Hva gjør du når leverandøren nekter å dele KI-dokumentasjon?

Det er frustrerende, men ikke uvanlig: Du ber om dokumentasjon om KI-funksjonaliteten, og leverandøren svarer at de ikke kan eller vil dele den. Denne artikkelen gir deg en konkret eskaleringsplan og hjelper deg med å vurdere om dette er et "no-go" eller noe du kan håndtere.

Forstå hvorfor leverandøren sier nei

Legitime grunner

Noen grunner kan være forståelige:

• Forretningshemmeligheter: Detaljerte algoritmer og modellarkitektur kan være konkurransesensitivt
• Sikkerhetshensyn: For mye informasjon kan gjøre systemet sårbart
• Ressursbegrensninger: Små leverandører har kanskje ikke kapasitet til skreddersydde svar
• Tidspunkt: Dokumentasjon under utvikling og ikke ferdig ennå

Problematiske grunner

Andre grunner er mer bekymringsfulle:

• Manglende dokumentasjon: De har faktisk ikke dokumentasjonen
• Manglende forståelse: De forstår ikke hva du trenger eller hvorfor
• Manglende prioritering: De tar ikke compliance på alvor
• Noe å skjule: Det er forhold de ikke vil at du skal vite om

Avklar årsaken

Start med å forstå hvorfor de sier nei:

• "Kan dere forklare hvorfor denne informasjonen ikke kan deles?"
• "Er det spesifikke deler av forespørselen som er problematiske?"
• "Finnes det alternative måter å dokumentere dette på?"

Eskaleringsplan

Nivå 1: Avklar og reformuler

Handling:

• Avklar nøyaktig hva du trenger og hvorfor
• Reformuler forespørselen mer spesifikt
• Forklar hvilken risiko manglende informasjon skaper for deg

Eksempel:

"Vi trenger ikke full modellarkitektur. Vi trenger å vite hvilken type KI som brukes, hvilke data den behandler, og hvordan vi kan sikre menneskelig tilsyn. Er dette noe dere kan dokumentere?"

Nivå 2: Tilby NDA

Handling:

• Tilby å signere NDA for å beskytte sensitiv informasjon
• Spesifiser at informasjonen kun brukes internt for compliance
• Be om at de foreslår NDA-vilkår de er komfortable med

Eksempel:

"Vi forstår at deler av denne informasjonen er sensitiv. Vi er villige til å signere en NDA. Kan dere foreslå vilkår som gjør at dere kan dele informasjonen vi trenger?"

Nivå 3: Be om alternativ dokumentasjon

Handling:

• Spør om de kan dokumentere det samme på en annen måte
• Be om tredjepartsbekreftelser (revisjonsrapporter, sertifiseringer)
• Spør om de kan gi muntlig informasjon som du kan dokumentere

Alternativer å foreslå:

• SOC 2-rapport som dekker relevante kontroller
• ISO 27001-sertifikat med tilhørende dokumentasjon
• Tredjepartsrevisjon av KI-compliance
• Referanser til andre kunder som har fått tilsvarende informasjon
• Muntlig gjennomgang du kan dokumentere i referat

Nivå 4: Eskalér internt hos leverandøren

Handling:

• Be om å snakke med compliance-ansvarlig eller ledelse
• Forklar konsekvensene for forholdet dersom informasjonen ikke kan deles
• Gjør det klart at dette påvirker din vurdering av leverandøren

Eksempel:

"Vi setter pris på dialogen, men vi trenger å eskalere dette. Kan dere sette oss i kontakt med deres compliance-ansvarlig eller ledelse? Manglende dokumentasjon kan påvirke vår mulighet til å fortsette samarbeidet."

Nivå 5: Vurder kontraktsmessige krav

Handling:

• Sjekk eksisterende kontrakt for dokumentasjonskrav
• Vurder om manglende dokumentasjon er kontraktsbrudd
• Diskuter med juridisk om det finnes handlingsrom

Spørsmål å stille:

• Har vi kontraktsfestet rett til denne informasjonen?
• Kan vi kreve at dokumentasjon tilgjengeliggjøres?
• Hva er konsekvensen av å heve kontrakten?

