Røde flagg i leverandørsvar

Når du gjennomfører leverandørvurdering for KI-tjenester, er det viktig å kjenne igjen varselsignaler i svarene du mottar. Denne artikkelen hjelper deg med å identifisere røde flagg og vite når du bør stille oppfølgingsspørsmål.

Alvorlighetsgrader

Røde flagg kan deles inn i tre alvorlighetsgrader:

Kritisk: Bør føre til at leverandøren ikke velges, eller at vesentlige avklaringer må på plass før anskaffelse.

Betydelig: Krever oppfølging og avklaring. Kan være akseptabelt hvis forklaringen er tilfredsstillende.

Mindre: Bør noteres og følges opp, men er ikke nødvendigvis et hinder for anskaffelse.

Kritiske røde flagg

Nekter å svare på grunnleggende spørsmål

Hva du ser:

• "Vi kan ikke svare på det av konkurransemessige hensyn"
• "Det er konfidensiell informasjon"
• Ingen respons på gjentatte henvendelser

Hvorfor det er kritisk:

Hvis leverandøren ikke kan svare på grunnleggende spørsmål om KI-innhold, databehandling eller sikkerhet, kan du ikke gjøre en forsvarlig vurdering.

Oppfølgingsspørsmål:

• "Hvilken spesifikk informasjon er det dere ikke kan dele, og hvorfor?"
• "Kan dere dele informasjonen under NDA?"
• "Hva kan dere fortelle oss om dette området?"

Motstridende informasjon

Hva du ser:

• Ulike svar på samme spørsmål fra forskjellige personer
• Dokumentasjon som motsier muntlige utsagn
• Endrede svar over tid uten forklaring

Hvorfor det er kritisk:

Motstridende informasjon tyder på at leverandøren ikke har kontroll, eller at de bevisst gir misvisende informasjon.

Oppfølgingsspørsmål:

• "Vi har mottatt ulik informasjon om dette. Kan dere avklare hva som er korrekt?"
• "Dokumentasjonen sier X, men dere sa Y. Hva stemmer?"

Ingen databehandleravtale

Hva du ser:

• "Vi har ikke DPA"
• "Våre vilkår dekker alt"
• "DPA er ikke nødvendig for vår type tjeneste"

Hvorfor det er kritisk:

Hvis tjenesten behandler personopplysninger og leverandøren ikke tilbyr DPA, bryter du sannsynligvis GDPR ved å bruke tjenesten.

Oppfølgingsspørsmål:

• "Behandler tjenesten personopplysninger?"
• "Hvordan mener dere at databehandlingen er dekket uten DPA?"
• "Når vil DPA være tilgjengelig?"

Uklar eller ubegrenset bruk av data

Hva du ser:

• "Vi kan bruke data til å forbedre tjenesten"
• "Data kan deles med partnere"
• Vage formuleringer om bruk av kundedata

Hvorfor det er kritisk:

Hvis du ikke vet hvordan data brukes, kan du ikke oppfylle informasjonsplikt overfor berørte eller vurdere risiko.

Oppfølgingsspørsmål:

• "Kan dere spesifisere nøyaktig hva data brukes til?"
• "Brukes data til å trene KI-modeller?"
• "Kan vi reservere oss mot bruk av data utover det som er nødvendig for å levere tjenesten?"

Betydelige røde flagg

Vage svar om sikkerhet

Hva du ser:

• "Vi tar sikkerhet på alvor"
• "Vi bruker industristandarder"
• "Vi følger beste praksis"

Hvorfor det er betydelig:

Generelle påstander uten konkret dokumentasjon gir ikke grunnlag for å vurdere faktisk sikkerhetsnivå.

Oppfølgingsspørsmål:

• "Hvilke spesifikke sikkerhetstiltak er implementert?"
• "Har dere sikkerhetssertifiseringer som ISO 27001?"
• "Kan dere dele resultater fra penetrasjonstester?"

Ingen klassifisering etter KI-forordningen

Hva du ser:

• "Vi har ikke vurdert KI-forordningen ennå"
• "Det er for tidlig å si"
• "Vi mener forordningen ikke gjelder for oss"

Hvorfor det er betydelig:

Leverandører bør ha vurdert hvordan KI-forordningen påvirker produktet deres. Manglende vurdering kan tyde på manglende modenhet.

Oppfølgingsspørsmål:

• "Når planlegger dere å gjennomføre klassifiseringen?"
• "Hvorfor mener dere forordningen ikke gjelder?"
• "Kan vi få varsel når klassifiseringen er ferdig?"

