Lag din første KI-systemfil: hvilken informasjon trenger du?

En KI-systemfil er det sentrale dokumentet som samler nøkkelinformasjon om et KI-system virksomheten bruker. Det er grunnlaget for klassifisering, risikovurdering og tilsynsberedskap. Denne artikkelen gir deg en steg-for-steg-fremgangsmåte for å opprette din første systemfil – med vekt på hva som er minimumsinnholdet og i hvilken rekkefølge du bør samle informasjonen.

Merk: Denne artikkelen er veiledende. Omfanget av systemfilen avhenger av systemets risikoklasse og virksomhetens størrelse.

Hva er en KI-systemfil?

En KI-systemfil er et internt dokument som beskriver:

• Hva systemet er og hva det gjør.
• Hvem som eier og bruker det.
• Hvilken risikoklasse det tilhører.
• Hvilke vurderinger som er gjort.
• Hvem som har tilsyn og ansvar.

Filen er ikke et teknisk dokument i seg selv – den er et styringsdokument som samler det virksomheten trenger for å bruke systemet i tråd med KI-forordningen.

Hvorfor du trenger det

KI-forordningen stiller krav til at deployere (virksomheter som bruker KI-systemer) har oversikt over og kontroll med sin KI-bruk. Systemfilen er det praktiske verktøyet for å oppfylle dette.

Uten systemfil:

• Kan du ikke svare på hva systemet gjør ved tilsyn.
• Kan du ikke dokumentere hvilke vurderinger som er gjort.
• Har du ingen sporbar historikk over endringer.
• Mangler du grunnlaget for konsekvensvurdering og tilsynsrutine.

Velg riktig system å starte med

Hvis virksomheten bruker flere KI-systemer, start med det viktigste. Velg basert på:

• Høyest sannsynlighet for høyrisiko-klassifisering – for eksempel systemer som påvirker ansettelse, arbeidsvilkår eller tilgang til tjenester.
• Størst berørt gruppe – systemer som berører mange ansatte, kandidater eller kunder.
• Mest daglig bruk – systemer som brukes aktivt og der beslutninger faktisk baseres på output.

Du trenger ikke starte med alle systemer samtidig. Én grundig systemfil er bedre enn ti halvferdige.

Minimumsinnhold: hva skal med?

Systemfilen bør inneholde følgende informasjon som et minimum:

Del 1: Grunnleggende informasjon

GRUNNLEGGENDE INFORMASJON
=========================

Systemnavn: [Navn]
Leverandør: [Leverandørnavn]
Versjon: [Systemets versjon, hvis kjent]
Formål: [Hva brukes systemet til?]
Bruksområde: [Hvilken prosess eller avdeling?]
Dato tatt i bruk: [Dato]

Tips: Formålet bør beskrive hva systemet faktisk gjør – ikke bare hva leverandøren kaller det. «KI-basert screening av jobbsøknader for å rangere kandidater etter egnethet» er bedre enn «HR-verktøy».

Del 2: Eierskap og roller

EIERSKAP OG ROLLER
===================

Systemeier: [Navn, rolle]
Stedfortreder: [Navn, rolle]
KI-ansvarlig: [Navn, rolle]
IT-kontakt: [Navn, rolle]

Tips: Systemeier bør være den som eier forretningsprosessen – ikke IT. IT er teknisk støtte, men fagansvarlig eier systemfilen.

Del 3: Hva systemet gjør

SYSTEMBESKRIVELSE
=================

Hva gjør systemet:
[Beskriv i 2-3 setninger hva systemet faktisk gjør.
Hva er input? Hva er output? Hva er brukerens rolle?]

Hvilke data behandles:
[Hvilke personopplysninger eller andre data bruker systemet?]

Hvem bruker systemet:
[Hvilke roller i virksomheten bruker systemet i det daglige?]

Hvem er berørt:
[Hvem påvirkes av systemets output? Jobbsøkere, ansatte, kunder?]

Tips: Skriv dette så en person uten teknisk bakgrunn forstår det. Unngå leverandørens markedsføringssjargong.

Del 4: Klassifisering

KLASSIFISERING
==============

Risikoklasse: [Høy / Begrenset / Minimal]

Begrunnelse:
[Hvorfor er systemet klassifisert i denne klassen?
Referer til forordningens vedlegg III eller relevante artikler.]

Vurdert av: [Navn]
Dato for klassifisering: [Dato]
Godkjent av: [Navn, rolle]

Tips: Hvis du er usikker på klassifiseringen, noter det. En systemfil med «foreløpig klassifisering – avventer ytterligere vurdering» er bedre enn en tom klassifisering.

