risiko.
- Restrisikovurdering etter tiltak.
- Dato og hvem som har gjennomført vurderingen.
4. DPIA (personvernkonsekvensvurdering)
Dersom systemet behandler personopplysninger på en måte som sannsynligvis medfører høy risiko for den registrertes rettigheter, kreves DPIA etter GDPR artikkel 35.
Minimumsinnhold:
- Beskrivelse av behandlingen.
- Vurdering av nødvendighet og proporsjonalitet.
- Risikovurdering for den registrerte.
- Tiltak for å håndtere risiko.
- Eventuell forhåndsdrøfting med Datatilsynet.
5. Leverandørdokumentasjon
Informasjon fra leverandøren som du trenger for å oppfylle dine forpliktelser som deployer.
Bør inneholde:
- Teknisk beskrivelse av systemet.
- Bruksanvisning (instructions for use).
- Informasjon om treningsdata (dersom tilgjengelig).
- Kjente begrensninger og feilrater.
- Leverandørens egen risikovurdering.
- Kontaktinformasjon for support.
Praktisk tips: Send en formell forespørsel til leverandøren. Dokumenter forespørselen og svaret – også hvis leverandøren ikke svarer.
6. Tilsynsrutine
For høyrisiko-systemer: en beskrivelse av hvordan menneskelig tilsyn gjennomføres i praksis.
Minimumsinnhold:
- Hvem som utfører tilsyn (navngitt person og stedfortreder).
- Hva som kontrolleres (hvilke output, hvor ofte, hvordan).
- Når og hvordan tilsynspersonen kan overprøve systemets anbefaling.
- Eskaleringsrutine ved avvik.
- Kompetansekrav for tilsynspersonen.
7. Drøftingsreferat
Dersom KI-systemet berører ansatte (for eksempel i rekruttering eller prestasjonsvurdering), skal bruken drøftes med tillitsvalgte etter arbeidsmiljøloven.
Minimumsinnhold:
- Dato og deltakere.
- Hva som ble drøftet (systemet, bruksområdet, konsekvenser for ansatte).
- Tillitsvalgtes synspunkter.
- Eventuell enighet eller uenighet.
- Oppfølgingspunkter.
8. Informasjonstekst
En tekst som oppfyller informasjonsplikten overfor berørte personer – for eksempel jobbsøkere eller ansatte.
Minimumsinnhold:
- At KI brukes i prosessen.
- Hva systemet gjør (på et forståelig nivå).
- Hvilke data som behandles.
- Hvem som er ansvarlig.
- Kontaktinformasjon for spørsmål.
- Rettigheter (innsyn, klage, menneskelig vurdering).
9. Opplæringsdokumentasjon
Dokumentasjon av at relevante ansatte har fått opplæring i bruk av systemet.
Minimumsinnhold:
- Hvem som har gjennomført opplæring (deltakerliste).
- Hva opplæringen dekket.
- Dato for gjennomføring.
- Attestasjon fra deltaker.
10. Hendelseslogg
En logg over avvik, feil, klager og hendelser knyttet til systemet.
Minimumsinnhold per hendelse:
- Dato og beskrivelse.
- Hvem som meldte hendelsen.
- Alvorlighetsgrad.
- Tiltak iverksatt.
- Status (åpen, lukket).
11. Endringslogg
En oversikt over alle vesentlige endringer i systemet eller dokumentasjonen.
Minimumsinnhold per endring:
- Dato.
- Hva som ble endret.
- Hvem som gjennomførte endringen.
- Versjonsnummer.
Anbefalt mappestruktur
Organiser dokumentene i en fast struktur per system:
KI-dokumentasjon HR/
├── [Systemnavn]/
│ ├── 01-Systemfil.docx
│ ├── 02-Klassifiseringsnotat.docx
│ ├── 03-Konsekvensvurdering-FRIA.docx (høyrisiko)
│ ├── 04-DPIA.docx (ved behov)
│ ├── 05-Leverandørdokumentasjon/
│ │ ├── Teknisk-dokumentasjon.pdf
│ │ ├── Bruksanvisning.pdf
│ │ └── Forespørsel-og-svar.pdf
│ ├── 06-Tilsynsrutine.docx (høyrisiko)
│ ├── 07-Drøfting/
│ │ └── Referat-[dato].docx
│ ├── 08-Informasjonstekst.docx
│ ├── 09-Opplæring/
│ │ ├── Opplæringsplan.docx
│ │ └── Deltakerliste-[dato].xlsx
│ ├── 10-Hendelseslogg.xlsx
│ └── 11-Endringslogg.xlsx
Nummereringen gjør det lett å finne riktig dokument og sikrer en konsistent rekkefølge.
Hva trengs for ulike risikoklasser?