Datalagring utenfor EU/EØS

Hva du ser:

• "Data lagres i USA" (uten videre forklaring)
• "Vi bruker AWS/Azure/GCP globalt"
• Uklar informasjon om dataoverføring

Hvorfor det er betydelig:

Dataoverføring utenfor EU/EØS krever spesielle tiltak (SCCs, DPF, etc.). Manglende avklaring er problematisk.

Oppfølgingsspørsmål:

• "Hvilke overføringsmekanismer brukes?"
• "Kan data holdes innenfor EU/EØS?"
• "Hvilke underleverandører er involvert, og hvor er de lokalisert?"

Mange eller uklare underleverandører

Hva du ser:

• "Vi bruker en rekke underleverandører"
• Ingen konkret liste over subleverandører
• Svært lang liste uten forklaring av hva hver gjør

Hvorfor det er betydelig:

Du må vite hvem som behandler data på dine vegne for å vurdere risiko og oppfylle krav i GDPR og KI-forordningen.

Oppfølgingsspørsmål:

• "Kan dere gi en komplett liste over underleverandører med beskrivelse av hva hver gjør?"
• "Hvordan sikrer dere at underleverandører oppfyller samme krav?"
• "Hvordan varsles vi om endringer i underleverandører?"

Ingen varsling om endringer

Hva du ser:

• "Vi oppdaterer kontinuerlig"
• "Endringer varsles i produktet"
• Ingen formell prosess for endringsvarsling

Hvorfor det er betydelig:

For KI-systemer kan endringer påvirke klassifiseringen og din etterlevelse. Du må vite om vesentlige endringer.

Oppfølgingsspørsmål:

• "Hvordan definerer dere vesentlige endringer?"
• "Hvor lang tid i forveien varsles vi?"
• "Kan vi få skriftlig varsel om endringer i KI-funksjonalitet?"

Mindre røde flagg

Lang responstid

Hva du ser:

• Flere uker uten svar
• Purring nødvendig for å få respons
• Svar som kun delvis adresserer spørsmålene

Hvorfor det er et flagg:

Lang responstid kan tyde på kapasitetsproblemer, manglende prioritering av compliance, eller at leverandøren ikke har svarene klare.

Håndtering:

• Sett tydelige frister
• Vurder om dette indikerer hvordan support vil fungere
• Noter i vurderingen, men ikke nødvendigvis avgjørende

Standardsvar uten tilpasning

Hva du ser:

• Kopi av FAQ-tekst
• Generiske svar som ikke adresserer spesifikke spørsmål
• Henvisning kun til nettside eller dokumentasjon

Hvorfor det er et flagg:

Kan indikere at leverandøren ikke har kapasitet eller vilje til å gi tilpasset informasjon.

Håndtering:

• Be om spesifikke svar på konkrete spørsmål
• Vurder om standardinformasjonen faktisk dekker behovet
• Følg opp med presiserende spørsmål

Kun markedsføringsspråk

Hva du ser:

• "Verdensledende sikkerhet"
• "AI-drevet excellence"
• Mange buzzwords, lite konkret

Hvorfor det er et flagg:

Markedsføring erstatter ikke dokumentasjon. Du trenger fakta, ikke salgspitch.

Håndtering:

• Be om konkret dokumentasjon
• Still spesifikke spørsmål som krever faktasvar
• Vær tydelig på at du trenger teknisk/juridisk informasjon, ikke markedsmateriell

Hvordan dokumentere røde flagg

Loggfør funn

For hvert rødt flagg, dokumenter:

RØDT FLAGG IDENTIFISERT
=======================

Dato: [Dato]
Leverandør: [Navn]
Alvorlighetsgrad: [Kritisk/Betydelig/Mindre]

Beskrivelse:
[Hva du observerte]

Sitat/Referanse:
[Direkte sitat eller referanse til dokument]

Oppfølging:
[Hvilke spørsmål som ble stilt]

Resultat:
[Hvordan flagget ble håndtert/avklart]

Status:
[ ] Avklart tilfredsstillende
[ ] Fortsatt bekymring
[ ] Uavklart

Samlet vurdering

I den endelige vurderingen, oppsummer:

• Antall røde flagg per kategori
• Hvilke som ble tilfredsstillende avklart
• Hvilke som forblir bekymringer
• Samlet risikovurdering basert på funn

Videre lesning

• Leverandørvurdering KI
• Slik gjør du leverandørvurdering
• Nøkkelspørsmål til KI-leverandør
• Når leverandør nekter å dele dokumentasjon
• Hvilke dokumenter bør du be om og lagre
• Kontraktsklausuler for KI SaaS
• Sikkerhetsevidens i anbud

Sist oppdatert

2026-02-04