Slik setter du opp eier og prosess for KI-systemfiler (livsløp og revisjoner)
En KI-systemfil er bare nyttig hvis noen eier den og holder den oppdatert. Denne artikkelen beskriver hvordan du etablerer eierskap, definerer en vedlikeholdsprosess og sikrer at systemfilene tåler både intern revisjon og eksternt tilsyn over tid.
Merk: Denne artikkelen er veiledende og beskriver en prosess som kan tilpasses virksomhetens størrelse og kompleksitet.
Hvorfor eierskap er avgjørende
KI-systemfiler uten tydelig eier forfaller raskt. Typiske symptomer:
- Filen ble opprettet under et prosjekt, men ingen oppdaterer den etterpå.
- Systemet har fått nye funksjoner eller ny bruk, men filen gjenspeiler den opprinnelige versjonen.
- Personen som opprettet filen har sluttet, og ingen vet at filen eksisterer.
- Ved tilsyn kan ingen svare på hvem som er ansvarlig for innholdet.
Uten eierskap har du dokumentasjon som gir en falsk følelse av trygghet. Ved revisjon eller tilsyn er en utdatert fil potensielt verre enn ingen fil – fordi den viser at virksomheten har vært klar over forpliktelsene, men ikke fulgt opp.
Hvem bør eie en KI-systemfil?
Hovedregel: Fagansvarlig eier filen
Eieren bør være den personen som eier den forretningsprosessen der KI-systemet brukes. Ikke IT-avdelingen, ikke compliance-avdelingen, men den som faktisk er ansvarlig for at systemet brukes riktig i hverdagen.
Eksempler:
- Rekrutteringssystem med KI-screening: HR-leder eier filen.
- Kundeservice-chatbot: Leder for kundeservice eier filen.
- Prediktiv vedlikeholdsanalyse: Driftssjef eier filen.
KI-ansvarlig koordinerer
KI-ansvarlig (eller compliance-koordinator) eier ikke filene selv, men har ansvar for å:
- Holde oversikt over alle KI-systemfiler.
- Sørge for at filene har navngitte eiere.
- Minne eiere på gjennomgang ved forfall.
- Bistå med metode og maler.
- Rapportere status til ledelsen.
Stedfortreder
Hver fil bør ha en navngitt stedfortreder som kan overta ved fravær, personalskifte eller omorganisering. Uten stedfortreder er filen sårbar for enkelthendelser.
Livsløpet til en KI-systemfil
En systemfil er et levende dokument som gjennomgår følgende faser:
Fase 1: Opprettelse
Filen opprettes når virksomheten beslutter å ta i bruk et nytt KI-system, eller når et eksisterende system identifiseres som KI-basert gjennom kartlegging.
Innhold ved opprettelse:
- Grunnleggende systeminformasjon (navn, leverandør, formål).
- Foreløpig klassifisering.
- Navngitt eier og stedfortreder.
- Dato for opprettelse.
Kvalitetskontroll: KI-ansvarlig sjekker at minimumsinformasjon er på plass.
Fase 2: Utfylling og vurdering
Etter opprettelsen gjennomfører eieren en mer grundig vurdering:
- Endelig klassifisering med begrunnelse.
- Konsekvensvurdering (FRIA og/eller DPIA) for høyrisiko-systemer.
- Dokumentasjon av menneskelig tilsyn og rutiner.
- Informasjon fra leverandør.
- Drøfting med tillitsvalgte der det er relevant.
Kvalitetskontroll: KI-ansvarlig gjennomgår vurderingen. For høyrisiko-systemer bør godkjenner (daglig leder) signere.
Fase 3: Godkjenning
Filen godkjennes av den som har myndighet til å beslutte at systemet kan tas i bruk. For høyrisiko-systemer er dette normalt daglig leder eller ledergruppen.
Godkjenningen dokumenteres med:
- Navn og rolle til godkjenner.
- Dato for godkjenning.
- Eventuelle vilkår eller begrensninger.
Fase 4: Aktiv drift
Under aktiv drift holdes filen oppdatert ved endringer. Eieren er ansvarlig for å oppdatere filen når:
- Systemet får ny funksjonalitet.
