Hvem er ansvarlig i en norsk SMB?
I store virksomheter finnes det ofte dedikerte roller for compliance, personvern og IT-sikkerhet. I en SMB med 15 eller 50 ansatte er situasjonen annerledes. Denne artikkelen hjelper deg med å avklare hvem som faktisk bør eie KI-etterlevelse, og gir deg en enkel ansvarsmodell som kan dokumenteres.
Utgangspunktet: Ledelsen har ansvaret
Uavhengig av hvordan du organiserer det praktiske arbeidet, ligger det overordnede ansvaret hos virksomhetens ledelse. Dette følger av:
- Selskapslovgivningen: Styret og daglig leder har ansvar for at virksomheten drives i samsvar med gjeldende lover
- Personvernregelverket: Behandlingsansvarlig (virksomheten) har ansvar for etterlevelse av GDPR
- KI-forordningen: Deployer (virksomheten) har ansvar for å bruke KI-systemer i tråd med regelverket
Ansvaret kan delegeres, men ikke frasies. Ledelsen må sikre at noen faktisk ivaretar oppgavene.
Typisk situasjon i en SMB
I praksis ser vi ofte at:
- Ingen har tydelig ansvar: KI-verktøy tas i bruk uten at noen "eier" compliance
- Ansvar er spredt: HR håndterer sitt, IT sitt, innkjøp sitt
- Ansvar er antatt: "Noen tar seg vel av det"
- Ansvar er ad hoc: Den som tilfeldigvis får spørsmålet, svarer
Dette fungerer til hverdags, men feiler ved revisjon, tilsyn eller hendelser.
Nødvendige roller i en SMB
For KI-etterlevelse trenger du ikke mange roller, men de du har må være tydelige.
Rolle 1: KI-ansvarlig (eller compliance-koordinator)
Hva rollen innebærer:
- Oversikt over hvilke KI-systemer virksomheten bruker
- Sikre at klassifisering og vurdering gjennomføres
- Koordinere dokumentasjon og oppfølging
- Være kontaktpunkt for spørsmål om KI-etterlevelse
- Holde ledelsen informert
Hvem kan ha rollen:
- I små virksomheter: Daglig leder eller en i ledergruppen
- I mellomstore virksomheter: HR-sjef, IT-leder, kvalitetsansvarlig eller lignende
- Kan kombineres med personvernombud eller compliance-ansvarlig
Krav til rollen:
- Tilstrekkelig tid avsatt
- Mandat til å innhente informasjon fra hele virksomheten
- Tilgang til ledelsen for beslutninger
Rolle 2: Systemeiere
Hva rollen innebærer:
- Ansvar for det enkelte KI-systemet i daglig drift
- Sikre at systemet brukes i tråd med rutiner
- Rapportere avvik og hendelser
- Delta i klassifisering og vurdering
Hvem kan ha rollen:
- Den som "eier" fagområdet der systemet brukes
- Eksempel: HR-leder for rekrutteringssystem, salgssjef for CRM med KI
Krav til rollen:
- Kunnskap om hvordan systemet faktisk brukes
- Myndighet til å påvirke bruken
- Kapasitet til å følge opp
Rolle 3: Godkjenner
Hva rollen innebærer:
- Godkjenne at nye KI-systemer tas i bruk
- Godkjenne klassifisering og risikovurdering
- Beslutte tiltak ved avvik eller hendelser
Hvem kan ha rollen:
- Daglig leder eller ledergruppen
- For høyrisikosystemer: Styret bør informeres
Krav til rollen:
- Beslutningsmyndighet
- Tilstrekkelig informasjon til å ta beslutninger
Minimumsmodell for SMB
For en virksomhet med 15-50 ansatte kan dette være tilstrekkelig:
ANSVARSMODELL KI-ETTERLEVELSE
=============================
KI-ansvarlig: [Navn, rolle]
Stedfortreder: [Navn, rolle]
Systemeiere:
- [System A]: [Navn, rolle]
- [System B]: [Navn, rolle]
- [System C]: [Navn, rolle]
Godkjenner: [Daglig leder / Ledergruppen]
Dokumentert: [Dato]
Godkjent av: [Navn]
Ansvarsfordeling i praksis
Ved innføring av nytt KI-system
| Aktivitet | Ansvarlig | Godkjenner |
|---|---|---|
| Identifisere behov | Systemeier | - |
| Leverandørvurdering | KI-ansvarlig + Systemeier | - |
| Klassifisering | KI-ansvarlig | Godkjenner |
| Risikovurdering | KI-ansvarlig + Systemeier | Godkjenner |
| Drøfting med tillitsvalgte | Systemeier (HR) | - |
