Utover HR: helse, utdanning og kritiske tjenester – hvorfor mønstrene ligner
KI-forordningen definerer en rekke bruksområder som høy risiko – og HR er bare ett av dem. Helse, utdanning, tilgang til offentlige tjenester og kritisk infrastruktur følger mange av de samme mønstrene: KI-systemer som påvirker enkeltpersoners rettigheter eller livssituasjon, utløser strenge krav til dokumentasjon, tilsyn og konsekvensvurdering. Har du allerede jobbet med KI i HR, har du et solid grunnlag for å håndtere KI i disse sektorene.
Merk: Denne artikkelen er veiledende og fokuserer på fellestrekk mellom sektorer. Hver sektor har egne sektorregler som kommer i tillegg til KI-forordningen.
Hvorfor mønstrene er like
Grunnen til at KI i HR, helse og utdanning behandles likt i forordningen, er at de deler en felles egenskap: KI-systemet tar eller påvirker beslutninger som har vesentlig betydning for enkeltpersoner.
I HR handler det om tilgang til arbeid og arbeidsvilkår. I helse handler det om diagnoser og behandling. I utdanning handler det om vurdering og tilgang til utdanningsmuligheter. Mønsteret er det samme:
- En person er berørt av en KI-drevet beslutning.
- Beslutningen har potensielt store konsekvenser for personens liv.
- Det er risiko for feil, diskriminering eller manglende transparens.
Derfor utløser alle disse bruksområdene lignende krav i forordningen.
Annex III: høyrisiko-kategorier på tvers av sektorer
KI-forordningens Annex III lister opp bruksområder som automatisk klassifiseres som høy risiko. Her er de mest relevante for norske virksomheter utover HR:
Helse og medisinsk utstyr (punkt 1)
KI-systemer brukt som sikkerhetskomponent i medisinsk utstyr, eller KI-systemer som er medisinsk utstyr, er høyrisiko. Eksempler:
- KI-basert diagnostikk (for eksempel bildeanalyse av røntgen eller MR).
- KI-støttet triagering av pasienter.
- Prediktive modeller for sykdomsutvikling.
Utdanning og yrkesveiledning (punkt 3)
KI brukt til å bestemme tilgang til utdanning eller vurdere elever/studenter er høyrisiko. Eksempler:
- KI-basert vurdering av eksamensbesvarelser.
- Systemer som styrer opptak til utdanningsinstitusjoner.
- KI som tilpasser læringsinnhold basert på vurdering av elevens nivå.
Tilgang til offentlige tjenester og ytelser (punkt 5)
KI brukt til å vurdere om enkeltpersoner skal motta offentlige ytelser eller tjenester. Eksempler:
- Automatisert vurdering av søknader om sosialhjelp.
- KI-basert prioritering av saker i Nav.
- Systemer som vurderer risiko ved barnevernssaker.
Rettshåndhevelse og migrasjon (punkt 6 og 7)
KI brukt i politi, rettsvesen og migrasjonskontroll. Eksempler:
- Prediktivt politiarbeid.
- KI-basert risikovurdering i rettssaker.
- Automatisert kontroll av reisedokumenter.
Kritisk infrastruktur (punkt 2)
KI brukt som sikkerhetskomponent i kritisk infrastruktur. Eksempler:
- Styring av strømnett.
- Trafikkstyring.
- Vannforsyning.
Felles krav: hva som gjelder uavhengig av sektor
Uavhengig av om du jobber med HR, helse eller utdanning, stiller forordningen de samme grunnkravene for høyrisiko-systemer:
| Krav | Hva det betyr i praksis |
|---|---|
| Risikovurdering | Identifiser og dokumenter risikoer knyttet til systemets bruk |
| Datakvalitet | Sørg for at data brukt til trening og drift er relevante og representative |
| Dokumentasjon | Opprett og vedlikehold teknisk dokumentasjon og bruksanvisning |
| Logging | Sørg for at systemet genererer logger som muliggjør sporbarhet |
| Transparens | Gi berørte personer informasjon om at KI brukes |
| Menneskelig tilsyn | Etabler mekanismer for at en person kan overstyre eller gripe inn |
| Nøyaktighet og robusthet | Sørg for at systemet fungerer pålitelig under forventede forhold |
| Konsekvensvurdering | Gjennomfør FRIA for grunnleggende rettigheter |
Helse: særlige hensyn i norsk kontekst
Helselovgivning
Norsk helselovgivning stiller egne krav til informasjonssikkerhet, taushetsplikt og pasientrettigheter. KI-systemer i helse må håndtere:
- Helseopplysninger i tråd med helseregisterloven og pasientjournalloven.
