Gjelder KI-forordningen hvis du bare kjøper programvare?
«Vi utvikler ikke KI selv, vi bare kjøper standard programvare.» Dette er en vanlig tankegang, men den kan lede til feil konklusjon. KI-forordningen gir plikter også til de som tar KI-systemer i bruk, selv når de kommer ferdig fra en leverandør.
Hvorfor plikter kan gjelde ved standard SaaS
Forordningen skiller mellom roller
KI-forordningen definerer flere roller med ulike plikter:
- Provider (leverandør): Den som utvikler eller markedsfører KI-systemet
- Deployer (bruker): Den som tar systemet i bruk i sin virksomhet
- Importør/distributør: Mellomledd i distribusjonskjeden
Når du kjøper SaaS med KI-funksjonalitet, blir du typisk deployer. Leverandøren er provider. Begge har plikter, men de er forskjellige.
Dine plikter som deployer
Som deployer har du plikter som leverandøren ikke kan oppfylle for deg:
Bruk i tråd med instruksjoner
Du må bruke systemet slik leverandøren har tiltenkt og dokumentert. Hvis du bruker et rekrutteringsverktøy til noe helt annet enn rekruttering, kan du ha gått utenfor det leverandøren har godkjent.
Sikre relevant input
Du har ansvar for at dataene du mater inn i systemet er relevante og av tilstrekkelig kvalitet for formålet.
Informere berørte personer
Du må sørge for at personer som berøres av KI-systemet får vite at KI brukes. Leverandøren kan ikke gjøre dette for deg, siden det er din kommunikasjon med dine ansatte eller kunder.
Menneskelig tilsyn
For høyrisikosystemer må du sikre at det finnes reell menneskelig kontroll. Du må ha kompetente personer som kan overstyre systemet når nødvendig.
Overvåke og rapportere
Du må følge med på hvordan systemet fungerer og rapportere alvorlige hendelser til myndighetene.
Hva du typisk må gjøre som deployer
Klassifisering
Du må forstå hvilken risikoklasse systemene dine faller i. Leverandøren kan ha sin vurdering, men du må vurdere basert på din faktiske bruk. Samme system kan ha ulik klassifisering avhengig av hva det brukes til.
Transparens
Du må sørge for at berørte personer informeres. For chatboter betyr dette å informere om at de snakker med en maskin. For rekrutteringssystemer betyr det å informere kandidater om at KI brukes i vurderingen.
Intern kontroll
Du må etablere interne rutiner for å sikre at systemet brukes riktig:
- Hvem har tilgang?
- Hvordan sikres menneskelig tilsyn?
- Hva skjer hvis systemet gir urimelige resultater?
- Hvem har ansvar for å følge opp?
Dokumentasjon
Du må kunne dokumentere at du har oppfylt dine plikter:
- Klassifiseringsvurdering
- Rutiner og retningslinjer
- Opplæring av brukere
- Logg over relevante hendelser
Dokumenter og spørsmål som typisk mangler
Når virksomheter bare har stolt på leverandøren, mangler ofte følgende:
Egen klassifiseringsvurdering
Mange har ikke selv vurdert hvilken risikoklasse systemet faller i basert på faktisk bruk. De har kanskje akseptert leverandørens utsagn uten å dokumentere egen vurdering.
Still dette spørsmålet: Har vi skriftlig dokumentert hvorfor vi mener dette systemet har denne risikoklassen?
Bruksanvisning og begrensninger
Leverandøren skal gi informasjon om hvordan systemet skal brukes og hvilke begrensninger det har. Mange har ikke bedt om eller lest denne dokumentasjonen.
Still dette spørsmålet: Har vi mottatt og lest leverandørens bruksanvisning, inkludert advarsler om feilbruk?
Informasjon til berørte
Mange har ikke tenkt på hvordan de informerer ansatte, kunder eller andre som berøres av KI-bruk.
Still dette spørsmålet: Vet de som påvirkes av systemet at KI brukes, og hvordan det påvirker dem?
Rutine for menneskelig tilsyn
For høyrisikosystemer kreves menneskelig tilsyn, men mange har ikke formalisert hvordan dette faktisk skjer.
Still dette spørsmålet: Hvem gjennomgår KI-anbefalinger før beslutninger tas, og hvordan dokumenteres dette?
Samsvarserklæring fra leverandør
For høyrisikosystemer skal leverandøren utstede en samsvarserklæring. Mange kunder har ikke bedt om denne.
Still dette spørsmålet: Har vi mottatt leverandørens samsvarserklæring for høyrisikosystemer?
Rutine for hendelsesrapportering
Du har plikt til å rapportere alvorlige hendelser, men mange har ikke tenkt på hva som utløser rapporteringsplikt eller hvordan det skal gjøres.
Still dette spørsmålet: Vet vi hva som er en rapporteringspliktig hendelse, og hvordan vi rapporterer?
Hva du bør gjøre nå
1. Kartlegg SaaS med KI
Gå gjennom alle SaaS-verktøy virksomheten bruker. Spør leverandørene direkte om systemene inneholder KI-funksjonalitet.
2. Innhent dokumentasjon
Be leverandørene om:
- Bekreftelse på KI-innhold
- Bruksanvisning og begrensninger
- Deres risikoklassifisering med begrunnelse
- Samsvarserklæring for høyrisikosystemer
3. Gjør egen vurdering
Basert på hvordan du faktisk bruker systemet:
- Vurder risikoklassen
- Dokumenter vurderingen
- Identifiser hvilke plikter som gjelder
4. Etabler interne rutiner
Lag enkle rutiner for:
- Menneskelig tilsyn der påkrevd
- Informasjon til berørte
- Håndtering av hendelser
5. Dokumenter
Samle alt i en strukturert dokumentasjon som kan vises frem ved behov.
Videre lesning
- EU KI-forordningen
- Hva betyr den for norske virksomheter
- Når må du etterleve? Tidslinje og hva du bør dokumentere
- Risikonivåer: enkel oversikt
- Hvem er deployer, og hvorfor det betyr noe
- KI, GDPR og arbeidsmiljøloven: overlapp
- GPAI og grunnmodeller for brukere
Sist oppdatert
2026-02-02