Kiloven
Kontakt

EU KI-forordningen: hva betyr den for norske virksomheter som bruker AI i SaaS?

EU KI-forordningen (AI Act) er det første omfattende regelverket for kunstig intelligens i Europa. Som EØS-land blir forordningen relevant for norske virksomheter. Men hva betyr dette i praksis når du ikke utvikler KI selv, men kjøper programvare med KI-funksjonalitet?

Hvorfor dette gjelder deg

Det gjelder deg hvis virksomheten bruker KI-funksjonalitet (typisk i SaaS) til å påvirke beslutninger, vurderinger eller kommunikasjon med ansatte, kunder eller kandidater.

  • Du kan få plikter selv uten å utvikle KI selv (rollen som deployer)
  • Du må vite hva du bruker og hvilket risikonivå bruken faller i
  • Du må kunne dokumentere vurderinger og rutiner hvis noen spør (tilsyn/kunder)

Mange norske virksomheter tror at KI-forordningen bare gjelder de som utvikler KI-systemer. Det stemmer ikke. Forordningen skiller mellom flere roller, og den som tar i bruk et KI-system (deployer) har egne plikter.

Hvis virksomheten din bruker programvare med KI-funksjoner, for eksempel rekrutteringssystemer, kundeservicechatboter eller analyseverktøy, kan du ha plikter etter forordningen.

De viktigste konsekvensene for norske SMB

Du må vite hva du bruker

Første steg er å ha oversikt over hvilke KI-systemer virksomheten bruker. Mange er ikke klar over at programvare de allerede har inneholder KI-komponenter. En kartlegging av eksisterende systemer er derfor nødvendig.

Du må forstå risikonivået

Forordningen klassifiserer KI-systemer etter risiko. Noen bruksområder, som rekruttering og ansattovervåkning, er definert som høyrisiko og utløser strenge krav. Andre bruksområder har lavere krav. Du må vurdere hvilken kategori dine systemer faller i.

Du har egne plikter selv om leverandøren har ansvar

Leverandøren (provider) har hovedansvaret for at systemet teknisk oppfyller kravene. Men som bruker (deployer) har du egne plikter knyttet til:

  • Å bruke systemet i tråd med leverandørens instruksjoner
  • Å sikre at input til systemet er relevant for formålet
  • Å informere berørte personer om at KI brukes
  • Å sikre menneskelig tilsyn der dette kreves
  • Å overvåke systemet og rapportere alvorlige hendelser

Dokumentasjon blir viktig

Du må kunne dokumentere at du har vurdert og håndtert kravene. Dette betyr ikke nødvendigvis store papirmengder, men en strukturert tilnærming der du kan vise:

  • Hvilke systemer du bruker og hvorfor
  • Hvordan du har klassifisert risikoen
  • Hvilke tiltak du har iverksatt
  • Hvem som har ansvar internt

Første dokumentasjonssteg som gir mest effekt

Lag en KI-oversikt

Start med å lage en liste over alle systemer som inneholder eller kan inneholde KI-funksjonalitet. For hvert system noter:

  • Navn og leverandør
  • Hva systemet brukes til
  • Hvem som berøres (ansatte, kunder, andre)
  • Foreløpig vurdering av risikonivå

Prioriter høyrisikosystemer

Fokuser først på systemer som brukes til:

  • Rekruttering og utvelgelse av kandidater
  • Vurdering og overvåkning av ansatte
  • Beslutninger som påvirker enkeltpersoner vesentlig

Innhent dokumentasjon fra leverandører

Be leverandørene om:

  • Bekreftelse på om systemet inneholder KI
  • Risikoklassifisering fra leverandørens side
  • Bruksanvisning og begrensninger
  • Samsvarserklæring for høyrisikosystemer

Etabler internt ansvar

Avklar hvem i virksomheten som har ansvar for:

  • Å holde oversikten oppdatert
  • Å vurdere nye systemer før anskaffelse
  • Å følge opp leverandører
  • Å håndtere henvendelser fra berørte

Vanlige misforståelser

«Vi bruker bare standard programvare»

Standard SaaS-løsninger kan inneholde KI-funksjonalitet som utløser plikter. Det er din bruk av systemet som avgjør, ikke at mange andre bruker samme programvare.

«Leverandøren har ansvar for alt»

Leverandøren har ansvar for at systemet er bygget riktig. Du har ansvar for at det brukes riktig og at du oppfyller dine egne plikter som deployer.

«Dette gjelder bare store selskaper»

Forordningen gjelder uavhengig av virksomhetens størrelse. Kravene er de samme, selv om ressursene du bruker på etterlevelse naturlig vil variere.

«Vi må vente på norsk lov»

Forordningen er direkte gjeldende gjennom EØS-avtalen. Du trenger ikke vente på særskilt norsk lovgivning for å begynne forberedelsene.

Hva du bør gjøre nå

  1. Kartlegg KI-systemer virksomheten bruker
  2. Vurder foreløpig risikoklassifisering for hvert system
  3. Identifiser de viktigste hullene i dokumentasjonen
  4. Etabler en enkel rutine for å vurdere nye systemer
  5. Start dialogen med de viktigste leverandørene

Videre lesning

Sist oppdatert

2026-02-05