Slik gjør du leverandørvurdering

Før du tar i bruk en KI-basert tjeneste, bør du gjennomføre en leverandørvurdering. Denne artikkelen gir deg en praktisk metode du kan følge steg for steg.

Tilbake til veilederen: KI-loven og KI-forordningen

Oversikt over prosessen

En komplett leverandørvurdering består av fem steg:

Forberedelse og informasjonsinnhenting
Spørsmål til leverandøren
Analyse av svar og dokumentasjon
Konklusjon og anbefaling
Dokumentasjon og arkivering

Steg 1: Forberedelse

Definer behovet

Før du kontakter leverandøren, avklar:

Hva skal systemet brukes til?
Hvilke data vil behandles?
Hvem vil berøres av systemet?
Hvilke krav har virksomheten til sikkerhet og etterlevelse?

Identifiser risikoklasse

Gjør en foreløpig vurdering av risikoklassen basert på planlagt bruk. Dette bestemmer hvor grundig vurderingen må være.

Samle tilgjengelig informasjon

Før du spør leverandøren, sjekk hva som er offentlig tilgjengelig:

Leverandørens nettside
Personvernerklæring
Vilkår og betingelser
Hjelpesenter og dokumentasjon
Sikkerhetssertifiseringer

Steg 2: Spørsmål til leverandøren

Grunnleggende spørsmål

Still disse spørsmålene til alle leverandører:

Om KI-innhold:

Inneholder produktet KI-funksjonalitet?
Hvilke funksjoner bruker KI?
Hvilke data brukes av KI-komponentene?

Om databehandling:

Hvor lagres data?
Hvem har tilgang til data?
Brukes data til å trene modeller?
Hvilke underleverandører er involvert?

Om sikkerhet:

Hvilke sikkerhetstiltak er implementert?
Har dere sikkerhetssertifiseringer?
Hvordan håndteres sikkerhetshendelser?

Om etterlevelse:

Hvordan forholder dere dere til KI-forordningen?
Kan dere tilby databehandleravtale?
Hvilken dokumentasjon kan dere dele?

Tilleggsspørsmål for høyrisiko

For systemer som kan være høyrisiko, spør også:

Har dere gjort risikoklassifisering etter KI-forordningen?
Kan dere tilby samsvarserklæring?
Hvordan sikres menneskelig tilsyn?
Hva er kjente begrensninger ved systemet?
Hvordan varsles kunder om vesentlige endringer?

Hvordan stille spørsmålene

Skriftlig:

Fordeler: Dokumenterbart, kan behandles internt hos leverandøren Ulemper: Kan ta tid, svar kan bli generiske

Møte:

Fordeler: Mulighet for oppfølgingsspørsmål, bedre dialog Ulemper: Vanskeligere å dokumentere, kan være ressurskrevende

Kombinasjon:

Ofte best: Send spørsmål skriftlig, følg opp med møte for avklaringer.

Steg 3: Analyse

Vurder svarene

For hvert svar, vurder:

Er svaret konkret eller vagt?
Svarer leverandøren på det som faktisk ble spurt?
Er det dokumentasjon som støtter svaret?
Mangler det svar på viktige spørsmål?

Identifiser hull

Noter hva som mangler:

Spørsmål uten svar
Vage svar som trenger avklaring
Manglende dokumentasjon
Uklarheter som bør følges opp

Vurder risiko

Basert på svarene, vurder:

Er leverandøren åpen og samarbeidsvillig?
Har leverandøren kontroll på KI-bruk og sikkerhet?
Er dokumentasjonen tilstrekkelig for ditt behov?
Finnes det røde flagg som gir grunn til bekymring?

Sammenlign med alternativer

Hvis du vurderer flere leverandører:

Lag en matrise med samme spørsmål til alle
Sammenlign svar og dokumentasjon
Vekt svarene basert på viktighet for din bruk

Steg 4: Konklusjon

Lag en vurderingsrapport

Dokumenter konklusjonen i en kort rapport:

LEVERANDØRVURDERING
===================

Leverandør: [Navn]
Produkt: [Produktnavn]
Dato: [Dato]
Vurdert av: [Navn]

SAMMENDRAG
----------
[2-3 setninger om hovedkonklusjon]

VURDERING AV OMRÅDER
--------------------
KI-innhold: [Tilfredsstillende/Delvis/Utilfredsstillende]
Databehandling: [Tilfredsstillende/Delvis/Utilfredsstillende]
Sikkerhet: [Tilfredsstillende/Delvis/Utilfredsstillende]
Etterlevelse: [Tilfredsstillende/Delvis/Utilfredsstillende]

IDENTIFISERTE RISIKOER
----------------------
- [Risiko 1]
- [Risiko 2]

BETINGELSER FOR GODKJENNING
---------------------------
[Eventuelle krav som må oppfylles før anskaffelse]

ANBEFALING
----------
[ ] Anbefales
[ ] Anbefales med forbehold
[ ] Anbefales ikke

Begrunnelse: [Kort begrunnelse for anbefalingen]

Mulige konklusjoner

Anbefales:

Leverandøren har svart tilfredsstillende på alle vesentlige spørsmål, og dokumentasjonen er tilstrekkelig.

Anbefales med forbehold:

Leverandøren er akseptabel, men det er forhold som må avklares eller betingelser som må oppfylles. Spesifiser forbeholdene.

Anbefales ikke:

Det er vesentlige mangler eller røde flagg som gjør at leverandøren ikke bør velges. Dokumenter hvorfor.

Steg 5: Dokumentasjon

Hva skal lagres

Arkiver følgende fra vurderingen:

Spørsmålene som ble stilt
Svar fra leverandøren (e-post, møtereferat)
Dokumentasjon mottatt fra leverandøren
Egen vurderingsrapport med konklusjon
Eventuelle oppfølgingsspørsmål og svar

Hvordan lagre

Organiser dokumentasjonen logisk:

Leverandørvurdering/
├── [Leverandørnavn]/
│   ├── 01_Spørsmål_sendt.pdf
│   ├── 02_Svar_mottatt.pdf
│   ├── 03_Dokumentasjon/
│   │   ├── DPA.pdf
│   │   ├── Sikkerhetserklæring.pdf
│   │   └── [Andre dokumenter]
│   ├── 04_Møtereferat.pdf
│   └── 05_Vurderingsrapport.pdf

Hvor lenge lagre

Behold leverandørvurderingen:

Så lenge tjenesten er i bruk
Pluss en periode etter avsluttet bruk (minimum 5 år)
Lengre hvis det er grunnlag for det (pågående saker, etc.)

IT/sikkerhet for tekniske spørsmål
Juridisk for kontraktsspørsmål
Fagansvarlig for funksjonelle behov
Personvern/compliance for regelverkskrav

Følg opp etter anskaffelse

Leverandørvurdering er ikke bare en engangshendelse:

Gjennomgå årlig eller ved vesentlige endringer
Oppdater ved nye versjoner eller funksjoner
Revurder ved endringer i egen bruk

Videre lesning

Sist oppdatert

2026-02-05