Kiloven
Kontakt

Ansvar mellom leverandør og bruker: hva må du dokumentere uansett?

KI-forordningen skiller tydelig mellom leverandøren (provider) som utvikler systemet, og brukeren (deployer) som tar det i bruk. Begge har plikter, og som deployer kan du ikke overlate alt til leverandøren. Denne artikkelen forklarer ansvarsfordelingen og gir deg en konkret liste over hva du må dokumentere selv.

Rollene i KI-forordningen

Provider (leverandør)

Provider er den som utvikler, trener eller markedsfører et KI-system. Leverandøren har ansvar for:

  • Å sikre at systemet teknisk oppfyller kravene i forordningen
  • Å gjennomføre samsvarsvurdering for høyrisikosystemer
  • Å utstede samsvarserklæring
  • Å tilby bruksanvisning og teknisk dokumentasjon
  • Å varsle om vesentlige endringer i systemet

Deployer (bruker)

Deployer er den som tar KI-systemet i bruk i sin virksomhet. Som deployer har du ansvar for:

  • Å bruke systemet i tråd med leverandørens instruksjoner
  • Å sikre relevant input og datakvalitet
  • Å informere berørte personer om at KI brukes
  • Å sikre menneskelig tilsyn der dette kreves
  • Å overvåke systemet og rapportere hendelser

Ansvaret kan ikke overføres fullt ut

Selv om leverandøren har hovedansvaret for at systemet er bygget riktig, kan du ikke bare peke på leverandøren hvis noe går galt. Dine plikter som deployer må du oppfylle selv, uavhengig av hva leverandøren lover eller dokumenterer.

Hva leverandøren skal levere

For alle KI-systemer

Leverandøren bør kunne gi deg:

  • Bekreftelse på at produktet inneholder KI
  • Grunnleggende informasjon om hvordan KI-funksjonaliteten fungerer
  • Bruksanvisning og eventuelle begrensninger
  • Informasjon om databehandling

For høyrisikosystemer

I tillegg skal leverandøren gi:

  • Samsvarserklæring (Declaration of Conformity)
  • Bruksanvisning med detaljerte krav til menneskelig tilsyn
  • Informasjon om systemets ytelse og begrensninger
  • Teknisk dokumentasjon (ofte sammendrag)
  • Loggfunksjonalitet som muliggjør sporbarhet

Hva du må dokumentere selv - uansett

Uavhengig av hva leverandøren gir deg, må du selv dokumentere følgende:

1. Egen klassifiseringsvurdering

Du må gjøre din egen vurdering av risikoklassen basert på faktisk bruk.

Hvorfor: Leverandørens vurdering er basert på tiltenkt bruk. Din bruk kan være annerledes.

Dokumenter:

  • Hvilken risikoklasse du mener systemet har
  • Begrunnelse basert på din faktiske bruk
  • Dato og hvem som gjorde vurderingen

2. Formål og bruksområde

Du må dokumentere hvorfor og hvordan du bruker systemet.

Hvorfor: Bare du vet hva du faktisk bruker systemet til.

Dokumenter:

  • Hva systemet brukes til i din virksomhet
  • Hvilke prosesser det inngår i
  • Hvilke beslutninger det bidrar til

3. Hvem som berøres

Du må identifisere og dokumentere hvem som påvirkes av systemet.

Hvorfor: Leverandøren vet ikke hvem dine ansatte, kunder eller andre berørte er.

Dokumenter:

  • Hvilke grupper som berøres (ansatte, kunder, søkere, etc.)
  • Hvordan de berøres
  • Eventuell sårbarhet hos berørte grupper

4. Informasjon til berørte

Du må dokumentere at berørte er informert.

Hvorfor: Dette er din kommunikasjon med dine berørte, ikke leverandørens.

Dokumenter:

  • Hva som er kommunisert
  • Hvordan og når
  • Bevis på at informasjon er gitt (skjermbilder, maler, etc.)

5. Menneskelig tilsyn

For høyrisikosystemer må du dokumentere hvordan menneskelig tilsyn sikres.

Hvorfor: Leverandøren kan tilby verktøy, men tilsynet må du utføre selv.

Dokumenter:

  • Hvem som har tilsynsansvar
  • Hvordan tilsyn faktisk utføres
  • Rutine for å overprøve KI-anbefalinger
  • Logg over tilsyn og beslutninger

6. Intern opplæring

Du må dokumentere at brukere er tilstrekkelig opplært.

Hvorfor: Opplæring av dine ansatte er ditt ansvar.

Dokumenter:

  • Hvem som er opplært
  • Hva opplæringen omfatter
  • Når opplæring ble gjennomført

7. Overvåking og hendelser

Du må dokumentere hvordan du overvåker systemet.

Hvorfor: Du er nærmest til å oppdage problemer i din bruk.

Dokumenter:

  • Hvordan du følger med på systemets funksjon
  • Eventuelle hendelser og hvordan de ble håndtert
  • Varsling til leverandør ved problemer

8. Medvirkning og drøfting

For systemer som berører ansatte, må du dokumentere involvering av ansatterepresentanter.

Hvorfor: Drøfting med tillitsvalgte er ditt ansvar som arbeidsgiver.

Dokumenter:

  • At drøfting er gjennomført
  • Innspill fra tillitsvalgte
  • Hvordan innspill er håndtert

Sjekkliste: Ditt dokumentasjonsminimum

Bruk denne sjekklisten for å sikre at du har det du trenger:

DEPLOYER-DOKUMENTASJON
======================

[ ] Egen klassifiseringsvurdering med begrunnelse
[ ] Beskrivelse av formål og faktisk bruk
[ ] Oversikt over berørte personer/grupper
[ ] Dokumentasjon av informasjon til berørte
[ ] Rutine for menneskelig tilsyn (høyrisiko)
[ ] Logg over tilsyn og beslutninger (høyrisiko)
[ ] Dokumentasjon av opplæring
[ ] Rutine for overvåking og hendelseshåndtering
[ ] Referat fra drøfting med tillitsvalgte (der relevant)
[ ] Intern ansvarlig utpekt og dokumentert

Vanlig misforståelse: "Leverandøren har alt"

Hva mange tror

"Leverandøren har samsvarserklæring og dokumentasjon, så vi er dekket."

Hva som faktisk gjelder

Leverandørens dokumentasjon dekker deres ansvar. Din dokumentasjon må dekke ditt ansvar. Disse overlapper delvis, men er ikke identiske.

Praktisk eksempel

Leverandøren dokumenterer at rekrutteringssystemet teknisk fungerer som tiltenkt. Du må dokumentere:

  • At du har vurdert det som høyrisiko i din kontekst
  • Hvordan du informerer kandidater
  • Hvem som gjennomgår KI-anbefalinger før beslutning
  • At du har drøftet systemet med tillitsvalgte

Når leverandøren ikke leverer

Hvis leverandøren ikke gir deg nødvendig dokumentasjon:

  1. Dokumenter forespørselen: Behold kopi av hva du har bedt om
  2. Dokumenter manglene: Noter hva du ikke har fått
  3. Vurder risikoen: Kan du oppfylle dine plikter uten denne informasjonen?
  4. Ta en beslutning: Dokumenter om du fortsetter, og hvorfor

Ansvar ved endringer

Når leverandøren oppdaterer systemet:

  • Leverandøren har ansvar for å varsle om vesentlige endringer
  • Du har ansvar for å vurdere om endringen påvirker din klassifisering og bruk
  • Du har ansvar for å oppdatere din dokumentasjon

Videre lesning

Sist oppdatert

2026-02-04