- Bruksmåten endres.
- Leverandøren gjør vesentlige oppdateringer.
- Det skjer hendelser eller avvik.
- Det gjennomføres nye vurderinger.
Hver endring dokumenteres med dato, beskrivelse og hvem som oppdaterte.
Fase 5: Planlagt gjennomgang
Filen gjennomgås regelmessig – uavhengig av om det har skjedd endringer. Formålet er å bekrefte at innholdet fortsatt er korrekt og dekkende.
Fase 6: Avvikling
Når et KI-system tas ut av bruk, oppdateres filen med:
- Dato for avvikling.
- Begrunnelse.
- Eventuelle tiltak for data som ble behandlet (sletting, arkivering).
- Hvor filen arkiveres etter avvikling.
Systemfilen bør bevares i henhold til virksomhetens oppbevaringspolicy – også etter at systemet er avviklet.
Revisjonssyklus: når og hvordan
Fast gjennomgang
Etabler en fast syklus for gjennomgang av alle KI-systemfiler:
| Risikoklasse | Anbefalt frekvens |
|---|---|
| Høy risiko | Halvårlig |
| Begrenset risiko | Årlig |
| Minimal risiko | Årlig eller ved endring |
Hendelsesbasert gjennomgang
I tillegg til den faste syklusen bør filen gjennomgås ved:
- Ny versjon fra leverandør som endrer funksjonalitet eller treningsdata.
- Endret bruk – for eksempel utvidet bruksområde eller nye brukergrupper.
- Hendelse eller avvik – feil, klager eller uventede resultater.
- Organisasjonsendring – ny eier, omorganisering eller oppkjøp.
- Nytt regelverk – endringer i forordningen, nasjonale retningslinjer eller veiledning fra tilsyn.
Gjennomgangsprosessen
For hver gjennomgang:
- Eier leser gjennom hele filen.
- Eier vurderer om innholdet fortsatt er korrekt.
- Eier oppdaterer der det er nødvendig.
- KI-ansvarlig gjennomgår oppdateringen.
- Dato for gjennomgang dokumenteres i filen.
Bruk en enkel logg i filen for å spore gjennomganger:
GJENNOMGANGSLOGG
================
Dato | Gjennomgått av | Resultat | Kommentar
------------|----------------|-------------------|-------------------
2026-02-01 | [Navn] | Ingen endringer | Årlig gjennomgang
2026-08-15 | [Navn] | Oppdatert | Ny versjon fra leverandør
Praktisk oppsett: slik gjør du det
Steg 1: Lag en oversikt over alle systemfiler
Opprett et register – for eksempel et regneark eller en tabell – med alle KI-systemfiler:
KI-SYSTEMFILREGISTER
====================
System | Eier | Stedfortreder | Risikoklasse | Sist gjennomgått | Neste gjennomgang
--------------|-------------|---------------|--------------|------------------|-------------------
[System A] | [Navn] | [Navn] | Høy | 2026-02-01 | 2026-08-01
[System B] | [Navn] | [Navn] | Begrenset | 2026-02-01 | 2027-02-01
[System C] | [Navn] | [Navn] | Minimal | 2026-02-01 | 2027-02-01
Steg 2: Tilordne eiere
For hvert system, utpek:
- Eier – fagansvarlig som bruker systemet i sin avdeling.
- Stedfortreder – en kollega som kan overta ved fravær.
Kommuniser tydelig hva rollen innebærer og hva som forventes.
Steg 3: Sett opp påminnelser
Bruk virksomhetens eksisterende verktøy – kalender, oppgavesystem eller prosjektverktøy – til å sette opp påminnelser for planlagte gjennomganger. KI-ansvarlig bør ha oversikt over alle forfall.
