Endringsstyring når KI-funksjoner oppdateres i SaaS: hva må trigge ny vurdering?

SaaS-produkter oppdateres kontinuerlig, og KI-funksjonalitet kan endre seg uten at du merker det. Noen endringer er ufarlige, andre kan påvirke risikoklassifiseringen og kreve at du gjør vurderinger på nytt. Denne artikkelen hjelper deg med å etablere en enkel prosess for å håndtere endringer.

Hvorfor endringsstyring er viktig

KI-systemer endres oftere enn tradisjonell programvare

KI-modeller kan oppdateres, trenes på nytt, eller få ny funksjonalitet. I SaaS skjer dette ofte uten at du aktivt må gjøre noe.

Endringer kan påvirke klassifiseringen

En endring i hvordan KI-komponenten fungerer kan endre risikoklassen. Et system som var lavrisiko kan bli høyrisiko, eller omvendt.

Du har ansvar for din bruk

Selv om leverandøren gjør endringen, har du som deployer ansvar for å vurdere hvordan den påvirker din bruk og etterlevelse.

Hvilke endringer må trigge ny vurdering?

Endringer som alltid krever vurdering

Disse endringene bør alltid utløse en gjennomgang:

Ny KI-funksjonalitet:

Nye funksjoner som bruker KI
Eksisterende funksjoner som får KI-støtte
Aktivering av KI-funksjoner som tidligere var deaktivert

Endringer i KI-modellen:

Ny versjon av underliggende modell
Endring i treningsdata eller -metode
Vesentlig endring i modellens oppførsel

Endringer i bruksområde:

Funksjonen kan nå brukes til nye formål
Nye datatyper kan behandles
Nye brukergrupper får tilgang

Endringer i output:

Systemet gir nye typer anbefalinger
Output brukes på nye måter
Automatiseringsgrad endres

Endringer som bør vurderes

Disse bør gjennomgås, men krever ikke nødvendigvis full ny vurdering:

Ytelsesforbedringer i eksisterende funksjonalitet
Feilrettinger som ikke endrer funksjonaliteten
Grensesnittendringer uten funksjonelle endringer
Endringer i underleverandører for KI-komponenten

Endringer som normalt ikke krever vurdering

Rent kosmetiske endringer
Ytelsesoptimalisering uten funksjonelle endringer
Sikkerhetspatcher som ikke påvirker KI-funksjonaliteten

Prosess for endringshåndtering

Steg 1: Motta varsel

Etabler rutine for å fange opp endringsvarsel:

Fra leverandøren:

Abonner på utgivelsesnotater og nyhetsbrev
Sjekk leverandørens statusside
Be om direkte varsling av vesentlige endringer

Internt:

Utpek ansvarlig for å følge med
Sett opp kalenderpåminnelse for regelmessig sjekk
Dokumenter alle varsler som mottas

Steg 2: Kategoriser endringen

Når du blir kjent med en endring, vurder:

ENDRINGSKATEGORISERING
======================

Endring: [Beskrivelse]
Dato mottatt: [Dato]
Kilde: [Hvor du fikk vite om endringen]

Kategori:
[ ] Ny KI-funksjonalitet
[ ] Endring i eksisterende KI
[ ] Endring i bruksområde
[ ] Endring i output
[ ] Annet: [Spesifiser]

Vurdering påkrevd:
[ ] Ja - full gjennomgang
[ ] Ja - begrenset gjennomgang
[ ] Nei - kun dokumenter

Steg 3: Gjennomfør vurdering

Hvis vurdering er påkrevd:

For vesentlige endringer:

Oppdater klassifiseringsvurdering
Vurder om risikoklassen endres
Oppdater risikovurdering hvis relevant
Vurder behov for ny drøfting med tillitsvalgte
Oppdater informasjon til berørte hvis nødvendig

For mindre endringer:

Dokumenter endringen og din vurdering
Oppdater systemfilen med ny versjonsinformasjon
Vurder om rutiner må justeres

Steg 4: Dokumenter beslutningen

Uansett utfall, dokumenter:

ENDRINGSVURDERING
=================

Endring: [Beskrivelse]
Vurderingsdato: [Dato]
Vurdert av: [Navn]

Konklusjon:
[ ] Ingen endring i klassifisering eller rutiner
[ ] Klassifisering oppdatert
[ ] Risikovurdering oppdatert
[ ] Rutiner justert
[ ] Andre tiltak: [Spesifiser]

Begrunnelse:
[Kort forklaring av konklusjonen]

Neste steg:
[Eventuelle oppfølgingstiltak]

Steg 5: Oppdater dokumentasjon

Etter vurderingen:

Oppdater systemfilen med ny versjon og endringer
Arkiver vurderingsdokumentet
Oppdater endringsloggen
Kommuniser internt hvis relevant

Endringslogg

Hold en løpende logg over alle endringer:

ENDRINGSLOGG - [SYSTEMNAVN]
===========================

Dato       | Endring           | Kategori | Vurdering    | Status
-----------|-------------------|----------|--------------|--------
2026-02-01 | Ny scoring-modell | KI-model | Full         | Avsluttet
2026-01-15 | UI-oppdatering    | Annet    | Ikke påkrevd | Dokumentert
2025-12-01 | Ny rapportfunksjon| Ny KI    | Full         | Avsluttet

Avtale med leverandøren

Krav til varsling

I avtalen med leverandøren, sikre:

Skriftlig varsel om vesentlige endringer
Rimelig varslingstid (minimum 30 dager for vesentlige endringer)
Tilstrekkelig informasjon til å vurdere endringen
Mulighet for å avslutte ved uakseptable endringer

Definisjon av vesentlige endringer

Avtal hva som regnes som vesentlig:

Ny eller endret KI-funksjonalitet
Endring i underliggende modell
Endring i databehandling
Endring i underleverandører
Endring som kan påvirke risikoklassifisering

Når du ikke får varsel

Hvis leverandøren ikke varsler om endringer:

Oppdager du endringen selv: Dokumenter hva du observerte og når
Kontakt leverandøren: Be om forklaring og dokumentasjon
Gjør egen vurdering: Basert på det du vet
Dokumenter manglende varsling: Dette er et rødt flagg

Årlig gjennomgang

I tillegg til løpende endringshåndtering, gjør en årlig gjennomgang:

Har det vært endringer du ikke fanget opp?
Er klassifiseringen fortsatt korrekt?
Fungerer rutinene for endringsvarsling?
Må avtalen med leverandøren justeres?

Triggerliste for rask vurdering

Bruk denne listen for rask avgjørelse om vurdering er påkrevd:

TRIGGER: NY VURDERING PÅKREVD?
==============================

[ ] Ny KI-funksjon lagt til → JA
[ ] KI-modell byttet eller oppdatert vesentlig → JA
[ ] Nye datatyper behandles → JA
[ ] Ny type output/anbefalinger → JA
[ ] Automatiseringsgrad økt → JA
[ ] Nye brukergrupper → VURDER
[ ] Ytelsesforbedring uten funksjonell endring → NEI
[ ] Feilretting uten funksjonell endring → NEI
[ ] Kosmetisk endring → NEI

Videre lesning

Sist oppdatert

2026-02-04