Kiloven
Kontakt

Hvilke dokumenter be om og lagre

Effektiv leverandørvurdering handler ikke bare om å stille spørsmål. Du må også samle inn, lagre og vedlikeholde dokumentasjon som kan vises frem ved tilsyn eller revisjon. Denne artikkelen gir deg en konkret oversikt over hvilke dokumenter du bør be om og hvordan du organiserer dem.

Dokumenter du bør be om fra leverandøren

Teknisk dokumentasjon

Systembeskrivelse

En forståelig beskrivelse av hva systemet gjør, hvordan det fungerer på et overordnet nivå, og hvilke begrensninger det har. Dette bør inkludere informasjon om hvilke typer input systemet håndterer og hvordan output genereres.

Bruksanvisning

Instruksjoner for hvordan systemet skal brukes, inkludert advarsler om feilbruk og beskrivelse av tiltenkte bruksområder.

Tekniske spesifikasjoner

For høyrisikosystemer bør du ha tilgang til mer detaljert informasjon om systemets arkitektur, treningsdata og ytelsesmålinger.

Samsvarsdokumentasjon

Risikoklassifisering

Skriftlig begrunnelse for hvilken risikoklasse leverandøren mener systemet tilhører, og hvorfor.

Samsvarserklæring (EU Declaration of Conformity)

For høyrisikosystemer skal leverandøren kunne fremvise en formell samsvarserklæring.

CE-merking

Dokumentasjon av eventuell CE-merking med referanse til relevante standarder.

Databehandlingsdokumentasjon

Databehandleravtale

Avtale som regulerer hvordan leverandøren behandler personopplysninger på dine vegne.

Oversikt over dataflyt

Beskrivelse av hvor data behandles og lagres, hvem som har tilgang, og hvordan data beskyttes.

Informasjon om sub-leverandører

Liste over eventuelle underleverandører som behandler data, med beskrivelse av deres rolle.

Endrings- og versjonsdokumentasjon

Versjonshistorikk

Oversikt over vesentlige endringer i systemet over tid.

Endringslogg

Dokumentasjon av når endringer ble gjennomført og hva de innebar.

Rutine for varsling

Beskrivelse av hvordan du vil bli varslet om fremtidige endringer.

Dokumenter du produserer selv

Vurderingsdokumentasjon

Egen risikovurdering

Din virksomhets vurdering av systemets risikoklasse basert på faktisk bruk. Denne kan avvike fra leverandørens vurdering.

Formålsbeskrivelse

Dokumentasjon av hva du bruker systemet til og hvorfor.

Forholdsmessighetsvurdering

Analyse av om bruken er nødvendig og forholdsmessig, særlig relevant for HR-systemer.

Beslutningsdokumentasjon

Anskaffelsesbeslutning

Dokumentasjon av hvem som besluttet å ta systemet i bruk, og på hvilket grunnlag.

Godkjenning av risikoaksept

For systemer med identifisert risiko bør det dokumenteres hvem som aksepterte risikoen og hvilke tiltak som eventuelt ble iverksatt.

Driftsdokumentasjon

Brukerliste

Oversikt over hvem som har tilgang til å bruke systemet.

Opplæringsdokumentasjon

Dokumentasjon av at brukere har fått nødvendig opplæring.

Hendelseslogg

Logg over avvik, feil eller hendelser knyttet til systemet.

Hvordan organisere dokumentasjonen

Én mappe per system

Opprett en dedikert mappe eller systemfil for hvert KI-system. Denne bør inneholde all relevant dokumentasjon samlet.

Tydelig versjonskontroll

Bruk datering og versjonsnummerering på alle dokumenter. Når du mottar oppdatert dokumentasjon fra leverandøren, behold også tidligere versjoner.

Kobling mellom dokumenter

Opprett en oversikt som viser sammenhengen mellom dokumentene. For eksempel bør vurderinger referere til den tekniske dokumentasjonen de er basert på.

Regelmessig gjennomgang

Sett en rutine for årlig gjennomgang av dokumentasjonen. Sjekk at alt er oppdatert og at dokumentasjonen reflekterer faktisk bruk.

Minimum dokumentasjonspakke

For et typisk KI-system i en norsk SMB bør du som minimum ha:

  1. Systembeskrivelse fra leverandør
  2. Bruksanvisning
  3. Skriftlig risikoklassifisering fra leverandør
  4. Databehandleravtale
  5. Egen vurdering av risikoklasse og bruksformål
  6. Dokumentasjon av hvem som bruker systemet
  7. Logg over mottatt dokumentasjon med dato

Videre lesning

Sist oppdatert

2026-02-02