Er dette verktøyet høy risiko? Praktisk triage for norske virksomheter

Mange norske virksomheter vet at KI-forordningen innfører risikoklasser, men er usikre på hvor egne verktøy havner. Denne artikkelen gir deg et praktisk beslutningstre som ender i konkrete dokumentasjonskrav for hvert nivå.

Tilbake til veilederen: KI-loven og KI-forordningen

Risikoklassene i KI-forordningen

KI-forordningen deler KI-systemer i fire risikonivåer – og nivået avgjør hvilke krav til dokumentasjon, transparens og kontroll som gjelder.

• Forbudt: Ikke tillatt å bruke
• Høyrisiko: Strenge krav (dokumentasjon, menneskelig tilsyn, m.m.)
• Begrenset risiko: Primært transparenskrav
• Minimal risiko: Få eller ingen særskilte krav

KI-forordningen opererer med fire nivåer:

Forbudt: KI-praksis som er forbudt uavhengig av kontekst. Eksempel: sosial scoring av ansatte.

Høyrisiko: KI-systemer som krever streng regulering og dokumentasjon. Eksempel: KI-basert rekruttering, kredittvurdering, biometri.

Begrenset risiko: KI-systemer med transparenskrav. Eksempel: chatboter som må merkes som KI.

Minimal risiko: KI-systemer uten spesifikke krav. Eksempel: stavekontroll, spamfilter.

Beslutningstreet: Steg for steg

Steg 1: Er det KI i det hele tatt?

Før du klassifiserer, avklar om verktøyet faktisk inneholder KI etter forordningens definisjon.

Spørsmål å stille:

• Bruker systemet maskinlæring, dyplæring eller lignende?
• Tilpasser systemet seg basert på data over tid?
• Gir leverandøren markedsføring som nevner AI, KI, maskinlæring?
• Treffer systemet beslutninger eller gir anbefalinger basert på dataanalyse?

Hvis nei på alle: Systemet er sannsynligvis ikke et KI-system etter forordningen. Dokumenter vurderingen og gå videre.

Hvis ja på ett eller flere: Fortsett til steg 2.

Grensetilfeller:

Noen systemer er vanskelige å klassifisere. Regelbaserte systemer uten læringskomponent faller normalt utenfor, men det finnes gråsoner. Dokumenter din vurdering uansett.

Steg 2: Er bruken forbudt?

Sjekk om din planlagte bruk faller inn under forbudt praksis:

SJEKK FOR FORBUDT PRAKSIS
=========================

[ ] Sosial scoring av personer (rangering basert på sosial oppførsel)
[ ] Utnyttelse av sårbarhet (alder, funksjonsnedsettelse, etc.)
[ ] Manipulasjon utover personens bevissthet
[ ] Sanntids biometrisk fjernidentifisering i offentlig rom
    (med unntak for alvorlig kriminalitet)
[ ] Emosjonell gjenkjenning på arbeidsplass eller utdanning
    (med mindre for sikkerhet/helse)
[ ] KI som infererer rase, politisk orientering, religion
    fra biometri
[ ] Indiskriminerende ansiktsdatabaser (scraping)
[ ] Prediktivt politiarbeid basert utelukkende på profilering

Resultat:
[ ] Ingen avkryssing → Gå til steg 3
[ ] Én eller flere avkryssinger → STOPP - Denne bruken er forbudt

Steg 3: Er det et høyrisikosystem?

Høyrisiko-klassifiseringen følger to veier:

Vei A: Sikkerhetsprodukter (Annex I)

Systemet er høyrisiko hvis det er et sikkerhetsprodukt eller sikkerhetskomponent i et produkt som krever tredjepartsvurdering (medisinsk utstyr, maskiner, leketøy, etc.).

Vei B: Annex III-bruksområder

Systemet er høyrisiko hvis det brukes innenfor et av bruksområdene i Annex III:

SJEKK FOR ANNEX III - HØYRISIKO
================================

ANSETTELSE OG ARBEID
[ ] Rekruttering og screening av søkere
[ ] Beslutning om ansettelse
[ ] Beslutning om forfremmelse eller oppsigelse
[ ] Fordeling av oppgaver basert på individuell atferd
[ ] Overvåking og evaluering av arbeidsprestasjoner

UTDANNING
[ ] Opptak til utdanningsinstitusjoner
[ ] Vurdering av elever/studenter
[ ] Tilpasning av opplæringsnivå

TILGANG TIL TJENESTER
[ ] Kredittvurdering
[ ] Livsforsikring og helseforsikring
[ ] Nødtjenester (prioritering)
[ ] Offentlige ytelser (tildeling/avslag)