| Beslutning om innføring | - | Godkjenner |
| Informasjon til berørte | Systemeier | - |
| Opplæring | Systemeier | - |
| Dokumentasjon | KI-ansvarlig | - |
Ved løpende drift
| Aktivitet | Ansvarlig | Frekvens |
|---|---|---|
| Overvåke systemets funksjon | Systemeier | Løpende |
| Rapportere avvik | Systemeier | Ved hendelse |
| Oppdatere dokumentasjon | KI-ansvarlig | Ved endring |
| Årlig gjennomgang | KI-ansvarlig | Årlig |
| Rapportere til ledelsen | KI-ansvarlig | Kvartalsvis eller årlig |
Ved hendelse eller tilsyn
| Aktivitet | Ansvarlig | Støtte |
|---|---|---|
| Motta henvendelse | KI-ansvarlig | - |
| Samle dokumentasjon | KI-ansvarlig | Systemeiere |
| Koordinere respons | KI-ansvarlig | Juridisk/ekstern |
| Godkjenne respons | Godkjenner | - |
| Implementere tiltak | Systemeier | KI-ansvarlig |
Dokumenter ansvaret
Ansvarsfordelingen bør dokumenteres skriftlig. Et enkelt dokument er tilstrekkelig:
ANSVAR FOR KI-ETTERLEVELSE
==========================
Versjon: 1.0
Dato: [Dato]
Godkjent av: [Daglig leder]
BAKGRUNN
--------
[Virksomhetsnavn] bruker KI-baserte systemer i sin virksomhet.
Dette dokumentet definerer ansvar for etterlevelse av KI-forordningen
og tilhørende regelverk.
KI-ANSVARLIG
------------
Navn: [Navn]
Rolle: [Stilling]
Stedfortreder: [Navn, stilling]
Ansvar:
- Holde oversikt over virksomhetens KI-systemer
- Sikre at klassifisering og vurdering gjennomføres
- Koordinere dokumentasjon
- Være kontaktpunkt for KI-relaterte spørsmål
- Rapportere til ledelsen
Myndighet:
- Innhente informasjon fra alle deler av virksomheten
- Stoppe bruk av systemer ved alvorlige avvik (i samråd med daglig leder)
- Engasjere ekstern bistand ved behov (innenfor budsjett)
Tidsressurs: [X timer per måned]
SYSTEMEIERE
-----------
[System A]: [Navn, rolle]
[System B]: [Navn, rolle]
Ansvar for systemeiere:
- Sikre korrekt bruk i daglig drift
- Rapportere avvik til KI-ansvarlig
- Delta i klassifisering og vurdering
- Sørge for opplæring av brukere
GODKJENNING
-----------
Følgende krever godkjenning fra daglig leder:
- Innføring av nye KI-systemer
- Klassifisering som høyrisiko
- Vesentlige endringer i bruk
- Respons på tilsyn
IKRAFTTREDELSE
--------------
Dette dokumentet trer i kraft ved signatur.
___________________
[Daglig leder]
[Dato]
Vanlige feil å unngå
Ansvar uten myndighet
Hvis KI-ansvarlig ikke har myndighet til å innhente informasjon eller påvirke beslutninger, blir rollen meningsløs. Sikre at rollen har reell påvirkningskraft.
Ansvar uten tid
En rolle uten avsatt tid blir ikke ivaretatt. Vær realistisk om hva som kreves, og sett av tilstrekkelig kapasitet.
For mange roller
I en SMB er det bedre med få, tydelige roller enn mange overlappende. Unngå å lage en komplisert struktur som ikke fungerer i praksis.
Ingen stedfortreder
Hvis KI-ansvarlig er syk eller slutter, må noen kunne overta. Definer alltid en stedfortreder.
Manglende dokumentasjon
Muntlige avtaler om ansvar holder ikke ved revisjon. Dokumenter skriftlig hvem som har ansvar for hva.
Når trenger du mer?
Minimumsmodellen fungerer for de fleste SMB-er. Vurder om du trenger mer struktur hvis:
- Virksomheten bruker mange KI-systemer
- Dere har høyrisikosystemer
- Virksomheten vokser raskt
- Dere opererer i regulerte bransjer
- Det har vært hendelser eller tilsyn
I slike tilfeller kan det være aktuelt med:
- Dedikert ressurs til KI-compliance
- Formelt KI-utvalg eller styringsgruppe
- Eksterne ressurser til støtte
Videre lesning
- Styring og ansvar
- RACI for KI i HR
- Eier og prosess for KI-systemfiler
- Hva som ryker først uten styring
- Hvem eier KI-dokumentasjon internt
- Slik strukturerer du KI-systemfil
Sist oppdatert
2026-02-04