Når må du gjøre en formell AI-konsekvensvurdering (og hva den bør dekke)?
KI-forordningen innfører en egen plikt til å gjennomføre en konsekvensvurdering for grunnleggende rettigheter (fundamental rights impact assessment, FRIA) for visse brukere av høyrisiko-KI-systemer. Denne vurderingen kommer i tillegg til den kjente personvernkonsekvensvurderingen (DPIA) etter GDPR. Nedenfor forklarer vi når plikten inntreffer, hva vurderingen bør dekke, og hvordan du gjennomfører den i praksis.
Merk: Denne artikkelen er veiledende og erstatter ikke juridisk rådgivning. Forordningens endelige tekst og nasjonale retningslinjer bør alltid konsulteres.
Hvem har plikt til å gjøre konsekvensvurdering?
Artikkel 27 i KI-forordningen pålegger brukere (deployers) av høyrisiko-KI-systemer å gjennomføre en konsekvensvurdering for grunnleggende rettigheter før systemet tas i bruk. Plikten gjelder spesifikt for:
- Offentlige organer og private aktører som utfører offentlige tjenester som bruker høyrisiko-KI.
- Private virksomheter som bruker høyrisiko-KI-systemer listet i Annex III, der bruken kan påvirke grunnleggende rettigheter.
For norske SMB-er betyr dette at plikten først og fremst utløses når dere tar i bruk KI-systemer som er klassifisert som høy risiko – typisk verktøy innen rekruttering, arbeidslivsovervåkning, kredittscoring eller tilgang til offentlige tjenester.
Fem triggere: når må du handle?
1. Systemet er klassifisert som høy risiko
Den viktigste triggeren er at KI-systemet faller inn under Annex III i forordningen. Har du gjort en triage og konkludert med høy risiko, er konsekvensvurdering neste steg.
2. Systemet påvirker grunnleggende rettigheter
Selv om et system ikke åpenbart er høyrisiko, bør du vurdere om det påvirker rettigheter som:
- Ikke-diskriminering
- Personvern og databeskyttelse
- Ytringsfrihet
- Rett til arbeid og rettferdige arbeidsvilkår
- Rett til effektivt rettsmiddel
3. Ny bruk av eksisterende system
Hvis dere endrer bruken av et KI-system – for eksempel utvider fra pilotfase til full drift, eller tar det i bruk på nye områder – bør dere gjennomføre en ny eller oppdatert vurdering.
4. Vesentlig oppdatering fra leverandør
Når leverandøren ruller ut en vesentlig oppdatering som endrer systemets funksjonalitet, treningsdata eller risikovurdering, bør dere vurdere om den eksisterende konsekvensvurderingen fortsatt er dekkende.
5. Endringer i kontekst
Endringer i virksomheten, organisasjonen eller den regulatoriske konteksten kan også utløse behov for oppdatering – for eksempel ny lovgivning, endrede arbeidsforhold eller nye brukergrupper.
Hva skiller FRIA fra DPIA?
Mange norske virksomheter er kjent med DPIA (Data Protection Impact Assessment) etter GDPR. Den nye konsekvensvurderingen for grunnleggende rettigheter (FRIA) har et bredere fokus:
| Aspekt | DPIA (GDPR) | FRIA (KI-forordningen) |
|---|---|---|
| Fokus | Personvern og databeskyttelse | Alle grunnleggende rettigheter |
| Trigger | Behandling med høy risiko for personvern | Bruk av høyrisiko-KI-system |
| Omfang | Databehandling | Systemets samlede innvirkning |
| Tilsynsorgan | Datatilsynet | Tilsynsmyndighet etter KI-forordningen |
| Regulering | GDPR artikkel 35 | KI-forordningen artikkel 27 |
I praksis overlapper de to vurderingene delvis, og det kan være effektivt å gjennomføre dem parallelt. Men FRIA-en dekker rettigheter som ikke fanges av en ren personvernvurdering – for eksempel retten til ikke-diskriminering i ansettelsesprosesser.
Hva bør vurderingen inneholde?
Artikkel 27 angir elementer som vurderingen bør dekke. Her er en praktisk gjennomgang:
A. Beskrivelse av bruken
- Hvilket KI-system brukes, og fra hvilken leverandør?
- Hva er formålet med bruken?
- Hvem bruker systemet internt (roller, avdelinger)?
- Hvem er berørte personer (ansatte, søkere, kunder)?
B. Berørte rettigheter
Identifiser hvilke grunnleggende rettigheter som kan påvirkes:
- Ikke-diskriminering: Kan systemet behandle grupper ulikt basert på kjønn, alder, etnisitet, funksjonsnedsettelse?
- Personvern: Hvilke personopplysninger behandles, og er det samsvar med GDPR?
- Arbeidsrettigheter: Påvirkes ansattes rett til rettferdige arbeidsvilkår?
- Rettssikkerhet: Har berørte mulighet til å klage på eller bestride avgjørelser?
