Kontraktsklausuler for KI-SaaS

Når du kjøper KI-funksjonalitet som SaaS, er kontrakten et viktig verktøy for å sikre at du får det du trenger for å etterleve KI-forordningen. Standardkontrakter dekker sjelden KI-spesifikke behov, så du må ofte forhandle om tillegg.

Denne artikkelen gir deg en oversikt over praktiske kontraktspunkter som støtter dokumentasjon og etterlevelse over tid.

Hvorfor kontrakten er viktig

Som deployer har du egne plikter som ikke forsvinner selv om leverandøren lover samsvar. Kontrakten bør sikre at du:

Får nødvendig dokumentasjon fra leverandøren
Varsles om endringer som påvirker din bruk
Kan få bistand ved tilsyn eller revisjon
Har klare avtaler om databehandling og ansvar
Kan avslutte avtalen uten å miste tilgang til viktig dokumentasjon

Sentrale kontraktspunkter

Dokumentasjonsplikt

Leverandøren bør forplikte seg til å levere dokumentasjon som er nødvendig for din etterlevelse. Dette inkluderer typisk:

Systembeskrivelse og bruksanvisning
Risikoklassifisering med begrunnelse
Teknisk dokumentasjon for høyrisikosystemer
Samsvarserklæring der relevant

Avtal også når dokumentasjonen skal leveres og hvordan den oppdateres.

Endringsvarsling

KI-systemer oppdateres ofte, og endringer kan påvirke din risikovurdering. Kontrakten bør regulere:

Varslingsplikt ved vesentlige endringer i modellen eller funksjonaliteten
Varslingstid som gir deg mulighet til å vurdere konsekvensene
Informasjon om hva endringen innebærer og hvordan den påvirker bruken
Rett til å avvise oppdateringer der dette er praktisk mulig

Logging og sporbarhet

For å kunne dokumentere hvordan systemet brukes og hvilke beslutninger det bidrar til, trenger du tilgang til logger:

Hvilke hendelser og beslutninger som logges
Hvor lenge logger oppbevares
Mulighet for eksport av logger som gjelder din bruk
Format som er lesbart og brukbart ved tilsyn

Tilsyns- og revisjonsbistand

Ved tilsyn kan du bli bedt om informasjon du ikke selv har tilgang til:

Plikt for leverandøren til å bistå ved tilsyn innen rimelig tid
Rett til å gjennomføre eller få gjennomført revisjoner
Tilgang til relevante tredjepartsvurderinger eller sertifiseringer
Kostnadsfordeling ved bistand

Databehandling

Databehandleravtale etter GDPR er standard, men for KI-systemer bør du også avklare:

Om dine data brukes til trening eller forbedring av modellen
Geografisk plassering av databehandling
Tilgangskontroll og hvem som ser dine data
Sub-leverandører og deres rolle

Ansvarsfordeling

Kontrakten bør tydelig regulere hvem som har ansvar for hva:

Leverandørens ansvar for at systemet teknisk oppfyller krav
Ditt ansvar for hvordan systemet brukes
Ansvar ved feil eller skade forårsaket av systemet
Håndtering av krav fra tilsynsmyndigheter

Exit og portabilitet

Når avtalen avsluttes, må du sikre at du ikke mister viktig dokumentasjon:

Rett til eksport av data og logger
Oppbevaringsperiode for dokumentasjon etter avslutning
Format som gjør dokumentasjonen brukbar utenfor leverandørens system
Overgangsperiode for migrering

Gjennomgå eksisterende kontrakt for å identifisere hull
Ta kontakt med leverandøren for å forhandle tillegg
Dokumenter hva du har bedt om og hvilke svar du har fått
Vurder om mangler i kontrakten øker risikoen ved å bruke systemet

Videre lesning

Sist oppdatert

2026-02-02

Kontraktsklausuler for KI-SaaS

Hvorfor kontrakten er viktig

Sentrale kontraktspunkter

Dokumentasjonsplikt

Endringsvarsling

Logging og sporbarhet

Tilsyns- og revisjonsbistand

Databehandling

Ansvarsfordeling

Exit og portabilitet

Forhandlingsstrategi

Vær konkret

Start tidlig

Aksepter kompromisser

Dokumenter avvik

Hva gjør du med eksisterende avtaler?

Videre lesning

Sist oppdatert