Hva tilsyn vil se

Når tilsynsmyndigheter eller revisorer ser på virksomhetens bruk av KI-systemer, er de interessert i å forstå om dere har kontroll og kan dokumentere etterlevelse. Denne artikkelen forklarer hva de typisk spør etter og hvordan du kan forberede deg.

Tilbake til veilederen: KI-loven og KI-forordningen

Tilsynets perspektiv

Tilsynsmyndigheter vurderer om virksomheten har etablert tilstrekkelige rutiner for å etterleve KI-forordningen. De ser etter bevis på at dere:

Har oversikt over hvilke KI-systemer som brukes
Har vurdert risikoklassifiseringen korrekt
Oppfyller kravene som gjelder for den aktuelle risikoklassen
Har etablert rutiner som sikrer etterlevelse over tid
Kan dokumentere beslutninger og vurderinger

Tilsynet handler ikke bare om å ha riktig dokumentasjon, men om å vise at dokumentasjonen reflekterer faktisk praksis.

Typiske forespørsler ved tilsyn

Oversikt over KI-systemer

Tilsynet vil typisk be om en komplett liste over KI-systemer virksomheten bruker. For hvert system forventes informasjon om:

Navn og leverandør
Formål og bruksområde
Risikoklassifisering med begrunnelse
Ansvarlig person internt
Når systemet ble tatt i bruk

Klassifiseringsdokumentasjon

For hvert system vil tilsynet kunne etterspørre:

Dokumentasjon av hvordan risikoklassen ble vurdert
Hvem som gjorde vurderingen og når
Hvilke kilder som ble brukt i vurderingen
Eventuell oppdatering av vurderingen over tid

Teknisk dokumentasjon

For høyrisikosystemer er kravene til dokumentasjon strengere:

Systembeskrivelse fra leverandør
Bruksanvisning og begrensninger
Informasjon om treningsdata og ytelse
Samsvarserklæring og eventuell CE-merking

Rutiner og prosesser

Tilsynet vil se at dere har etablerte rutiner:

Prosedyre for vurdering av nye systemer
Rutine for oppfølging av eksisterende systemer
Håndtering av endringer fra leverandør
Prosess for hendelsesrapportering

Logger og registre

Dokumentasjon av faktisk bruk:

Logger fra høyrisikosystemer
Beslutningslogger der KI har bidratt
Registrering av menneskelig tilsyn
Avvikslogg og hendelsesrapporter

Hvordan forberede deg

Samle dokumentasjon på ett sted

Opprett en sentral struktur der all KI-dokumentasjon samles. Dette gjør det enkelt å finne frem og viser at dere har oversikt.

Sjekk at dokumentasjonen er komplett

Gå gjennom hvert system og verifiser at du har:

Grunnleggende systeminformasjon
Klassifiseringsvurdering med dato
Relevant leverandørdokumentasjon
Egne rutiner og retningslinjer

Sikre sporbarhet

Dokumentasjonen bør vise en klar tidslinje:

Når beslutninger ble tatt
Hvem som tok dem
Hvilket grunnlag de var basert på
Eventuelle endringer over tid

Test at du kan hente frem informasjon raskt

Ved tilsyn forventes det at du kan svare på spørsmål uten lang ventetid. Øv på å finne frem dokumentasjon og gjør deg kjent med strukturen.

Vanlige mangler

Ufullstendig systemoversikt

Mange virksomheter mangler oversikt over alle systemer som inneholder KI-funksjonalitet. Skjult KI i standardverktøy blir ofte oversett.

Manglende klassifiseringsbegrunnelse

Selv om systemene er kartlagt, mangler ofte dokumentasjon av hvordan risikoklassen ble vurdert.

Utdatert dokumentasjon

Dokumentasjon som ikke er oppdatert etter endringer i systemet eller bruken, gir et dårlig inntrykk og kan indikere manglende kontroll.

Ingen kobling mellom dokumenter

Dokumenter som ikke refererer til hverandre gjør det vanskelig å se sammenhengen og verifisere at vurderingene er konsistente.

Ved tilsyn

Når tilsynet kommer:

Ha en ansvarlig person tilgjengelig som kjenner dokumentasjonen
Vær åpen og samarbeidsvillig
Svar konkret på spørsmålene som stilles
Dokumenter hva som ble etterspurt og hvilke svar som ble gitt
Følg opp eventuelle funn eller anmerkninger

Videre lesning

Sist oppdatert

2026-02-05