Styring og ansvar

EU KI-forordningen forutsetter at virksomheter har intern styring av KI-bruk. Det betyr tydelige roller, definert ansvar og prosesser for å sikre at kravene i forordningen faktisk følges opp over tid.

For mange norske SMB-er er utfordringen at KI-verktøy ofte tas i bruk uten at noen har et tydelig eierskap til etterlevelse.

Hvorfor styring er nødvendig

Uten tydelig styring skjer typisk følgende:

• Avdelinger kjøper inn KI-verktøy uten sentral oversikt
• Ingen har ansvar for å vurdere om verktøyet utløser dokumentasjonskrav
• Vurderinger gjøres av den som tilfeldigvis har tid, ikke den som har kompetanse
• Dokumentasjon havner i personlige e-postmapper eller forsvinner ved personalskifte
• Ved tilsyn kan ingen svare på hvem som tok beslutningen om å ta systemet i bruk

Roller i en norsk virksomhet

Forordningen peker på ulike roller i verdikjeden, men internt i virksomheten må du også avklare hvem som gjør hva. Typiske roller kan være:

• Systemeier – Ansvarlig for det enkelte KI-systemet og dets dokumentasjon
• Fagansvarlig – Vurderer om systemet brukes på en forsvarlig måte
• Personvernombud/DPO – Sikrer sammenheng med GDPR-forpliktelser
• Leder – Tar endelige beslutninger og godkjenner risikovurderinger

RACI for KI-styring

En RACI-matrise kan klargjøre hvem som er:

• Responsible – Utfører oppgaven
• Accountable – Har det endelige ansvaret
• Consulted – Bidrar med råd eller informasjon
• Informed – Holdes orientert om fremdrift

For KI-systemer i HR kan for eksempel HR-leder være ansvarlig, IT bistå med teknisk vurdering, og ledelsen godkjenne høyrisikosystemer.

Eierskap til systemfiler

Hver KI-systemfil bør ha en navngitt eier som er ansvarlig for at dokumentasjonen holdes oppdatert. Eieren trenger ikke gjøre alt selv, men må sikre at noen følger opp.

Uten tydelig eierskap blir systemfiler ofte utdaterte eller forsvinner helt ved organisasjonsendringer.

Vanlige feil

Virksomheter som ikke har etablert styring støter typisk på disse problemene:

• Uklart hvem som skal svare når tilsyn tar kontakt
• Ingen vet om et bestemt system er vurdert eller ikke
• Dokumentasjon finnes, men ingen vet hvor
• Nye verktøy tas i bruk uten at noen vurderer regelverkskrav
• Ved avvik er det uklart hvem som skal håndtere situasjonen

Del av veilederen

Denne siden er del av vår praktiske veileder til KI-loven og KI-forordningen.

Videre lesning

• Hvem er ansvarlig i en norsk SMB?
• RACI for KI i HR
• Eier og prosess for KI-systemfiler
• Hva som ryker først uten styring

Sist oppdatert

2026-02-05