Tilsyn, revisjon og bevis
EU KI-forordningen stiller krav til at virksomheter kan dokumentere hvordan de bruker KI-systemer. Ved tilsyn eller revisjon må du kunne vise frem konkret evidens for at vurderinger er gjort, rutiner er fulgt, og kontroll er på plass.
For mange virksomheter handler revisjonsberedskap om å gå fra muntlig praksis til dokumentert praksis.
Hva tilsyn typisk etterspør
Tilsynsmyndigheter vil ofte be om å se:
- Oversikt over KI-systemer i bruk og deres klassifisering
- Dokumenterte risikovurderinger og tiltak
- Logger som viser hvordan systemene brukes
- Rutiner for menneskelig kontroll og overstyring
- Opplæringsdokumentasjon for ansatte som bruker systemene
- Avtaler med leverandører og mottatt dokumentasjon
Vanlige mangler
Virksomheter som ikke er forberedt på tilsyn har ofte disse svakhetene:
- Ingen samlet oversikt over hvilke KI-systemer som er i bruk
- Vurderinger er gjort, men ikke dokumentert
- Logger mangler eller er utilgjengelige
- Uklar ansvarsfordeling for hvem som skal svare på tilsynsforespørsler
- Dokumentasjon er spredt på e-post, regneark og ulike systemer
Evidens og sporbarhet
Dokumentasjon må være sporbar og verifiserbar. Det betyr at du bør kunne vise:
- Når vurderinger ble gjort og av hvem
- Hvilke beslutninger som ble tatt og på hvilket grunnlag
- Hvordan systemene har vært brukt over tid
- At rutiner faktisk følges i praksis
Struktur for KI-systemfiler
En systematisk tilnærming er å opprette en systemfil for hvert KI-system. En slik fil kan inneholde:
- Systembeskrivelse og bruksområde
- Klassifiseringsvurdering med begrunnelse
- Risikovurdering og tiltak
- Leverandørdokumentasjon
- Logger og bruksstatistikk
- Endringslogg og oppdateringer
Lagringstid og tilgjengelighet
Dokumentasjon må oppbevares så lenge den kan være relevant for tilsyn. For høyrisikosystemer kan dette være i hele systemets levetid og en periode etter at det tas ut av bruk.
Dokumentasjonen må også være tilgjengelig innen rimelig tid ved forespørsel. Det betyr at du bør ha en plan for hvor dokumentasjon lagres og hvem som har tilgang.
Kundehenvendelser
I tillegg til offentlig tilsyn kan du motta spørsmål fra kunder som ønsker å dokumentere sin egen etterlevelse. Et gjennomtenkt svaropplegg for slike henvendelser kan spare tid og bygge tillit.
Del av veilederen
Denne siden er del av vår praktiske veileder til KI-loven og KI-forordningen.
Videre lesning
- Hva tilsyn vil se
- Evidens-sjekkliste for revisjon
- Hvilke logger og registre
- Slik strukturerer du KI-systemfil
- Slik svarer du kundespørsmål om etterlevelse
- Hvor lenge lagre KI-dokumentasjon
- Alvorlige hendelser og rapportering
Sist oppdatert
2026-02-05