- Pasienters rett til informasjon og medvirkning etter pasient- og brukerrettighetsloven.
- Krav til medisinsk utstyr etter MDR (Medical Device Regulation) der det er relevant.
Praktisk konsekvens
For virksomheter i helsesektoren betyr dette tre parallelle regelsett: KI-forordningen, GDPR og helselovgivningen. Dokumentasjonen bør vise samsvar med alle tre.
Utdanning: særlige hensyn i norsk kontekst
Opplæringsloven og universitets- og høyskoleloven
Utdanningssektoren har egne regler for vurdering, klagerett og personvern. KI-systemer som brukes til å vurdere elever eller studenter, må respektere:
- Elevenes og studentenes rett til begrunnelse for vurdering.
- Klageretten på vurderingsbeslutninger.
- Krav til personvern for mindreårige (skjerpet under GDPR).
Praktisk konsekvens
Spesielt for KI i vurdering er det viktig å sikre at menneskelig tilsyn er reelt – det vil si at en kvalifisert person faktisk gjennomgår KI-genererte vurderinger, og at det finnes en klageordning.
Offentlige tjenester: særlige hensyn
Forvaltningsloven
Offentlige virksomheter som bruker KI i saksbehandling, må forholde seg til forvaltningsloven. Sentrale prinsipper:
- Begrunnelsesplikt – vedtak skal begrunnes. Hvis KI-en bidrar til beslutningen, må dette reflekteres i begrunnelsen.
- Kontradiksjon – parten skal få mulighet til å uttale seg. KI-genererte vurderinger må deles med den berørte.
- Forsvarlig saksbehandling – prosessen må være forsvarlig, noe som krever forståelse av hva KI-systemet gjør.
Praktisk konsekvens
Offentlige virksomheter står overfor kanskje det mest sammensatte regelverket: KI-forordningen, GDPR, forvaltningsloven og eventuelt sektorspesifikk lovgivning. Grundig dokumentasjon er nøkkelen.
Overførbare lærdommer fra HR
Har du allerede jobbet med KI-klassifisering og dokumentasjon i HR, kan du overføre mye til andre sektorer:
1. Klassifiseringsmetoden er den samme
Triage-spørsmålene er identiske: Faller systemet inn under Annex III? Påvirker det grunnleggende rettigheter? Er det et kontrolltiltak?
2. Dokumentasjonsstrukturen er gjenbrukbar
KI-systemfilen med seksjoner for klassifisering, vurdering, rutiner og logger fungerer like godt for et helsesystem som for et HR-system. Tilpass innholdet, men behold strukturen.
3. Medvirkning og involvering
I HR involverer du tillitsvalgte og verneombud. I helse involverer du klinisk personale og pasientombud. I utdanning involverer du lærere og studenter. Prinsippet er det samme: de som berøres, skal informeres og høres.
4. Menneskelig tilsyn
Kravene til menneskelig tilsyn er like på tvers: en kvalifisert person skal forstå hva systemet gjør og kunne gripe inn.
5. Konsekvensvurderingen
FRIA-strukturen med identifisering av berørte rettigheter, risikovurdering og tiltak er direkte overførbar.
Oppsummeringstabell: sektorer og tilleggskrav
| Sektor | Annex III-kategori | Norsk tilleggsregelverk | Hvem involveres |
|---|---|---|---|
| HR | Punkt 4 | AML, Hovedavtalen | Tillitsvalgte, verneombud |
| Helse | Punkt 1 | Helselovgivning, MDR | Klinisk personale, pasientombud |
| Utdanning | Punkt 3 | Opplæringsloven, UH-loven | Lærere, studenter, foreldre |
| Offentlige tjenester | Punkt 5 | Forvaltningsloven | Saksbehandlere, brukerombud |
| Kritisk infrastruktur | Punkt 2 | Sektorspesifikt | Driftsansvarlige, sikkerhetspersonell |
Hva bør du gjøre?
- Identifiser om din virksomhet bruker KI i en av sektorene over.
- Kartlegg hvilket tilleggsregelverk som gjelder for din sektor.
- Gjenbruk dokumentasjonsstrukturene du allerede har fra HR eller annen KI-dokumentasjon.
- Involver de rette personene i din sektor – de tilsvarer tillitsvalgte og verneombud i HR.
- Dokumenter samsvar med alle relevante regelsett, ikke bare KI-forordningen.
Videre lesning
- Norge og KI-forordningen (oversikt)
- Norges implementering av KI-forordningen: tilsyn, tidslinjer og hva SMB bør gjøre nå
- Slik påvirker norsk arbeidsrett og partssamarbeid innføring av KI på jobb
Sist oppdatert
2026-02-02