Hvem er deployer – og hvorfor det betyr noe
EU KI-forordningen skiller mellom ulike roller i verdikjeden for KI-systemer. For de fleste norske virksomheter er rollen som deployer mest relevant. Dette er virksomheten som tar et KI-system i bruk, uavhengig av om systemet er utviklet internt eller kjøpt fra en leverandør.
Å forstå hva deployer-rollen innebærer er avgjørende for å vite hvilke plikter som hviler på din virksomhet.
Hva er en deployer?
Forordningen definerer deployer som enhver fysisk eller juridisk person som bruker et KI-system under egen myndighet, unntatt der systemet brukes til rent personlige formål.
I praksis betyr dette at hvis virksomheten din bruker et KI-system i driften, er dere deployer. Dette gjelder uavhengig av om:
- Dere har utviklet systemet selv
- Dere kjøper det som SaaS fra en leverandør
- Systemet er integrert i annen programvare dere bruker
Provider vs. deployer
Forordningen fordeler ansvar mellom provider (tilbyder) og deployer (bruker):
Provider er den som utvikler eller setter et KI-system på markedet. Provideren har ansvar for at systemet oppfyller tekniske krav, er dokumentert og CE-merket der det kreves.
Deployer er den som tar systemet i bruk. Deployeren har ansvar for at systemet brukes i samsvar med bruksanvisningen, at nødvendig tilsyn er på plass, og at egen bruk er dokumentert.
Plikter som ikke forsvinner
En vanlig misforståelse er at man kan kjøpe seg fri fra ansvar ved å velge en leverandør som lover samsvar. I praksis har deployer egne plikter som ikke kan overføres:
Brukskontroll
Du må sikre at systemet brukes i tråd med formålet det er godkjent for. Hvis du bruker systemet på andre måter enn leverandøren forutsetter, kan du selv bli ansett som provider.
Menneskelig tilsyn
For høyrisikosystemer må du ha rutiner for at kvalifiserte personer overvåker systemets beslutninger og kan gripe inn ved behov.
Informasjonsplikt
Du må informere personer som blir berørt av KI-baserte beslutninger, for eksempel jobbsøkere eller ansatte.
Dokumentasjon av egen bruk
Du må kunne dokumentere hvordan systemet brukes i din virksomhet, hvem som har tilgang, og hvilke vurderinger som er gjort.
Hendelseshåndtering
Hvis du oppdager at systemet ikke fungerer som forventet eller forårsaker skade, har du plikt til å varsle leverandøren og eventuelt tilsynsmyndigheter.
Hva betyr dette for SaaS-kjøp?
Når du kjøper KI-funksjonalitet som SaaS, er leverandøren typisk provider og din virksomhet er deployer. Dette betyr at:
- Leverandøren har ansvar for at systemet teknisk oppfyller kravene
- Du har ansvar for hvordan systemet brukes i din virksomhet
- Du må selv sikre at du har nødvendig dokumentasjon fra leverandøren
- Du kan ikke peke på leverandøren hvis du ikke har gjort egne vurderinger
Vanlige feil
Virksomheter gjør ofte disse feilene i forståelsen av deployer-rollen:
- Antar at leverandørens CE-merking fritar dem fra alt ansvar
- Unnlater å dokumentere egen bruk fordi leverandøren har dokumentert systemet
- Glemmer å vurdere om egen bruk avviker fra leverandørens forutsetninger
- Mangler rutiner for menneskelig tilsyn fordi de stoler på algoritmene
Når blir du selv provider?
I visse tilfeller kan du bli ansett som provider selv om du har kjøpt et system fra andre:
- Du endrer vesentlig på systemets tiltenkte formål
- Du modifiserer systemet på en måte som påvirker samsvaret
- Du setter ditt eget navn eller varemerke på systemet
Dette kan utløse de samme pliktene som gjelder for dem som utvikler KI-systemer.
Videre lesning
- EU KI-forordningen
- Gjelder den hvis du bare kjøper programvare?
- Hva betyr den for norske virksomheter
- Risikonivåer: enkel oversikt
- Tidslinje og hva du må dokumentere
- KI, GDPR og arbeidsmiljøloven: overlapp
Sist oppdatert
2026-02-02