Hva som ryker først når KI-etterlevelse ikke styres
De fleste virksomheter som tar i bruk KI-verktøy har intensjoner om å gjøre ting riktig. Problemet er sjelden ond vilje – det er fravær av struktur. Uten tydelig styring oppstår det hull som først blir synlige når noen spør: en kunde, en revisor, en tilsynsmyndighet eller en ansatt. Denne artikkelen beskriver de vanligste sviktpunktene og hjelper deg med å prioritere hva du bør fikse først.
Merk: Denne artikkelen er veiledende og basert på typiske mønstre. Din virksomhets situasjon kan avvike.
De fem vanligste sviktpunktene
1. Ingen vet hva som er i bruk
Det første som ryker er oversikten. Avdelinger tar i bruk verktøy med KI-funksjonalitet uten at noen sentralt vet om det. HR bruker ett system, salg et annet, kundeservice et tredje. IT har kanskje godkjent lisensene, men ikke vurdert KI-innholdet.
Hva som skjer:
- Ved tilsyn kan virksomheten ikke gi en liste over KI-systemer i bruk.
- Systemer som burde vært klassifisert som høyrisiko, opererer under radaren.
- Ingen har vurdert om bruken utløser dokumentasjonskrav.
Hvorfor det er alvorlig: Forordningen forutsetter at du kjenner til hvilke KI-systemer du bruker. Du kan ikke etterleve krav du ikke vet gjelder deg.
2. Ingen er ansvarlig
Det nest vanligste problemet er at ingen har fått tydelig ansvar for KI-etterlevelse. Alle antar at noen andre tar seg av det.
Hva som skjer:
- Klassifisering og vurdering gjøres ikke.
- Dokumentasjon opprettes ikke, eller opprettes men forfaller.
- Når en kunde eller tilsynsmyndighet spør, er det uklart hvem som skal svare.
- Ved hendelser (feil, diskriminering, klager) er det ingen som eier responsen.
Hvorfor det er alvorlig: Ansvar som ikke er tildelt eksplisitt, er i praksis ansvar som ikke ivaretas.
3. Dokumentasjon mangler eller er utdatert
Selv virksomheter som har gjort et første forsøk på dokumentasjon, svikter ofte på vedlikehold. Systemfiler opprettes, men oppdateres aldri. Vurderinger gjøres, men gjenspeiler ikke endringer i systemet eller bruken.
Hva som skjer:
- Systemfilen beskriver funksjonalitet fra da systemet ble innført – ikke dagens versjon.
- Konsekvensvurderinger er basert på en bruksmåte som har endret seg.
- Leverandøren har gjort oppdateringer som endrer risikovurderingen, men filen er uendret.
- Drøfting med tillitsvalgte ble gjort ved innføring, men ikke ved vesentlige endringer.
Hvorfor det er alvorlig: Utdatert dokumentasjon kan være verre enn ingen dokumentasjon. Den viser at virksomheten har vært bevisst forpliktelsene, men ikke fulgt opp – noe som svekker troverdigheten ved tilsyn.
4. Leverandørdokumentasjon er ikke innhentet
Mange virksomheter har ikke bedt leverandøren om den dokumentasjonen de trenger for å oppfylle sine egne forpliktelser som deployer.
Hva som skjer:
- Virksomheten bruker et system uten å vite hva det gjør teknisk.
- Klassifiseringen er basert på antakelser, ikke leverandørinformasjon.
- Risikovurderingen mangler informasjon om treningsdata, kjente begrensninger og tiltenkt bruk.
- Ved tilsyn kan virksomheten ikke dokumentere hva systemet faktisk gjør.
Hvorfor det er alvorlig: Som deployer er du ansvarlig for å bruke systemet i tråd med regelverket. Uten informasjon fra leverandøren kan du ikke vurdere om du gjør det.
5. Menneskelig tilsyn er formelt, ikke reelt
For høyrisiko-systemer krever forordningen menneskelig tilsyn. I praksis ser det ofte slik ut: noen er utpekt som «ansvarlig», men de forstår ikke hva systemet gjør, har ikke myndighet til å gripe inn, eller har ikke kapasitet til å faktisk gjennomgå systemets output.
Hva som skjer:
- KI-systemet kjører i praksis på autopilot.
- Den utpekte personen signerer av uten reell vurdering.
- Feil og skjevheter oppdages ikke fordi ingen faktisk kontrollerer.
- Ved hendelser viser det seg at tilsynsrutinen var en papirøvelse.
Hvorfor det er alvorlig: Menneskelig tilsyn som ikke er reelt, er brudd på forordningen – uavhengig av om det står en rutine i systemfilen.
Tidslinje: når sviktpunktene typisk oppdages
| Hendelse | Hva som avdekkes |
|---|---|
| Kunde spør om KI-bruk | Ingen kan svare raskt – det finnes ingen oversikt |
| Ny ansatt spør «hvem eier dette?» | Ingen eier er definert – eller den som var eier har sluttet |
| Leverandør endrer systemet | Systemfilen oppdateres ikke – vurderingen er utdatert |
| Ansatt klager på KI-beslutning | Det finnes ingen klagemekanisme og ingen dokumentert tilsynsrutine |
| Tilsyn ber om dokumentasjon | Filer mangler, er utdaterte, eller ingen vet hvor de er |
| Revisjon etterspør evidens | Versjonshistorikk og gjennomgangslogg finnes ikke |
Varselsignaler: slik oppdager du problemene tidlig
Du trenger ikke vente på tilsyn for å oppdage at styringen svikter. Her er varselsignaler du kan se etter:
- Ingen kan liste opp KI-systemene i bruk på fem minutter. Hvis det krever ukelangt arbeid å lage oversikten, har du ikke oversikt.
