Sikkerhetsdokumentasjon når du bruker KI-SaaS: minimum som er forsvarlig

Når virksomheten bruker KI-baserte SaaS-tjenester, trenger du dokumentasjon som viser at sikkerheten er ivaretatt. Men hvor mye er nok? Denne artikkelen gir deg et praktisk minimumssett som tåler både kundespørsmål og revisjon.

Hvorfor et minimum?

Praktisk utgangspunkt

De fleste virksomheter har begrenset kapasitet til dokumentasjonsarbeid. Et realistisk minimum sikrer at du:

• Dekker det viktigste først
• Kan svare på vanlige spørsmål fra kunder og revisorer
• Har grunnlag for å vurdere risiko
• Oppfyller grunnleggende krav i regelverk

Hva et minimum ikke er

Et minimum betyr ikke at mer omfattende dokumentasjon aldri er nødvendig. For høyrisikosystemer eller sensitive bruksområder må du vurdere om minimumet er tilstrekkelig.

Det absolutte minimum

Nivå 1: Må ha for alle KI-SaaS

Uansett hva systemet brukes til, bør du minimum ha:

Fra leverandøren:

• Bekreftelse på at tjenesten inneholder KI
• Personvernerklæring eller informasjon om databehandling
• Kontaktinformasjon for sikkerhetsspørsmål
• Vilkår for tjenesten (Terms of Service)

Egen dokumentasjon:

• Kort beskrivelse av hva systemet brukes til
• Hvem som har tilgang internt
• Dato for når tjenesten ble tatt i bruk

Nivå 2: Bør ha for de fleste

For systemer som behandler personopplysninger eller brukes i arbeidsprosesser:

Fra leverandøren:

• Databehandleravtale (DPA)
• Informasjon om hvor data lagres
• Oversikt over underleverandører
• Beskrivelse av sikkerhetstiltak

Egen dokumentasjon:

• Klassifiseringsvurdering (risikonivå)
• Vurdering av om DPIA er nødvendig
• Informasjon gitt til berørte

Nivå 3: Må ha for høyrisiko

For systemer klassifisert som høyrisiko:

Fra leverandøren:

• Samsvarserklæring
• Bruksanvisning med begrensninger
• Teknisk dokumentasjon (sammendrag)
• Informasjon om testing og validering

Egen dokumentasjon:

• Fullstendig klassifiseringsvurdering
• Rutine for menneskelig tilsyn
• Logg over tilsyn og beslutninger
• Dokumentasjon av opplæring

Prioritert sjekkliste

Hvis du starter fra null, prioriter i denne rekkefølgen:

Første uke

1. Lag en liste over alle KI-SaaS virksomheten bruker
2. Innhent grunnleggende leverandørinformasjon (bekreftelse, vilkår, kontakt)
3. Dokumenter hvem som bruker hvert system

Første måned

4. Innhent databehandleravtale for systemer med personopplysninger
5. Gjør foreløpig klassifiseringsvurdering
6. Dokumenter formålet med hvert system

Første kvartal

7. Komplett klassifiseringsvurdering for alle systemer
8. Innhent sikkerhetsdokumentasjon fra leverandører
9. Etabler rutiner for høyrisikosystemer

Hva som typisk mangler

Når vi ser på hva virksomheter faktisk har, mangler ofte:

Egen klassifiseringsvurdering

Mange stoler på leverandørens vurdering uten å gjøre egen vurdering basert på faktisk bruk.

Løsning: Lag et enkelt dokument som beskriver hvorfor du mener systemet har denne risikoklassen.

Databehandleravtale

Overraskende mange mangler DPA selv for systemer som behandler personopplysninger.

Løsning: Be leverandøren om DPA. De fleste har standard DPA tilgjengelig.

Informasjon om datalagring

Mange vet ikke hvor dataene faktisk lagres eller hvilke underleverandører som er involvert.

Løsning: Spør leverandøren direkte. Dette står ofte i DPA eller personvernerklæring.

Dokumentasjon av formål

Mange kan ikke forklare skriftlig hvorfor de bruker systemet og hva det faktisk gjør.

Løsning: Skriv 2-3 setninger om formålet. Det trenger ikke være langt.

Format og oppbevaring

Enkel struktur

Organiser minimumsdokumentasjonen slik:

KI-SaaS-dokumentasjon/
├── [Systemnavn]/
│   ├── Leverandørdokumenter/
│   │   ├── DPA.pdf
│   │   ├── Vilkår.pdf
│   │   └── Sikkerhetsinformasjon.pdf
│   ├── Egen dokumentasjon/
│   │   ├── Systembeskrivelse.md
│   │   └── Klassifiseringsvurdering.md
│   └── Korrespondanse/
│       └── [Relevante e-poster]

Minimumsinformasjon per system

For hvert system, dokumenter minimum:

SYSTEMINFORMASJON
=================

Navn: [Systemnavn]
Leverandør: [Leverandørnavn]
Tatt i bruk: [Dato]

Formål:
[2-3 setninger om hva systemet brukes til]

Klassifisering:
Risikoklasse: [Minimal/Begrenset/Høy]
Begrunnelse: [Kort begrunnelse]

Databehandling:
Personopplysninger: [Ja/Nei]
DPA på plass: [Ja/Nei]
Datalagring: [Lokasjon]

Tilgang:
Interne brukere: [Hvem/hvilke roller]

Når minimumskrav ikke er nok

Tegn på at du trenger mer

Vurder utvidet dokumentasjon hvis:

• Systemet brukes til beslutninger som påvirker enkeltpersoner vesentlig
• Kunder eller samarbeidspartnere stiller detaljerte spørsmål
• Du er i en regulert bransje (finans, helse, offentlig sektor)
• Systemet behandler sensitive personopplysninger
• Du forbereder en anskaffelsesprosess eller due diligence

Hvordan utvide

Start med minimumet, og legg til:

• Mer detaljert sikkerhetsdokumentasjon fra leverandør
• Fullstendig DPIA der relevant
• Penetrasjonstester og sertifiseringer
• Detaljerte rutiner og retningslinjer

Vanlige spørsmål

Er dette nok for revisjon?

For de fleste interne revisjoner vil dette være et godt utgangspunkt. For eksterne revisjoner eller tilsyn kan det kreves mer, avhengig av systemets klassifisering og bruk.

Hva hvis leverandøren ikke svarer?

Dokumenter at du har spurt og ikke fått svar. Dette viser at du har forsøkt. Vurder om manglende respons er et rødt flagg for leverandørvalget.

Må jeg ha alt på papir?

Nei, digital dokumentasjon er greit. Det viktige er at du kan finne frem dokumentasjonen når du trenger den.

Hvor ofte må jeg oppdatere?

Gjennomgå dokumentasjonen årlig, og oppdater når det skjer vesentlige endringer i systemet eller bruken.

Videre lesning

• Sikkerhet og evidens
• Sikkerhetsevidens i anbud
• Slik svarer du kundespørsmål om etterlevelse
• Slik strukturerer du KI-systemfil
• Hvilke dokumenter bør du be om og lagre
• Kontraktsklausuler for KI SaaS

Sist oppdatert

2026-02-04