Del 5: Leverandørinformasjon

LEVERANDØRINFORMASJON
=====================

Leverandør: [Navn]
Kontaktperson: [Navn, e-post]
Kontraktsdato: [Dato]

Mottatt dokumentasjon:
- [ ] Teknisk beskrivelse
- [ ] Bruksanvisning (instructions for use)
- [ ] Informasjon om treningsdata
- [ ] Kjente begrensninger og feilrater
- [ ] Leverandørens risikovurdering

Dokumentasjon forespurt: [Dato]
Dokumentasjon mottatt: [Dato / Avventer]

Tips: Kryss av for hva du har mottatt. Marker det du mangler – det gir deg en tydelig oppfølgingsliste.

Del 6: Gjennomgangsplan

GJENNOMGANG OG VEDLIKEHOLD
===========================

Neste planlagte gjennomgang: [Dato]
Gjennomgangsfrekvens: [Halvårlig / Årlig]
Ansvarlig for gjennomgang: [Navn]

Rekkefølge: hvor begynner du?

Ikke alt trenger å fylles ut samtidig. Her er en anbefalt rekkefølge:

Steg 1: Grunnleggende informasjon og eierskap

Start med del 1 og del 2. Dette tar typisk under en time og gir deg en fil å bygge videre på. Fyll ut det du vet – systemnavn, leverandør, formål, eier.

Steg 2: Systembeskrivelse

Fyll ut del 3. Beskriv hva systemet faktisk gjør, hvilke data det bruker, og hvem som er berørt. Snakk med brukerne hvis du er usikker.

Steg 3: Foreløpig klassifisering

Gjør en foreløpig klassifisering (del 4). Bruk forordningens vedlegg III for å vurdere om systemet er høyrisiko. Hvis du er usikker, klassifiser det foreløpig som «mulig høyrisiko – avventer vurdering».

Steg 4: Leverandørinformasjon

Fyll ut del 5 med det du har. Send en formell forespørsel til leverandøren for det du mangler. Dokumenter forespørselen.

Steg 5: Sett gjennomgangsdato

Sett en dato for første gjennomgang (del 6). For høyrisiko: innen seks måneder. For øvrige: innen tolv måneder.

Eksempel: utfylt systemfil (rekrutteringssystem)

KI-SYSTEMFIL
=============
Versjon: 1.0
Dato opprettet: 2026-02-01

GRUNNLEGGENDE INFORMASJON
=========================
Systemnavn: RecruitScreen Pro
Leverandør: ScreenTech AS
Versjon: 3.2
Formål: KI-basert screening og rangering av jobbsøknader
         basert på CV-innhold og stillingskrav
Bruksområde: HR-avdelingen, rekrutteringsprosesser
Dato tatt i bruk: 2025-09-01

EIERSKAP OG ROLLER
===================
Systemeier: Kari Hansen, HR-leder
Stedfortreder: Per Johansen, HR-rådgiver
KI-ansvarlig: Ola Nordmann, Kvalitetsansvarlig
IT-kontakt: Lise Berg, IT-ansvarlig

SYSTEMBESKRIVELSE
=================
Hva gjør systemet:
Systemet mottar jobbsøknader (CV og søknadsbrev) og rangerer
kandidater basert på match mot stillingskravene. Rekrutterer
mottar en rangert liste og bruker denne som utgangspunkt for
å velge kandidater til intervju. Rekrutterer tar den
endelige beslutningen.

Hvilke data behandles:
Navn, kontaktinformasjon, utdanning, arbeidserfaring,
kompetanse (fra CV), søknadsbrev, stillingskrav.

Hvem bruker systemet:
HR-rådgivere (3 personer) i rekrutteringsprosessen.

Hvem er berørt:
Jobbsøkere som sender inn søknad til virksomheten.

KLASSIFISERING
==============
Risikoklasse: Høy

Begrunnelse:
Systemet brukes i rekrutteringsprosessen og rangerer
kandidater for ansettelse. Dette faller inn under vedlegg III
punkt 4 (sysselsetting, personalforvaltning og tilgang til
selvstendig næringsvirksomhet) i KI-forordningen.

Vurdert av: Ola Nordmann
Dato for klassifisering: 2026-02-01
Godkjent av: Daglig leder

LEVERANDØRINFORMASJON
=====================
Leverandør: ScreenTech AS
Kontaktperson: support@screentech.no
Kontraktsdato: 2025-08-15

Mottatt dokumentasjon:
- [x] Teknisk beskrivelse
- [x] Bruksanvisning
- [ ] Informasjon om treningsdata
- [x] Kjente begrensninger og feilrater
- [ ] Leverandørens risikovurdering

Dokumentasjon forespurt: 2026-01-20
Dokumentasjon mottatt: Delvis (2026-01-28) – avventer
                       treningsdata og risikovurdering

