Annex III forklart i klart språk (med HR-eksempler først)
Annex III i KI-forordningen lister opp bruksområder som gjør et KI-system til høyrisiko. Listen er teknisk og juridisk formulert, noe som gjør den vanskelig å anvende i praksis. Denne artikkelen forklarer hvert punkt i klart norsk, med eksempler fra arbeidslivet først.
Tilbake til veilederen: KI-loven og KI-forordningen
Hva er Annex III?
Annex III (vedlegg III) er listen i KI-forordningen som peker ut bruksområder som typisk gjør et KI-system til høyrisiko.
- Brukes som sjekkliste for klassifisering (høyrisiko eller ikke)
- Utløser strengere krav til dokumentasjon, tilsyn og etterlevelse når den treffer
- Mest praktisk: start med de punktene som matcher deres faktiske bruk (f.eks. HR)
Annex III (vedlegg III) er en del av KI-forordningen som definerer spesifikke bruksområder for KI-systemer som anses som høyrisiko. Hvis et KI-system brukes innenfor ett av disse områdene, utløser det strenge krav til dokumentasjon, tilsyn og etterlevelse.
Listen er organisert i åtte kategorier. Vi starter med den som er mest relevant for norske virksomheter.
Kategori 4: Ansettelse, arbeidsstyring og tilgang til selvstendig arbeid
Denne kategorien er mest relevant for norske SMB-er.
4a: Rekruttering og utvelgelse
Hva forordningen sier:
KI-systemer som brukes til rekruttering eller utvelgelse av personer, særlig for å legge ut målrettede stillingsannonser, screene eller filtrere søknader, eller evaluere kandidater.
Hva det betyr i praksis:
Hvis du bruker KI til å behandle jobbsøknader på noen som helst automatisert måte utover ren lagring, er det sannsynligvis høyrisiko.
Eksempler som er høyrisiko:
- CV-screeningsverktøy som rangerer kandidater
- Chatboter som gjennomfører innledende intervjuer og gir score
- Systemer som matcher kandidatprofiler mot stillinger
- Video-intervjuverktøy som analyserer kroppsspråk eller ordvalg
- Personlighetstester med KI-basert analyse
- Målrettet stillingsannonsering basert på profilering
Eksempler som normalt IKKE er høyrisiko:
- Rene søknadsportaler uten KI-analyse
- Manuell bruk av søkemotorer (f.eks. LinkedIn-søk uten KI-ranking)
- Enkel filtrering basert på eksplisitte krav (f.eks. "har sertifisering X")
4b: Beslutninger om arbeidsforholdet
Hva forordningen sier:
KI-systemer som brukes til å ta beslutninger som påvirker vilkårene i arbeidsforholdet, herunder forfremmelse og oppsigelse.
Hva det betyr i praksis:
KI-systemer som bidrar til eller påvirker beslutninger om lønn, forfremmelse, degradering, oppsigelse eller andre vesentlige endringer i arbeidsforholdet.
Eksempler som er høyrisiko:
- Systemer som anbefaler hvem som bør forfremmes
- KI-baserte verktøy for lønnsfastsettelse
- Systemer som identifiserer ansatte med "risiko for turnover"
- KI som anbefaler oppsigelser ved nedbemanning
Eksempler som normalt IKKE er høyrisiko:
- Lønnsstatistikk-verktøy uten individuelle anbefalinger
- Generelle HR-dashboards som kun viser aggregerte data
4c: Fordeling av oppgaver
Hva forordningen sier:
KI-systemer som brukes til å fordele oppgaver basert på individuell atferd eller personlighetstrekk.
Hva det betyr i praksis:
Hvis KI fordeler arbeid basert på hvordan enkeltpersoner har prestert eller oppført seg, er det høyrisiko. Ren kompetansebasert fordeling uten atferdsanalyse kan falle utenfor.
Eksempler som er høyrisiko:
- Systemer som fordeler kundehenvendelser basert på ansattes historiske ytelse
- Plattformarbeid der algoritmer tildeler oppdrag basert på rating
- KI som anbefaler prosjektfordeling basert på ansattes "styrker"
Grensetilfeller:
- Vaktplanlegger som bruker kompetanse og tilgjengelighet (kan falle utenfor)
- Oppgavefordeling basert på ledig kapasitet (kan falle utenfor)
4d: Overvåking og evaluering
Hva forordningen sier:
KI-systemer som brukes til å overvåke og evaluere arbeidsprestasjoner og oppførsel.
Hva det betyr i praksis:
Ethvert KI-system som vurderer hvordan ansatte gjør jobben sin.
Eksempler som er høyrisiko:
- Systemer som måler og scorer produktivitet per ansatt
- KI-basert kvalitetskontroll som evaluerer enkeltansattes arbeid
- Sentimentanalyse av kundesamtaler med tilknytning til enkeltansatte
- Verktøy som overvåker tidsbruk på skjerm eller i applikasjoner
Eksempler som normalt IKKE er høyrisiko:
- Aggregert statistikk på avdelingsnivå uten identifisering av enkeltpersoner
- Generelle BI-verktøy som viser salgsresultater uten KI-vurdering
Kategori 1: Biometri
1a: Biometrisk fjernidentifisering
I klart språk: KI-systemer som identifiserer personer basert på biometriske data (ansiktsgjenkjenning, fingeravtrykk, etc.) på avstand, men ikke i sanntid.