RETTSHÅNDHEVELSE
[ ] Risikovurdering av kriminalitet
[ ] Løgndetektor/emosjonsvurdering
[ ] Bevisvurdering

MIGRASJON OG GRENSEKONTROLL
[ ] Asylsøknader
[ ] Reisedokumenter
[ ] Irregulær migrasjon

DEMOKRATISKE PROSESSER
[ ] Påvirkning av stemmegivning

BIOMETRI
[ ] Biometrisk identifikasjon (fjern, ikke sanntid)
[ ] Emosjonell gjenkjenning
[ ] Biometrisk kategorisering

KRITISK INFRASTRUKTUR
[ ] Trafikkstyring
[ ] Vannforsyning, elektrisitet, gass
[ ] Digital infrastruktur

Resultat:
[ ] Ingen avkryssing → Gå til steg 4
[ ] Én eller flere avkryssinger → Sannsynligvis høyrisiko
    (men sjekk unntak i steg 3b)

Steg 3b: Gjelder unntaket?

Et Annex III-system er likevel IKKE høyrisiko hvis det ikke utgjør en vesentlig risiko for helse, sikkerhet eller grunnleggende rettigheter. Dette gjelder hvis systemet:

• Utfører en snever prosedyreoppgave
• Forbedrer resultatet av en allerede utført menneskelig aktivitet
• Oppdager beslutingsmønstre uten å erstatte menneskelig vurdering
• Utfører en forberedende oppgave

Viktig: Dette unntaket kan ikke brukes for systemer som profilerer personer. Og leverandøren må dokumentere at unntaket gjelder.

Steg 4: Har det transparenskrav?

Hvis systemet ikke er høyrisiko, sjekk om det har transparenskrav:

SJEKK FOR TRANSPARENSKRAV
=========================

[ ] Chatbot eller dialogsystem som interagerer med mennesker
[ ] Systemer som genererer innhold (tekst, bilde, lyd, video)
[ ] Systemer for emosjonell gjenkjenning
[ ] Systemer for biometrisk kategorisering
[ ] Systemer som genererer deepfakes

Resultat:
[ ] Én eller flere avkryssinger → Begrenset risiko (transparenskrav)
[ ] Ingen avkryssing → Minimal risiko

Dokumentasjonskrav per nivå

Forbudt: Ikke bruk systemet

Dokumenter at du har vurdert systemet og konkludert med at bruken er forbudt. Avvikle eventuell eksisterende bruk.

Høyrisiko: Full dokumentasjon

DOKUMENTASJONSKRAV - HØYRISIKO
==============================

FØR INNFØRING
[ ] Egen klassifiseringsvurdering med begrunnelse
[ ] Leverandørens samsvarserklæring
[ ] Risikovurdering (egen)
[ ] Personvernkonsekvensvurdering (DPIA)
[ ] Bruksanvisning fra leverandør gjennomgått
[ ] Drøfting med tillitsvalgte (referat)
[ ] Rutine for menneskelig tilsyn
[ ] Informasjon til berørte utarbeidet
[ ] Opplæringsplan for brukere

UNDER BRUK
[ ] Logger aktivert og kontrollert
[ ] Menneskelig tilsyn utøves og dokumenteres
[ ] Hendelser rapporteres
[ ] Periodisk overvåking av ytelse
[ ] Informasjon til berørte gitt

VED ENDRINGER
[ ] Ny vurdering ved vesentlige endringer
[ ] Oppdatert dokumentasjon
[ ] Ny drøfting ved behov

Begrenset risiko: Transparenskrav

DOKUMENTASJONSKRAV - BEGRENSET RISIKO
=====================================

[ ] Klassifiseringsvurdering med begrunnelse
[ ] Merking av systemet (brukere vet at de interagerer med KI)
[ ] Merking av generert innhold (der relevant)
[ ] Informasjon til berørte

Minimal risiko: Grunnleggende dokumentasjon

DOKUMENTASJONSKRAV - MINIMAL RISIKO
====================================

[ ] Klassifiseringsvurdering med begrunnelse
[ ] Registrering i oversikt over KI-systemer (anbefalt)

Eksempler fra norske virksomheter

Eksempel 1: CRM med KI-scoring

Verktøy: CRM-system som gir leadscore basert på kundeadferd

Triage:

• Inneholder KI? Ja (maskinlæring for scoring)
• Forbudt? Nei
• Annex III? Nei (salg er ikke et listet bruksområde)
• Transparenskrav? Nei (ikke chatbot eller innholdsgenerering)
• Resultat: Minimal risiko

Krav: Dokumenter klassifiseringen. Anbefalt å ha grunnleggende oversikt.

