Kiloven
Kontakt

Alvorlige hendelser og rapportering: hva bør dere logge og hvem rapporterer?

KI-forordningen pålegger både leverandører og brukere å rapportere alvorlige hendelser knyttet til KI-systemer. For virksomheter som tar i bruk KI, betyr dette at dere må vite hva som utløser rapporteringsplikt, hva som skal logges, og hvem som har ansvar for hva.

Hva er en alvorlig hendelse?

Forordningens definisjon

En alvorlig hendelse er en hendelse som direkte eller indirekte fører til, eller kunne ha ført til:

  • Død eller alvorlig skade på helse
  • Alvorlig og irreversibel forstyrrelse av kritisk infrastruktur
  • Brudd på grunnleggende rettigheter
  • Alvorlig skade på eiendom eller miljø

Praktiske eksempler i arbeidslivet

For KI-systemer brukt i HR og arbeidslivet kan alvorlige hendelser inkludere:

  • Et rekrutteringssystem som systematisk diskriminerer kandidater basert på beskyttede egenskaper
  • Et overvåkningssystem som feilaktig identifiserer ansatte som sikkerhetsrisiko
  • Et vurderingssystem som gir åpenbart uriktige resultater som fører til urettmessig oppsigelse
  • Systemsvikt som eksponerer sensitive personopplysninger

Hendelser som normalt ikke er alvorlige

Ikke alle feil eller problemer er rapporteringspliktige:

  • Mindre feil i KI-anbefalinger som fanges opp av menneskelig tilsyn
  • Tekniske problemer som raskt utbedres uten konsekvenser
  • Brukerfeil som ikke skyldes systemet
  • Generell misnøye med systemets resultater

Hvem har rapporteringsplikt?

Leverandørens ansvar

Leverandøren (provider) av KI-systemet har hovedansvaret for å:

  • Rapportere alvorlige hendelser til tilsynsmyndigheten
  • Undersøke årsaken til hendelsen
  • Iverksette korrigerende tiltak
  • Informere berørte parter

Ditt ansvar som bruker (deployer)

Som bruker av KI-systemet har du plikt til å:

  • Varsle leverandøren om alvorlige hendelser du blir kjent med
  • Samarbeide med leverandøren i undersøkelsen
  • Dokumentere hendelsen internt
  • Stanse bruk av systemet hvis nødvendig

Når du må rapportere direkte

I enkelte tilfeller kan du som deployer ha direkte rapporteringsplikt:

  • Hvis leverandøren ikke responderer på varsling
  • Hvis du har modifisert systemet vesentlig
  • Hvis hendelsen skyldes din bruk utenfor leverandørens instruksjoner

Hva må logges?

Hendelseslogg

For hver hendelse som kan være alvorlig, dokumenter:

  • Dato og tidspunkt for hendelsen
  • Beskrivelse av hva som skjedde
  • Hvem som oppdaget hendelsen
  • Hvilke personer som ble berørt
  • Umiddelbare tiltak som ble iverksatt

Kontekstinformasjon

Dokumenter også:

  • Hvilken versjon av systemet som var i bruk
  • Hvilke data som ble behandlet
  • Eventuelle uvanlige omstendigheter
  • Om lignende hendelser har skjedd tidligere

Kommunikasjonslogg

Hold oversikt over:

  • Når leverandøren ble varslet
  • Svar og oppfølging fra leverandøren
  • Eventuell kommunikasjon med myndigheter
  • Intern kommunikasjon om hendelsen

Hvordan dokumentere i praksis

Hendelsesrapport

Lag en standardisert mal for hendelsesrapportering:

HENDELSESRAPPORT - KI-SYSTEM
============================

Rapportnummer: [ID]
Dato for hendelse: [Dato]
Dato for rapport: [Dato]
Rapportert av: [Navn]

SYSTEM
------
Systemnavn: [Navn]
Leverandør: [Navn]
Versjon: [Versjon]

HENDELSE
--------
Beskrivelse: [Detaljert beskrivelse av hva som skjedde]
Oppdaget av: [Navn/rolle]
Berørte personer: [Antall og kategori]

ALVORLIGHETSGRAD
----------------
Vurdering: [Alvorlig / Potensielt alvorlig / Ikke alvorlig]
Begrunnelse: [Hvorfor denne vurderingen]

UMIDDELBARE TILTAK
------------------
[Liste over tiltak iverksatt]

VARSLING
--------
Leverandør varslet: [Ja/Nei, dato]
Myndigheter varslet: [Ja/Nei, dato]
Begrunnelse: [Hvis ikke varslet, hvorfor]

OPPFØLGING
----------
[Planlagte eller gjennomførte oppfølgingstiltak]

Tidsfrister

Vær oppmerksom på tidsfrister for rapportering:

  • Umiddelbar varsling til leverandør ved oppdagelse
  • Leverandøren skal rapportere til myndigheter innen kort tid (typisk 15 dager)
  • Supplerende informasjon kan sendes etterpå

Oppbevaring

Hendelsesdokumentasjon bør oppbevares:

  • Så lenge systemet er i bruk
  • Minimum den perioden forordningen krever
  • Lengre hvis hendelsen kan føre til krav eller klager

Intern rutine for hendelseshåndtering

Etabler klare roller

Avklar på forhånd:

  • Hvem mottar varsler om hendelser internt
  • Hvem vurderer alvorlighetsgrad
  • Hvem kontakter leverandøren
  • Hvem beslutter om systemet skal stanses

Beslutningstre

Lag et enkelt beslutningstre:

  1. Har det skjedd en hendelse knyttet til KI-systemet?
  2. Kan hendelsen ha ført til skade på personer, rettigheter eller eiendom?
  3. Er skaden alvorlig eller potensielt alvorlig?
  4. Hvis ja: Varsle leverandør umiddelbart, dokumenter alt, vurder å stanse bruk
  5. Hvis usikker: Behandle som potensielt alvorlig inntil avklart

Årlig gjennomgang

Gå gjennom hendelseslogg og rutiner årlig:

  • Har det vært hendelser?
  • Ble de håndtert riktig?
  • Må rutiner oppdateres?
  • Er kontaktinformasjon oppdatert?

Samarbeid med leverandøren

Avtal på forhånd

Ta opp følgende med leverandøren før noe skjer:

  • Hvordan skal hendelser varsles?
  • Hvem er kontaktperson hos leverandøren?
  • Hvilken informasjon trenger leverandøren fra dere?
  • Hva er forventet responstid?

Under en hendelse

Ved en faktisk hendelse:

  • Varsle umiddelbart gjennom avtalt kanal
  • Del all relevant informasjon
  • Følg leverandørens instrukser
  • Dokumenter all kommunikasjon

Etter hendelsen

Etter at hendelsen er håndtert:

  • Be om rapport fra leverandøren
  • Vurder om rutiner må endres
  • Oppdater intern dokumentasjon
  • Del læringspunkter internt

Vanlige feil å unngå

Undervurdere hendelser

Ikke avfei hendelser for raskt. Når i tvil, dokumenter og vurder grundig.

Mangle dokumentasjon

Sørg for at alt dokumenteres, også hendelser som viser seg å ikke være alvorlige.

Vente for lenge

Varsle leverandøren umiddelbart, ikke vent på full oversikt.

Mangle rutiner

Etabler rutiner før noe skjer, ikke under en krise.

Videre lesning

Sist oppdatert

2026-02-03