Nøkkelspørsmål til KI-leverandør

Når du vurderer en KI-leverandør, trenger du mer enn markedsføringspåstander. Du trenger sporbar dokumentasjon som kan vises frem ved tilsyn eller revisjon. Denne spørsmålslisten hjelper deg å få konkrete svar som bygger et solid dokumentasjonsgrunnlag.

Hvordan bruke denne listen

Send spørsmålene skriftlig og be om skriftlige svar. Muntlige forsikringer har liten verdi ved tilsyn. Dokumenter når spørsmålene ble stilt, hvem som svarte, og lagre svarene systematisk.

Klassifisering og risikovurdering

1. Hvilken risikoklasse mener dere systemet tilhører etter EU KI-forordningen?

Be om skriftlig begrunnelse, ikke bare en påstand. Hvis leverandøren sier "lavrisiko" uten forklaring, er det et rødt flagg.

2. Har dere gjennomført en formell risikovurdering av systemet?

Hvis ja, be om å se dokumentasjonen eller et sammendrag.

3. For hvilke bruksområder er systemet utviklet og testet?

Dette er viktig fordi din bruk kan avvike fra leverandørens forutsetninger.

Logging og sporbarhet

4. Hvilke hendelser og beslutninger logges av systemet?

Vær konkret: Logges input, output, mellomliggende vurderinger?

5. Hvor lenge oppbevares logger, og hvem har tilgang?

Du trenger dette for egen dokumentasjonsplikt.

6. Kan vi få eksport av logger som gjelder vår bruk?

Ved tilsyn kan du bli bedt om å vise systemets beslutningsgrunnlag.

Databehandling

7. Hvor behandles og lagres data geografisk?

EØS-lokalisering er ofte relevant for personvern og regulatoriske krav.

8. Brukes våre data til å trene eller forbedre modellen?

Hvis ja, hvordan og på hvilket grunnlag?

9. Hvem har tilgang til våre data hos leverandøren?

Be om konkret informasjon om tilgangskontroll.

Endringer og oppdateringer

10. Hvordan varsles vi om vesentlige endringer i modellen eller funksjonaliteten?

Endringer kan påvirke din risikovurdering og krever oppdatert dokumentasjon.

11. Kan vi velge å ikke ta imot oppdateringer, eller skjer de automatisk?

Automatiske oppdateringer kan skape utfordringer for dokumentasjon og kontroll.

12. Hva er prosessen hvis vi oppdager feil eller uønsket atferd?

Du trenger en kanal for å rapportere og følge opp hendelser.

Ansvar og samsvar

13. Hvordan fordeles ansvaret mellom dere som provider og oss som deployer?

Be om en tydelig beskrivelse, gjerne med referanse til kontrakten.

14. Hvilken dokumentasjon kan dere levere for å støtte vår etterlevelse?

Leverandøren bør kunne levere teknisk dokumentasjon, brukerveiledning og samsvarserklæringer.

15. Er systemet CE-merket eller har annen sertifisering relevant for KI-forordningen?

Hvis ja, be om dokumentasjon.

Revisjonsberedskap

16. Kan dere bistå hvis vi får tilsyn eller revisjon som gjelder dette systemet?

Avklar forventninger til responstid og type bistand.

17. Har dere selv vært gjenstand for tilsyn eller revisjon knyttet til KI-forordningen?

Erfaring med tilsyn kan være et godt tegn.

18. Hvilke tredjepartsvurderinger eller revisjoner har systemet gjennomgått?

Uavhengige vurderinger gir ekstra trygghet.

Hva gjør du med svarene?

• Lagre alle svar med dato og avsender
• Vurder svarene opp mot din egen risikovurdering
• Følg opp uklare eller mangelfulle svar
• Oppdater dokumentasjonen når du får ny informasjon

Røde flagg i svar

Vær oppmerksom hvis leverandøren:

• Nekter å svare skriftlig
• Gir vage eller generelle svar uten substans
• Henviser til at "alt er i orden" uten dokumentasjon
• Ikke kan forklare hvordan systemet fungerer
• Ikke har tenkt på KI-forordningen

Videre lesning

• Leverandørvurdering av KI
• Slik gjør du leverandørvurdering
• Hvilke dokumenter be om og lagre
• Røde flagg i leverandørsvar
• Ansvar mellom provider og deployer
• Kontraktsklausuler for KI-SaaS

Sist oppdatert

2026-02-02