Eksempel 2: Rekrutteringssystem med CV-screening

Verktøy: System som rangerer CV-er mot stillingsutlysning

Triage:

• Inneholder KI? Ja (NLP/ML for analyse)
• Forbudt? Nei
• Annex III? Ja (rekruttering og screening av søkere)
• Unntak? Nei (profilerer personer)
• Resultat: Høyrisiko

Krav: Full dokumentasjon, samsvarserklæring fra leverandør, menneskelig tilsyn, DPIA, drøfting med tillitsvalgte.

Eksempel 3: Intern chatbot for IT-support

Verktøy: Chatbot som svarer ansatte på IT-spørsmål

Triage:

• Inneholder KI? Ja (NLP-basert dialog)
• Forbudt? Nei
• Annex III? Nei (IT-support er ikke listet)
• Transparenskrav? Ja (dialogsystem som interagerer med mennesker)
• Resultat: Begrenset risiko

Krav: Merk tydelig at det er en KI-chatbot, ikke et menneske.

Eksempel 4: Vaktplanlegger med KI-optimering

Verktøy: System som optimerer vaktplaner basert på kompetanse og tilgjengelighet

Triage:

• Inneholder KI? Ja (optimeringsalgoritme med ML)
• Forbudt? Nei
• Annex III? Mulig (fordeling av oppgaver basert på individuell atferd)
• Unntak? Mulig (forbedrer menneskelig aktivitet, endelig plan godkjennes av leder)
• Resultat: Krever nærmere vurdering. Dokumenter grundig.

Anbefaling: Vurder konservativt. Hvis du er usikker, behandle som høyrisiko.

Eksempel 5: Oversettelsesverktøy

Verktøy: KI-basert oversettelse av dokumenter

Triage:

• Inneholder KI? Ja (nevrale oversettelsesmodeller)
• Forbudt? Nei
• Annex III? Nei
• Transparenskrav? Mulig (genererer innhold)
• Resultat: Minimal/begrenset risiko

Krav: Merk oversatte dokumenter som KI-generert der det er relevant.

Mal for klassifiseringsvurdering

KLASSIFISERINGSVURDERING
========================

System: [Systemnavn]
Leverandør: [Leverandørnavn]
Dato: [Dato]
Vurdert av: [Navn og rolle]

STEG 1: KI-INNHOLD
-------------------
Inneholder systemet KI? [Ja/Nei]
Begrunnelse: [Kort forklaring]
Kilde: [Leverandørdokumentasjon / Egen vurdering / Begge]

STEG 2: FORBUDT PRAKSIS
------------------------
Berører bruken forbudt praksis? [Ja/Nei]
Sjekkliste gjennomgått: [Dato]

STEG 3: HØYRISIKO
------------------
Faller bruken inn under Annex III? [Ja/Nei]
Hvis ja, hvilket punkt: [Referanse]
Gjelder unntaket? [Ja/Nei/Ikke relevant]
Begrunnelse for unntaksvurdering: [Hvis relevant]

STEG 4: TRANSPARENSKRAV
------------------------
Har systemet transparenskrav? [Ja/Nei]
Hvis ja, hvilke: [Spesifiser]

KONKLUSJON
----------
Risikoklasse: [Forbudt/Høyrisiko/Begrenset/Minimal]
Dokumentasjonskrav: [Referanse til kravliste]

GODKJENNING
-----------
Godkjent av: [Navn og rolle]
Dato: [Dato]

NESTE REVISJON
--------------
Planlagt revisjon: [Dato]
Trigger for ny vurdering: [Vesentlige endringer i bruk eller system]

Tips for klassifiseringen

Når du er usikker

• Vurder konservativt: Bedre å dokumentere for mye enn for lite
• Spør leverandøren: De bør ha vurdert klassifiseringen
• Vurder faktisk bruk: Din bruk kan gi annen klassifisering enn leverandørens tiltenkte bruk
• Dokumenter tvilen: Vis at du har vurdert grundig, selv om konklusjonen er usikker

Når klassifiseringen endrer seg

Klassifiseringen kan endre seg hvis:

• Du endrer bruken av systemet
• Leverandøren endrer funksjonaliteten
• Du utvider til nye bruksområder
• Regelverket presiseres

Revurder jevnlig, minimum årlig.

Videre lesning

• Klassifisering og regler
• Annex III forklart i klart språk
• Rekrutterings-AI: risiko, dokumentasjon og beste praksis
• Gjelder forordningen hvis du bare kjøper programvare?
• Slik strukturerer du KI-systemfil

Sist oppdatert

2026-02-05