Leverandørvurdering av KI

Når virksomheten tar i bruk KI-systemer fra eksterne leverandører, oppstår et delt ansvar. EU KI-forordningen plasserer plikter både hos tilbyder (provider) og bruker (deployer), og som deployer må du kunne dokumentere at du har gjort forsvarlige vurderinger.

Leverandørvurdering handler om å sikre at du får nødvendig informasjon, stiller de riktige spørsmålene, og har kontraktsvilkår som støtter etterlevelse over tid.

Hvorfor leverandørvurdering er viktig

Mange norske virksomheter kjøper KI-funksjonalitet som del av større systemer. HR-verktøy, CRM-løsninger og analyseplattformer kan inneholde KI-komponenter uten at dette er tydelig kommunisert.

Du som deployer har plikter uavhengig av hva leverandøren gjør. Du kan ikke peke på leverandøren hvis tilsynsmyndigheter spør om dokumentasjon du ikke har innhentet.

Hva bør vurderingen dekke?

En systematisk leverandørvurdering bør typisk omfatte:

• Klassifisering – Er systemet høyrisiko, og i så fall for hvilke bruksområder?
• Dokumentasjon – Kan leverandøren levere teknisk dokumentasjon og risikovurderinger?
• Transparens – Forklarer leverandøren hvordan systemet fungerer på en forståelig måte?
• Databehandling – Hvordan håndteres data, og hvem har tilgang?
• Oppdateringer – Hvordan varsles du om endringer i modellen eller funksjonaliteten?

Vanlige problemer

Virksomheter som gjennomfører leverandørvurderinger støter ofte på utfordringer:

• Leverandøren kan ikke eller vil ikke dele teknisk dokumentasjon
• Svar på spørsmål er vage eller standardiserte uten substans
• Kontrakten sier lite om KI-spesifikke forpliktelser
• Endringer i systemet skjer uten varsel til kunden

Røde flagg

Noen signaler bør få varsellampene til å blinke:

• Leverandøren hevder at KI-forordningen ikke gjelder uten å begrunne det
• Dokumentasjon er utilgjengelig eller krever omfattende tilleggsavtaler
• Leverandøren kan ikke forklare hvordan modellen er trent eller validert
• Kontrakten inneholder brede ansvarsfraskrivelser

Dokumentasjon og sporbarhet

Det holder ikke å gjøre vurderinger muntlig eller i e-posttråder som forsvinner. For å være forberedt på tilsyn bør du lagre svar fra leverandøren strukturert, dokumentere hvilke spørsmål som ble stilt, og notere vurderinger som ble tatt.

Del av veilederen

Denne siden er del av vår praktiske veileder til KI-loven og KI-forordningen.

Videre lesning

• Slik gjør du leverandørvurdering
• Nøkkelspørsmål til KI-leverandør
• Hvilke dokumenter be om og lagre
• Ansvar mellom provider og deployer
• Hvorfor Excel og e-post ikke holder
• Når leverandør nekter å dele dokumentasjon
• Røde flagg i leverandørsvar
• Kontraktsklausuler for KI-SaaS
• Endringsstyring ved KI-oppdateringer

Sist oppdatert

2026-02-05