Steg 4: Definer godkjenningsflyt
Beskriv hvem som godkjenner hva:
| Hendelse | Eier | KI-ansvarlig | Godkjenner (ledelse) |
|---|---|---|---|
| Ny systemfil opprettes | Utfører | Kvalitetskontroll | Godkjenner (høyrisiko) |
| Årlig gjennomgang | Utfører | Kvalitetskontroll | Informeres |
| Vesentlig endring | Utfører | Kvalitetskontroll | Godkjenner (høyrisiko) |
| Avvikling | Utfører | Kvalitetskontroll | Godkjenner |
Steg 5: Lagring og tilgjengelighet
Bestem hvor systemfilene lagres:
- Sentral lagring – alle filer på ett sted (delt mappe, intranett, dokumentsystem).
- Tilgangsstyring – eier og KI-ansvarlig har redigeringstilgang; øvrige har lesetilgang.
- Versjonskontroll – bruk versjonsnummerering og dato for å spore endringer.
- Backup – systemfilene bør inkluderes i virksomhetens backup-rutiner.
Versjonering
Hver vesentlige endring i systemfilen bør gi ny versjon. En enkel versjoneringsmodell:
- 1.0 – Første godkjente versjon.
- 1.1, 1.2 … – Mindre oppdateringer (korreksjoner, presiseringer).
- 2.0 – Vesentlig endring (ny funksjonalitet, endret klassifisering, ny konsekvensvurdering).
Dokumenter versjonshistorikk i filen:
VERSJONSHISTORIKK
=================
Versjon | Dato | Endret av | Beskrivelse
--------|------------|-----------|-----------------------------
1.0 | 2026-02-01 | [Navn] | Første versjon, godkjent av daglig leder
1.1 | 2026-05-15 | [Navn] | Oppdatert leverandørinformasjon
2.0 | 2026-09-01 | [Navn] | Ny funksjonalitet, ny konsekvensvurdering
Eksport for revisjon og tilsyn
Systemfiler bør kunne eksporteres raskt og i et format som er forståelig for mottakeren:
- For internt bruk: Fullt dokument med alle detaljer.
- For kunder: Sammendrag med klassifisering, tiltak og kontaktinformasjon – uten interne detaljer.
- For tilsyn: Fullt dokument med tilhørende vedlegg (konsekvensvurdering, drøftingsreferater, loggutdrag).
- For revisor: Fullt dokument pluss versjonshistorikk og gjennomgangslogg.
Ha disse eksportformatene klare på forhånd, slik at du kan respondere raskt når noen spør.
Vanlige feil å unngå
- Eierskap uten kapasitet. En eier som ikke har tid til å følge opp, er det samme som ingen eier. Sett av realistisk tid.
- Gjennomgang som avkrysningsøvelse. Hvis gjennomgangen bare er en signatur uten faktisk vurdering, gir den ingen verdi. Bruk gjennomgangen til å faktisk lese og reflektere over innholdet.
- Ingen versjonering. Uten versjonshistorikk kan du ikke vise hva som ble endret, når, og av hvem. Dette er viktig for revisjon.
- Lagring i personlige mapper. Systemfiler som kun finnes i én persons e-post eller lokale mappe, er utilgjengelige for andre og sårbare for tap.
- Ingen prosess ved personalskifte. Når en eier slutter, bør overlevering av systemfiler være en del av fratredelsesprosessen. Uten dette oppstår huller.
Sjekkliste for oppsett
- Alle KI-systemfiler har en navngitt eier.
- Alle eiere har en navngitt stedfortreder.
- Det finnes et sentralt register over alle systemfiler.
- Gjennomgangsfrekvens er bestemt per risikoklasse.
- Påminnelser for gjennomgang er satt opp.
- Godkjenningsflyt er definert og kommunisert.
- Systemfiler lagres sentralt med tilgangsstyring.
- Versjoneringsmodell er på plass.
- Eksportformater er klargjort for ulike mottakere.
- Prosess for personalskifte er beskrevet.
Videre lesning
- Styring og ansvar (oversikt)
- Hvem er faktisk ansvarlig for KI-dokumentasjon i en norsk SMB?
- RACI for KI i HR: HR, IT, juridisk og innkjøp
- Hva som ryker først når KI-etterlevelse ikke styres
Sist oppdatert
2026-02-02