Hvorfor Excel og e-post ikke holder til KI-leverandørkontroll

Mange virksomheter starter leverandørkontroll med de verktøyene de allerede har: et regneark med leverandørnavn, noen e-poster med svar på spørsmål, og kanskje en mappe på fellesområdet med diverse PDF-er. Dette fungerer til hverdags, men holder sjelden ved revisjon eller tilsyn. Denne artikkelen forklarer hvorfor, og gir deg et praktisk opplegg for å strukturere leverandørkontrollen.

Hva tilsynet faktisk spør om

Når Datatilsynet, Arbeidstilsynet eller en revisor ber om dokumentasjon på KI-leverandørkontroll, ser de etter:

Sporbarhet: Kan du vise hvem som vurderte hva, og når?
Fullstendighet: Er alle relevante leverandører dekket?
Aktualitet: Er vurderingene oppdatert?
Konsistens: Bruker dere samme kriterier for alle leverandører?
Tilgjengelighet: Kan dokumentasjonen fremvises raskt?

Et regneark med leverandørnavn og noen e-poster i innboksen svarer sjelden godt på disse spørsmålene.

Typiske problemer med ad hoc-tilnærmingen

Spredt informasjon

Informasjon om én leverandør ligger typisk:

I innboksen til den som stilte spørsmålene
I et regneark som kanskje er oppdatert
I en mappe som noen opprettet for to år siden
I kontrakten som juridisk har arkivert
I hodet til den som gjorde vurderingen

Når tilsynet ber om dokumentasjon, må du samle alt dette. Det tar tid, og du risikerer å glemme noe.

Ingen versjonskontroll

Når du oppdaterer et regneark, forsvinner den gamle versjonen. Du kan ikke dokumentere:

Hva vurderingen var før leverandøren oppdaterte produktet
Hvem som endret hva
Når endringer ble gjort

Ingen standardisering

Uten fast struktur vurderer ulike personer leverandører ulikt:

Noen stiller ti spørsmål, andre stiller to
Noen dokumenterer grundig, andre noterer bare "OK"
Noen lagrer svar, andre sletter e-poster

Avhengighet av enkeltpersoner

Når den som "eier" leverandørforholdet slutter, forsvinner ofte kunnskapen. E-postene ligger i deres innboks, notatene i deres notisblokk.

Manglende oppfølging

Uten systematikk er det lett å glemme:

Å følge opp leverandører som ikke svarte
Å revurdere når leverandøren oppdaterer
Å sjekke om forutsetningene fortsatt stemmer

Hva tilsynet vil påpeke

Ved tilsyn eller revisjon vil ad hoc-tilnærmingen typisk føre til merknader som:

"Dokumentasjon mangler for X leverandører"
"Vurderingene er ikke datert"
"Det er uklart hvem som har gjort vurderingen"
"Vurderingskriteriene er ikke dokumentert"
"Det mangler oppfølging av identifiserte risikoer"
"Dokumentasjonen er ikke tilgjengelig for relevante roller"

Fra spredt evidens til strukturert kontroll

Minimumskrav til struktur

For å bestå revisjon trenger du:

1. Én kilde til sannhet

All leverandørinformasjon må samles ett sted. Dette kan være:

En dedikert mappe med fast struktur
Et enkelt system for leverandørstyring
En SharePoint-side med definert oppsett

2. Fast mal for vurdering

Bruk samme spørsmål og vurderingskriterier for alle leverandører. Dokumenter:

Hvilke spørsmål som stilles
Hvordan svar vurderes
Hva som er akseptabelt/ikke akseptabelt

3. Sporbarhet

For hver vurdering, dokumenter:

Hvem som gjorde vurderingen
Når vurderingen ble gjort
Hva konklusjonen var
Hvilken dokumentasjon som ligger til grunn

4. Versjonskontroll

Behold tidligere versjoner når du oppdaterer. Enkleste løsning: dato i filnavn eller versjonsnummer.

5. Oppfølgingsrutine

Definer:

Hvor ofte leverandører revurderes
Hvem som har ansvar for oppfølging
Hvordan endringer hos leverandør fanges opp

Praktisk mappestruktur

En enkel, men effektiv struktur:

Leverandørkontroll/
├── _Maler/
│   ├── Spørsmålsmal.docx
│   ├── Vurderingsmal.docx
│   └── Sjekkliste.xlsx
├── _Rutiner/
│   ├── Prosedyre_leverandørvurdering.docx
│   └── Årlig_gjennomgang.docx
├── [Leverandør A]/
│   ├── 01_Grunninfo.docx
│   ├── 02_Spørsmål_og_svar_2026-02.pdf
│   ├── 03_Vurdering_2026-02-04.docx
│   ├── 04_Dokumentasjon/
│   │   ├── DPA.pdf
│   │   ├── Sikkerhetserklæring.pdf
│   │   └── Samsvarserklæring.pdf
│   └── 05_Kontrakt.pdf
├── [Leverandør B]/
│   └── [Samme struktur]
└── Oversikt_alle_leverandører.xlsx

Oversiktsfilen

Oversiktsfilen bør inneholde:

Leverandør	Produkt	KI-innhold	Risikoklasse	Sist vurdert	Neste vurdering	Ansvarlig	Status
Navn A	Produkt X	Ja	Høy	2026-02-04	2026-08-04	Per	Godkjent
Navn B	Produkt Y	Nei	N/A	2026-01-15	2027-01-15	Kari	Godkjent

Vurderingsmalen

For hver leverandør, dokumenter:

LEVERANDØRVURDERING
===================

Leverandør: [Navn]
Produkt: [Produktnavn]
Vurderingsdato: [Dato]
Vurdert av: [Navn og rolle]
Forrige vurdering: [Dato eller "Ny"]

KLASSIFISERING
--------------
Inneholder KI: [Ja/Nei]
Hvis ja, risikoklasse: [Minimal/Begrenset/Høy/Forbudt]
Begrunnelse: [Kort forklaring]

VURDERING AV OMRÅDER
--------------------
Databehandling: [Tilfredsstillende/Delvis/Utilfredsstillende]
Sikkerhet: [Tilfredsstillende/Delvis/Utilfredsstillende]
KI-etterlevelse: [Tilfredsstillende/Delvis/Utilfredsstillende]
Dokumentasjon: [Tilfredsstillende/Delvis/Utilfredsstillende]

IDENTIFISERTE RISIKOER
----------------------
- [Risiko 1 med tiltak]
- [Risiko 2 med tiltak]

DOKUMENTASJON INNHENTET
-----------------------
[ ] Databehandleravtale
[ ] Sikkerhetserklæring
[ ] Samsvarserklæring (hvis høyrisiko)
[ ] [Andre relevante dokumenter]

KONKLUSJON
----------
[ ] Godkjent
[ ] Godkjent med forbehold: [Spesifiser]
[ ] Ikke godkjent: [Begrunnelse]

NESTE STEG
----------
Neste vurdering: [Dato]
Oppfølgingspunkter: [Liste]