Ikke alle systemer trenger full dokumentasjon. Tilpass omfanget til risikoklassen:
| Dokument | Minimal risiko | Begrenset risiko | Høy risiko |
|---|---|---|---|
| Systemfil | Forenklet | Ja | Ja (detaljert) |
| Klassifiseringsnotat | Ja | Ja | Ja |
| Konsekvensvurdering (FRIA) | Nei | Nei | Ja |
| DPIA | Ved behov | Ved behov | Som regel ja |
| Leverandørdokumentasjon | Forenklet | Ja | Ja (detaljert) |
| Tilsynsrutine | Nei | Nei | Ja |
| Drøftingsreferat | Ved behov | Ved behov | Ja |
| Informasjonstekst | Anbefalt | Ja | Ja |
| Opplæringsdokumentasjon | Forenklet | Ja | Ja |
| Hendelseslogg | Anbefalt | Anbefalt | Ja |
| Endringslogg | Anbefalt | Ja | Ja |
Forenklet systemfil for minimal risiko
For systemer med minimal risiko er en forenklet systemfil tilstrekkelig:
FORENKLET SYSTEMFIL
===================
Systemnavn: [Navn]
Leverandør: [Leverandør]
Formål: [Kort beskrivelse]
Risikoklasse: Minimal
Begrunnelse: [Kort begrunnelse for klassifisering]
Eier: [Navn, rolle]
Dato: [Dato]
Eksportpakker: hvem trenger hva?
Ulike mottakere trenger ulik informasjon. Ha klare eksportpakker:
For internt bruk
Alle dokumenter i full versjon. Tilgjengelig for systemeier, KI-ansvarlig og ledelse.
For tilsyn
Alt – inkludert versjonshistorikk, gjennomgangslogg, drøftingsreferater og hendelseslogg.
For revisor
Systemfil, klassifiseringsnotat, konsekvensvurdering, versjonshistorikk og gjennomgangslogg. Fokus på sporbarhet.
For kunder og samarbeidspartnere
Sammendrag: systemnavn, formål, risikoklasse, tiltak, kontaktinformasjon. Ingen interne detaljer.
For tillitsvalgte
Systemfil, drøftingsreferat, informasjonstekst og eventuelle oppfølgingspunkter.
Vedlikehold av pakken
Dokumentasjonspakken er ikke statisk. Sett opp rutiner for vedlikehold:
- Ved endring i systemet: Oppdater systemfil og endringslogg. Vurder om klassifisering og konsekvensvurdering påvirkes.
- Ved hendelser: Oppdater hendelsesloggen. Vurder om tilsynsrutinen eller andre dokumenter bør oppdateres.
- Planlagt gjennomgang: Halvårlig for høyrisiko, årlig for øvrige. Gjennomgå alle dokumenter og bekreft at de er oppdaterte.
- Ved personalskifte: Overfør eierskap formelt. Sjekk at stedfortreder er oppdatert.
Vanlige feil å unngå
- Manglende klassifisering. Alle KI-systemer bør klassifiseres – også de som ender på minimal risiko. Dokumenter vurderingen.
- Leverandørdokumentasjon som ikke er innhentet. Du kan ikke dokumentere hva et system gjør uten informasjon fra leverandøren. Send forespørselen.
- Drøfting som er glemt. Særlig ved rekrutteringssystemer er drøfting med tillitsvalgte lovpålagt. Gjør det tidlig – ikke som en etterpåklokskap.
- Informasjonstekst som mangler. Kandidater og ansatte har rett til å vite at KI brukes. Teksten bør være på plass før systemet tas i bruk.
- Alt i ett dokument. En systemfil som også inneholder konsekvensvurdering, tilsynsrutine og hendelseslogg, blir uoversiktlig og vanskelig å vedlikeholde. Bruk separate dokumenter med tydelig struktur.
- Ingen endringslogg. Uten endringslogg kan du ikke vise hva som har endret seg over tid. Det svekker troverdigheten ved revisjon.
Sjekkliste
- Alle KI-systemer i HR har en dokumentasjonspakke.
- Systemfil er opprettet og oppdatert for hvert system.
- Klassifiseringsnotat finnes med begrunnelse.
- Konsekvensvurdering er gjennomført for høyrisiko-systemer.
- Leverandørdokumentasjon er innhentet (eller forespørsel er dokumentert).
- Tilsynsrutine er beskrevet for høyrisiko-systemer.
- Drøfting med tillitsvalgte er gjennomført og dokumentert der det kreves.
- Informasjonstekst er utarbeidet for berørte personer.
- Opplæring er dokumentert med deltakerliste og attestasjon.
- Hendelseslogg er opprettet.
- Endringslogg føres ved alle vesentlige endringer.
- Mappestrukturen er konsistent for alle systemer.
Videre lesning
- Arbeidsflyt og maler (oversikt)
- Lag din første KI-systemfil: hvilken informasjon trenger du?
- Menneskelig kontroll (human oversight): roller, godkjenning og overstyringer
- Hendelser og klager i HR-AI: slik logger du og følger opp
- Fra Excel-kaos til revisjonsklart: migrering til strukturert dokumentasjon
- Hvem eier KI-dokumentasjon internt? (HR vs IT vs juridisk vs innkjøp)
- AI literacy i praksis: hvordan dokumentere opplæring for ansatte som bruker KI
Sist oppdatert
2026-02-02