C. Risikovurdering
For hvert identifisert risikoområde:
- Beskriv risikoen konkret.
- Vurder sannsynlighet og alvorlighetsgrad.
- Beskriv eksisterende tiltak som reduserer risikoen.
D. Tiltak og kontroller
- Menneskelig tilsyn: Hvem kontrollerer systemets output, og hvordan?
- Informasjon til berørte: Hvordan og når informeres de som påvirkes?
- Klagemekanisme: Hvordan kan berørte bestride resultater?
- Overvåkning: Hvordan følger dere med på at systemet fungerer som forutsatt over tid?
E. Konklusjon og godkjenning
- Samlet vurdering av akseptabel risiko.
- Beslutning om å ta systemet i bruk, med eventuelle vilkår.
- Navn og rolle til den som godkjenner vurderingen.
- Dato for neste planlagte gjennomgang.
Praktisk gjennomføring
Steg 1: Samle underlag
Innhent dokumentasjon fra leverandøren: bruksanvisning, teknisk dokumentasjon, leverandørens egen risikovurdering og eventuell samsvarserklæring. Bruk dette som grunnlag for din vurdering.
Steg 2: Involver riktige personer
En god konsekvensvurdering krever innspill fra flere:
- Fagansvarlig som kjenner den operative bruken.
- Personvernombud (DPO) for personvernaspektene.
- Tillitsvalgte/verneombud når ansatte er berørt.
- Juridisk rådgiver ved behov.
Steg 3: Dokumenter strukturert
Bruk en fast mal slik at vurderinger er sammenlignbare på tvers av systemer. Dokumenter både prosessen (hvem deltok, når, hvilke kilder) og konklusjonene.
Steg 4: Gjennomgå og oppdater
Sett en dato for neste gjennomgang. Typisk bør vurderingen oppdateres:
- Årlig som minimum.
- Ved vesentlige endringer i systemet eller bruken.
- Når ny informasjon tilsier det.
Steg 5: Gjør vurderingen tilgjengelig
Vurderingen skal kunne fremlegges for tilsynsmyndigheter. Oppbevar den sammen med øvrig KI-dokumentasjon i systemfilen.
Mal: minimumsstruktur for en konsekvensvurdering
KONSEKVENSVURDERING FOR GRUNNLEGGENDE RETTIGHETER
==================================================
1. SYSTEMINFORMASJON
Systemnavn:
Leverandør:
Versjon:
Dato for vurdering:
Utført av:
Godkjent av:
2. FORMÅL OG BRUK
Formål med KI-systemet:
Berørte persongrupper:
Bruksområde og omfang:
3. KLASSIFISERING
Risikoklasse:
Annex III-kategori (hvis aktuelt):
Begrunnelse:
4. BERØRTE RETTIGHETER
Ikke-diskriminering: [ ] Relevant [ ] Ikke relevant
Personvern: [ ] Relevant [ ] Ikke relevant
Arbeidsrettigheter: [ ] Relevant [ ] Ikke relevant
Rettssikkerhet: [ ] Relevant [ ] Ikke relevant
Andre rettigheter: [ ] Relevant [ ] Ikke relevant
For hver relevant rettighet:
- Beskrivelse av risiko:
- Sannsynlighet (lav/middels/høy):
- Alvorlighetsgrad (lav/middels/høy):
- Risikoreduserende tiltak:
5. TILTAK OG KONTROLLER
Menneskelig tilsyn:
Informasjon til berørte:
Klagemekanisme:
Overvåkning over tid:
6. KONKLUSJON
Samlet risikovurdering:
Beslutning:
Eventuelle vilkår:
Neste gjennomgang:
7. UNDERSKRIFT
Navn:
Rolle:
Dato:
Vanlige feil å unngå
- Kopiere leverandørens vurdering ukritisk. Leverandøren vurderer systemet generelt – du må vurdere din bruk av det.
- Glemme å involvere berørte. Tillitsvalgte og verneombud har rett til medvirkning etter norsk lov.
- Én vurdering for alle systemer. Hver bruk av et høyrisiko-system skal vurderes separat.
- Manglende oppdatering. En vurdering som er utdatert, gir liten beskyttelse.
- Forveksle DPIA og FRIA. En DPIA dekker ikke nødvendigvis alle grunnleggende rettigheter. Du kan trenge begge.
Videre lesning
- Klassifisering og regler (oversikt)
- Er dette verktøyet høy risiko? Praktisk triage for norske virksomheter
- Annex III forklart i klart språk (med HR-eksempler først)
- Skjult KI i SaaS: funksjoner dere kan bruke uten å tenke over det
- Eksempler: klassifisering av 10 vanlige HR- og produktivitetsverktøy
- Forbudte KI-praksiser: hva du bør forby internt og hvordan du fanger det opp
- Transparenskrav for begrenset risiko: når og hvordan må du informere?
Sist oppdatert
2026-02-02