- Spørsmål om KI-etterlevelse ender i en e-postkjede uten konklusjon. Ingen vet hvem som skal svare eller ta beslutningen.
- Systemfiler har ikke blitt oppdatert på over ett år. Særlig for høyrisiko-systemer er dette et tegn på at prosessen ikke fungerer.
- Leverandører har ikke blitt spurt om dokumentasjon. Hvis du aldri har sendt en formell forespørsel, mangler du grunnlag for din egen vurdering.
- Tillitsvalgte har ikke blitt informert om KI-systemer som berører ansatte. Norsk arbeidsrett krever dette – og det er ofte det første myndighetene sjekker.
Hva du bør fikse først: prioritert rekkefølge
Hvis virksomheten din kjenner seg igjen i beskrivelsene over, er det naturlig å lure på hvor du skal begynne. Her er en prioritert rekkefølge basert på hva som gir mest effekt raskest:
Prioritet 1: Lag oversikten
Alt annet bygger på dette. Uten en liste over KI-systemer i bruk er det umulig å gjøre noe annet meningsfullt.
Konkret handling: Sett av en halv dag. Gå gjennom alle avdelinger og spør: «Hvilke digitale verktøy bruker dere som inneholder KI eller maskinlæring?» Lag en enkel tabell med systemnavn, leverandør og bruksformål.
Prioritet 2: Utpek en KI-ansvarlig
Noen må eie prosessen. Det trenger ikke være en full stilling – i en SMB kan det være noen timer i måneden. Men det må være en navngitt person med mandat og kapasitet.
Konkret handling: Daglig leder utpeker en KI-ansvarlig. Dokumenter beslutningen med navn, rolle og tidsressurs.
Prioritet 3: Klassifiser de mest åpenbare høyrisiko-systemene
Du trenger ikke klassifisere alt med en gang. Start med de systemene som mest sannsynlig er høyrisiko – typisk systemer som påvirker ansettelse, arbeidsvilkår eller tilgang til tjenester.
Konkret handling: KI-ansvarlig gjennomgår oversikten og identifiserer 2–3 systemer som bør vurderes først. Gjennomfør en foreløpig klassifisering.
Prioritet 4: Be leverandører om dokumentasjon
For de systemene som er identifisert som potensielt høyrisiko, send en formell forespørsel til leverandøren.
Konkret handling: Send en e-post med spørsmål om teknisk dokumentasjon, bruksanvisning, treningsdata og leverandørens egen risikovurdering. Dokumenter forespørselen og svaret.
Prioritet 5: Opprett systemfiler for høyrisiko-systemer
Med oversikt, eier og leverandørdokumentasjon på plass kan du opprette de første systemfilene.
Konkret handling: Bruk en fast mal og fyll ut det du vet. Merk det du ikke vet som «avventer informasjon» – det er bedre enn å utsette hele filen.
Prioritet 6: Etabler gjennomgangsrutine
Når de første filene er på plass, sett opp en fast syklus for gjennomgang slik at dokumentasjonen ikke forfaller.
Konkret handling: Legg inn påminnelser i kalenderen. For høyrisiko: halvårlig. For øvrige: årlig.
Oversiktstabell: sviktpunkt og tiltak
| Sviktpunkt | Konsekvens | Første tiltak |
|---|---|---|
| Ingen oversikt | Kan ikke svare på hva som er i bruk | Kartlegg alle KI-systemer |
| Ingen ansvarlig | Ingenting skjer | Utpek KI-ansvarlig |
| Utdatert dokumentasjon | Falsk trygghet ved tilsyn | Sett opp gjennomgangsrutine |
| Manglende leverandørinfo | Kan ikke vurdere risiko | Send formell forespørsel |
| Proforma tilsyn | Reelt brudd på forordningen | Definer hva tilsyn faktisk innebærer |
Hverdagstesten: kan du svare på disse?
En enkel test for om styringen fungerer: kan du svare raskt og konkret på disse spørsmålene?
- Hvilke KI-systemer bruker virksomheten i dag?
- Hvem er ansvarlig for hvert system?
- Er hvert system klassifisert etter forordningens kategorier?
- Finnes det oppdatert dokumentasjon for høyrisiko-systemene?
- Har leverandørene levert den dokumentasjonen dere trenger?
- Er berørte ansatte informert om at KI brukes?
- Er det gjennomført drøfting med tillitsvalgte der det kreves?
Hvis svaret på to eller flere av disse er «nei» eller «vet ikke», er det et tydelig signal om at styringen trenger oppmerksomhet.
Vanlige feil i oppstarten
- Vente på at alt er perfekt. En ufullstendig oversikt er bedre enn ingen oversikt. Start med det du vet, og utfyll etter hvert.
- Bare fokusere på dokumentasjon. Dokumentasjon uten prosess er papir. Sørg for at noen eier oppfølgingen.
- Gjøre det til et IT-prosjekt. KI-etterlevelse er et forretningsansvar. IT bistår, men fagansvarlige og ledelsen må eie det.
- Undervurdere lavrisiko-systemer. Selv systemer som klassifiseres som begrenset eller minimal risiko trenger å være kartlagt og dokumentert – om enn i enklere form.
- Utsette fordi «forordningen ikke gjelder ennå». Kunder og samarbeidspartnere i EU stiller krav allerede nå. Og forberedelser tar tid.
Videre lesning
- Styring og ansvar (oversikt)
- Hvem er faktisk ansvarlig for KI-dokumentasjon i en norsk SMB?
- RACI for KI i HR: HR, IT, juridisk og innkjøp
- Slik setter du opp eier og prosess for KI-systemfiler (livsløp og revisjoner)
Sist oppdatert
2026-02-02