Kiloven
Kontakt

Risikonivåer: enkel oversikt

EU KI-forordningen klassifiserer KI-systemer etter hvor stor risiko de utgjør for helse, sikkerhet og grunnleggende rettigheter. For norske SMB-er er det viktig å forstå disse nivåene for å vite hvilke krav som gjelder for systemene dere bruker.

Denne artikkelen gir en praktisk innføring i risikonivåene og hvordan du kan gjøre en enkel førstegangsvurdering.

Risikonivåer i KI-forordningenUakseptabel risiko (forbudt)Sosial skåring, manipulerende KIHøy risikoCV-screening, lånesøknaderBegrenset risikoChatboter med opplysningspliktMinimal risikoStavekontroll, anbefalingsmotorer

De fire risikonivåene

Forordningen opererer med fire hovedkategorier:

Uakseptabel risiko (forbudt)

Enkelte bruksområder er helt forbudt fordi de anses som uforenlige med grunnleggende rettigheter:

  • Sosial scoring av enkeltpersoner basert på atferd over tid
  • Manipulasjon som utnytter sårbarhet hos spesifikke grupper
  • Visse former for biometrisk fjernidentifikasjon i sanntid
  • Systemer som infererer følelser på arbeidsplassen eller i utdanning

Høy risiko

Systemer som kan ha vesentlig innvirkning på personers liv og rettigheter. Dette inkluderer typisk:

  • KI brukt til rekruttering, utvelgelse og vurdering av arbeidstakere
  • Kredittscoring og tilgang til finansielle tjenester
  • Vurdering av tilgang til utdanning
  • Systemer brukt i kritisk infrastruktur

Høyrisikosystemer utløser omfattende dokumentasjonskrav for både tilbyder og bruker.

Begrenset risiko

Systemer der hovedkravet er transparens. Brukere skal informeres om at de interagerer med KI:

  • Chatboter og virtuelle assistenter
  • Systemer som genererer syntetisk innhold
  • Følelsesgjenkjenning (der tillatt)

Minimal risiko

De fleste KI-systemer faller i denne kategorien og har ingen særskilte krav utover alminnelig lovgivning.

Førstegangsvurdering i praksis

For å gjøre en enkel førstegangsvurdering kan du stille disse spørsmålene:

1. Hva brukes systemet til?

Bruksområdet er avgjørende. Et system som i seg selv er lavrisiko, kan bli høyrisiko hvis det brukes til beslutninger som påvirker personers rettigheter eller muligheter.

2. Hvem påvirkes av beslutningene?

Hvis systemet bidrar til beslutninger om ansettelse, oppsigelse, kreditt, utdanning eller tilgang til offentlige tjenester, bør du undersøke nærmere.

3. Hva sier leverandøren?

Leverandørens klassifisering er et utgangspunkt, men ikke alltid pålitelig. Noen leverandører underrapporterer risiko i markedsføringsøyemed.

Ikke stol blindt på leverandøren

En vanlig feil er å anta at leverandørens påstand om lavrisiko er tilstrekkelig dokumentasjon. I praksis bør du:

  • Be om skriftlig begrunnelse for klassifiseringen
  • Vurdere om din bruk avviker fra leverandørens forutsetninger
  • Dokumentere din egen vurdering

Hvis du bruker et system på andre måter enn leverandøren forutsetter, kan risikoklassifiseringen endre seg.

Grensetilfeller og usikkerhet

Mange systemer befinner seg i gråsoner. Når du er usikker:

  • Dokumenter usikkerheten og hvordan du har vurdert
  • Vurder å behandle systemet som høyere risiko enn nødvendig
  • Følg med på veiledning fra tilsynsmyndigheter

Det er bedre å overdokumentere enn å bli tatt på senga ved tilsyn.

Praktisk sjekkliste

For hvert KI-system bør du kunne svare på:

  • Hvilket risikonivå tilhører systemet?
  • Hvem har gjort vurderingen, og når?
  • Hvilken dokumentasjon underbygger konklusjonen?
  • Er bruken i tråd med leverandørens forutsetninger?

Videre lesning

Sist oppdatert

2026-02-02