GJENNOMGANG OG VEDLIKEHOLD
===========================
Neste planlagte gjennomgang: 2026-08-01
Gjennomgangsfrekvens: Halvårlig (høyrisikosystem)
Ansvarlig for gjennomgang: Kari Hansen

Hva du ikke trenger i første versjon

Systemfilen er et levende dokument. I første versjon trenger du ikke:

• Fullstendig konsekvensvurdering. Denne kan gjøres som neste steg etter at systemfilen er opprettet.
• Detaljert tilsynsrutine. Beskriv hvem som har tilsyn – detaljene kan komme i en egen rutine.
• Alt fra leverandøren. Dokumenter hva du har og hva du mangler. Ikke vent med å opprette filen til leverandøren har svart.
• Perfekt klassifisering. En foreløpig vurdering er tilstrekkelig for å komme i gang.

Det viktige er at filen eksisterer og har en eier – ikke at den er perfekt fra dag én.

Fra første fil til komplett dokumentasjon

Etter at den første systemfilen er på plass, er neste steg:

1. Gjennomfør konsekvensvurdering (FRIA) hvis systemet er høyrisiko.
2. Beskriv tilsynsrutinen i et eget dokument.
3. Gjennomfør drøfting med tillitsvalgte hvis systemet berører ansatte.
4. Utarbeid informasjonstekst for berørte personer.
5. Dokumenter opplæring av brukere.
6. Opprett hendelseslogg for å registrere avvik.
7. Gjenta prosessen for neste system.

Typiske spørsmål ved oppstart

«Hva hvis vi ikke vet om systemet er KI?»

Spør leverandøren direkte: «Bruker systemet maskinlæring, nevrale nettverk, eller andre former for kunstig intelligens?» Dokumenter svaret. Hvis svaret er uklart, behandle det som KI til det motsatte er bekreftet.

«Hva hvis leverandøren ikke samarbeider?»

Dokumenter at du har bedt om informasjon. En leverandør som ikke samarbeider, er i seg selv en risiko som bør noteres i systemfilen. Vurder om du skal skifte leverandør.

«Trenger vi systemfil for gratisverktøy?»

Ja, hvis verktøyet bruker KI og benyttes i virksomhetens prosesser. En gratisversjon av en KI-chatbot brukt i HR-sammenheng trenger dokumentasjon på lik linje med betalte systemer.

«Hva hvis vi har ti systemer?»

Start med det viktigste (typisk det med høyest risiko). Lag én god systemfil, og bruk den som mal for de neste. Etter den første går resten raskere.

«Hvor detaljert må beskrivelsen være?»

Detaljert nok til at en ny person i rollen kan forstå hva systemet gjør og hvilke vurderinger som er gjort. Kort nok til at det faktisk vedlikeholdes. For de fleste systemer er 2–4 sider tilstrekkelig.

Vanlige feil å unngå

• Vente til alt er perfekt. En ufullstendig systemfil er bedre enn ingen systemfil. Start nå og forbedre over tid.
• Kopiere leverandørens markedsmateriell. Systemfilen skal beskrive hva systemet faktisk gjør i din virksomhet – ikke hva leverandøren lover.
• Glemme stedfortreder. Uten stedfortreder er filen sårbar for fravær og personalskifte.
• Bruke filen bare til opprettelse. Systemfilen har verdi bare hvis den holdes oppdatert. Sett opp gjennomgangsdato fra starten.
• Underdrive formålet. «HR-verktøy» er for vagt. Beskriv konkret: «KI-basert rangering av jobbsøkere basert på CV-analyse».
• Overse berørte grupper. Det er lett å tenke på brukerne (HR), men glem ikke de som er berørt av output (kandidater, ansatte).

Sjekkliste for din første systemfil

• System valgt – det med høyest risiko eller mest bruk.
• Grunnleggende informasjon fylt ut (navn, leverandør, formål).
• Eier og stedfortreder navngitt.
• Systembeskrivelse skrevet i klartekst.
• Berørte grupper identifisert.
• Foreløpig klassifisering gjort.
• Leverandørdokumentasjon etterspurt (eller dokumentert som mottatt).
• Gjennomgangsdato satt.
• Filen lagret på avtalt sted med tydelig filnavn.

Videre lesning

• Arbeidsflyt og maler (oversikt)
• HR KI-dokumentasjonspakke: hva bør ligge i mappen?
• Menneskelig kontroll (human oversight): roller, godkjenning og overstyringer
• Hendelser og klager i HR-AI: slik logger du og følger opp
• Fra Excel-kaos til revisjonsklart: migrering til strukturert dokumentasjon
• Hvem eier KI-dokumentasjon internt? (HR vs IT vs juridisk vs innkjøp)
• AI literacy i praksis: hvordan dokumentere opplæring for ansatte som bruker KI

Sist oppdatert

2026-02-02