Nivå 6: Ta en beslutning

Hvis eskalering ikke fører frem, må du ta en beslutning:

Alternativ A: Fortsett uten full dokumentasjon

Hvis du velger å fortsette, dokumenter:

• Hva du har forsøkt å innhente
• Hva du faktisk har fått
• Hvilken risiko dette innebærer
• Hvorfor du likevel velger å fortsette
• Kompenserende tiltak du iverksetter

Alternativ B: Avslutt samarbeidet

Hvis du velger å ikke fortsette:

• Dokumenter prosessen og begrunnelsen
• Gi leverandøren mulighet til å rette opp
• Planlegg overgang til alternativ løsning
• Lær av prosessen for fremtidige anskaffelser

Når er manglende dokumentasjon et "no-go"?

Kritisk: Må føre til avslutning

• Høyrisikosystem uten samsvarserklæring
• Nekter å bekrefte at KI brukes i det hele tatt
• Ingen databehandleravtale når personopplysninger behandles
• Nekter all informasjon om datalagring og -behandling

Alvorlig: Vurder sterkt å avslutte

• Ingen informasjon om hvordan KI-komponenten fungerer
• Nekter å svare på spørsmål om sikkerhet
• Ingen varsling om vesentlige endringer
• Motstridende informasjon uten avklaring

Bekymringsfullt: Kan fortsette med tiltak

• Begrenset informasjon, men nok til grunnleggende vurdering
• NDA-beskyttet informasjon, men utilgjengelig for deling internt
• Sen respons, men vilje til å samarbeide
• Generiske svar, men åpenhet for oppfølging

Dokumentér beslutningen revisjonsklart

Uansett utfall, dokumenter prosessen:

BESLUTNINGSDOKUMENT: MANGLENDE LEVERANDØRDOKUMENTASJON
======================================================

Leverandør: [Navn]
Produkt: [Produktnavn]
Dato: [Dato]
Beslutning tatt av: [Navn/rolle]

BAKGRUNN
--------
Forespurt dokumentasjon:
- [Liste over hva du ba om]

Leverandørens respons:
- [Oppsummer hva de svarte]

ESKALERING GJENNOMFØRT
----------------------
Nivå 1: [Dato, hva som ble gjort, resultat]
Nivå 2: [Dato, hva som ble gjort, resultat]
[Osv.]

RISIKOVURDERING
---------------
Risiko ved manglende dokumentasjon:
- [Beskriv risiko]

Kompenserende tiltak (hvis relevant):
- [Beskriv tiltak]

BESLUTNING
----------
[ ] Fortsetter samarbeidet
[ ] Avslutter samarbeidet

Begrunnelse:
[Detaljert begrunnelse for beslutningen]

OPPFØLGING
----------
[Eventuelle oppfølgingstiltak]

GODKJENNING
-----------
Godkjent av: [Navn]
Dato: [Dato]

Kompenserende tiltak hvis du fortsetter

Hvis du velger å fortsette uten full dokumentasjon:

Styrk intern kontroll

• Øk frekvensen av menneskelig tilsyn
• Implementer sterkere overvåking av systemets output
• Dokumenter alle avvik og hendelser nøye

Begrens bruken

• Reduser automatiseringsgraden
• Begrens hvilke beslutninger systemet bidrar til
• Vurder om bruksområdet kan innsnevres

Informer internt

• Sørg for at ledelsen er informert om risikoen
• Dokumenter at beslutningen er tatt på informert grunnlag
• Etabler tydelig ansvar for oppfølging

Planlegg alternativ

• Kartlegg alternative leverandører
• Ha en plan for overgang hvis situasjonen forverres
• Sett tidsfrist for ny vurdering

Lær til neste gang

Bruk erfaringen i fremtidige anskaffelser:

• Inkluder dokumentasjonskrav i kravspesifikasjon
• Vurder dokumentasjonstilgjengelighet før kontrakt inngås
• Inkluder dokumentasjonskrav i kontrakten
• Spør referanser om deres erfaring med dokumentasjon

Videre lesning

• Leverandørvurdering KI
• Slik gjør du leverandørvurdering
• Røde flagg i leverandørsvar
• Hvilke dokumenter bør du be om og lagre
• Kontraktsklausuler for KI SaaS
• Sikkerhetsdokumentasjon for KI-SaaS: minimum
• Slik svarer du kundespørsmål om etterlevelse

Sist oppdatert

2026-02-04