HR-eksempler:
- Adgangskontroll med ansiktsgjenkjenning (kan være høyrisiko)
- Tidsregistrering med biometrisk identifikasjon
1b: Biometrisk kategorisering
I klart språk: KI-systemer som kategoriserer personer basert på biometriske data inn i grupper (kjønn, alder, etnisitet, etc.).
HR-eksempel: System som estimerer alder eller kjønn fra ansiktsbilde (forbudt for mange formål).
1c: Emosjonell gjenkjenning
I klart språk: KI-systemer som forsøker å gjenkjenne emosjoner basert på biometri.
HR-eksempel: Videointervjuverktøy som analyserer ansiktsuttrykk for å vurdere "engasjement" eller "stress". Merk: Emosjonell gjenkjenning på arbeidsplass er i utgangspunktet forbudt, med svært begrensede unntak.
Kategori 2: Kritisk infrastruktur
I klart språk: KI-systemer som brukes til styring av kritisk infrastruktur som vei, vann, elektrisitet, gass og digital infrastruktur.
Relevans for SMB: Normalt lite relevant for typiske norske SMB-er, med mindre virksomheten opererer innenfor disse sektorene.
Kategori 3: Utdanning og yrkesopplæring
3a: Opptak og tilgang
I klart språk: KI-systemer som bestemmer hvem som får tilgang til utdanning.
3b: Evaluering og vurdering
I klart språk: KI-systemer som evaluerer læringsutbytte, inkludert systemer som styrer læringsprosessen.
3c: Overvåking av prøver
I klart språk: KI-systemer som overvåker uønsket atferd under eksamen.
HR-relevans: Relevant hvis virksomheten tilbyr kurs eller sertifiseringer med KI-basert vurdering. Eksempel: Obligatorisk opplæring med KI-basert bestått/ikke bestått-vurdering.
Kategori 5: Tilgang til essensielle tjenester
5a: Kredittvurdering
I klart språk: KI som vurderer kredittverdighet.
Relevans: Relevant for banker, finansinstitusjoner og virksomheter som tilbyr kreditt.
5b: Forsikring
I klart språk: KI som brukes i risikovurdering og prissetting av livs- og helseforsikring.
5c: Offentlige ytelser
I klart språk: KI som brukes til å innvilge, redusere eller avslå offentlige ytelser.
5d: Nødtjenester
I klart språk: KI som prioriterer utrykninger fra nødtjenester.
Kategori 6: Rettshåndhevelse
I klart språk: KI i politi og rettsvesen for risikovurdering, bevisvurdering og lignende.
Relevans for SMB: Normalt ikke relevant for norske virksomheter.
Kategori 7: Migrasjon og grensekontroll
I klart språk: KI i behandling av asylsøknader, visumbehandling og grensekontroll.
Relevans for SMB: Normalt ikke relevant for norske virksomheter.
Kategori 8: Demokratiske prosesser
I klart språk: KI som brukes til å påvirke stemmegivning i valg.
Relevans for SMB: Normalt ikke relevant for norske virksomheter.
Oppsummering: Mest relevant for norske SMB-er
For de fleste norske SMB-er er kategori 4 (ansettelse og arbeid) mest relevant:
| Annex III-punkt | Bruksområde | Typisk verktøy |
|---|---|---|
| 4a | Rekruttering | CV-screening, kandidat-matching |
| 4b | Arbeidsforhold | Forfremmelses-anbefaling, lønnssystem |
| 4c | Oppgavefordeling | Atferdsbasert oppgavetildeling |
| 4d | Overvåking | Produktivitetsmåling, kvalitetskontroll |
Kategori 1 (biometri) kan være relevant hvis virksomheten bruker biometrisk adgangskontroll eller lignende.
Kategori 3 (utdanning) kan være relevant hvis virksomheten tilbyr sertifiseringsprogrammer.
Kategori 5 (essensielle tjenester) er relevant for finans- og forsikringsvirksomheter.
Viktig presisering: Unntaket
Et system som faller inn under Annex III er likevel IKKE høyrisiko hvis det oppfyller alle disse vilkårene:
- Det utfører en snever prosedyreoppgave
- Det forbedrer resultatet av en allerede utført menneskelig aktivitet
- Det oppdager beslutingsmønstre uten å erstatte menneskelig vurdering
- Det utfører kun en forberedende oppgave
Men: Unntaket gjelder ikke for systemer som profilerer personer. De fleste HR-systemer profilerer, så unntaket er sjelden anvendbart i arbeidslivssammenheng.
Slik bruker du denne informasjonen
- Identifiser dine KI-systemer: List opp alle verktøy med KI-komponenter
- Sjekk mot Annex III: Bruk oversikten over for å vurdere hvert system
- Dokumenter vurderingen: For hvert system, dokumenter hvilke punkter som er vurdert og konklusjonen
- Iverksett krav: Følg opp med riktig dokumentasjonsnivå basert på klassifiseringen
Videre lesning
- Klassifisering og regler
- Praktisk triage: er det høy risiko?
- Rekrutterings-AI: risiko, dokumentasjon og beste praksis
- Bias og diskriminering: slik dokumenterer du
- Gjelder forordningen hvis du bare kjøper programvare?
- Ansvar mellom provider og deployer
- Norge og KI-forordningen
Sist oppdatert
2026-02-05