Hvilke logger og registre

Logging er en forutsetning for å kunne dokumentere hvordan KI-systemer brukes og hvilke beslutninger de bidrar til. Denne artikkelen gir deg oversikt over hvilke logger og registre som typisk trengs, hva som ofte mangler, og hvordan du kan beskrive loggdekningen realistisk.

Hvorfor logger er viktige

KI-forordningen krever at høyrisikosystemer har automatisk logging som gjør det mulig å spore systemets funksjon og beslutninger. Men også for systemer med lavere risiko er logging verdifullt fordi det:

• Gjør det mulig å dokumentere faktisk bruk ved tilsyn
• Støtter undersøkelse av hendelser eller klager
• Gir grunnlag for å vurdere om systemet fungerer som forventet
• Sikrer sporbarhet for beslutninger som påvirker enkeltpersoner

Typer logger og registre

Systemlogger fra leverandøren

Mange KI-systemer har innebygd logging som registrerer:

• Når systemet brukes og av hvem
• Hvilke input som sendes til systemet
• Hvilke output eller anbefalinger systemet gir
• Feilmeldinger og systemhendelser

Disse loggene ligger ofte hos leverandøren i skyen. Du bør vite om du har tilgang til dem og hvordan du kan eksportere dem.

Beslutningslogger

Beslutningslogger dokumenterer hvordan KI-output brukes i praksis:

• Hvilke anbefalinger systemet ga
• Hvilken beslutning som faktisk ble tatt
• Om anbefalingen ble fulgt eller overstyrt
• Hvem som tok den endelige beslutningen
• Begrunnelse for viktige beslutninger

Disse loggene må ofte føres manuelt eller semi-automatisk, da de handler om menneskelig vurdering.

Tilsynslogger

For høyrisikosystemer skal det dokumenteres at menneskelig tilsyn faktisk gjennomføres:

• Hvem som utfører tilsynet
• Når tilsyn gjennomføres
• Hva som kontrolleres
• Funn og eventuelle tiltak

Avviks- og hendelseslogger

Registrering av uønskede hendelser:

• Feil eller uventede resultater fra systemet
• Klager fra berørte personer
• Sikkerhets- eller personvernhendelser
• Tiltak som ble iverksatt

Endringslogger

Dokumentasjon av endringer i systemet eller bruken:

• Oppdateringer fra leverandøren
• Endringer i konfigurasjon
• Endringer i bruksområde
• Endringer i tilganger

Hva som ofte mangler

Tilgang til systemlogger

Mange virksomheter har ikke sjekket om de faktisk har tilgang til loggene fra KI-systemer de bruker. Leverandøren logger kanskje, men eksport eller innsyn er ikke avtalt.

Kobling mellom input og output

Selv om systemet logger, kan det være vanskelig å koble sammen hva som ble sendt inn og hva som kom ut i en spesifikk sak.

Beslutningslogger

Det er vanlig at virksomheter mangler dokumentasjon av hvordan menneskelig vurdering faktisk skjer. KI-output logges, men ikke hva som skjedde etterpå.

Logg over tilsyn

Selv om det gjennomføres menneskelig tilsyn, er det ofte ikke dokumentert systematisk.

Oppbevaringsplan

Mange mangler oversikt over hvor lenge logger oppbevares og når de slettes.

Hvordan beskrive loggdekning realistisk

Det er bedre å ha en ærlig beskrivelse av hva du faktisk logger enn å love mer enn du kan levere. En realistisk loggdokumentasjon bør inneholde:

Hva som logges

Beskriv konkret hvilke hendelser og data som faktisk registreres. Vær spesifikk:

• «Systemet logger tidspunkt, bruker-ID og output for hver forespørsel»
• «Beslutninger om ansettelse logges manuelt i rekrutteringssystemet med begrunnelse»

Hva som ikke logges

Vær åpen om begrensninger:

• «Input til systemet logges ikke på grunn av personvernhensyn»
• «Detaljert begrunnelse for enkeltbeslutninger logges ikke systematisk»

Hvor loggene ligger

Dokumenter hvor loggene lagres:

• Hos leverandøren i skyen
• I egne systemer
• I manuelle registre

Hvem som har tilgang

Beskriv hvem som kan hente ut logger og under hvilke omstendigheter.

Oppbevaringstid

Angi hvor lenge logger oppbevares og grunnlaget for oppbevaringstiden.

Minimumskrav for ulike risikonivåer

Høyrisikosystemer

For systemer klassifisert som høyrisiko stiller forordningen konkrete krav:

• Automatisk logging av hendelser gjennom systemets levetid
• Logger skal kunne brukes til å verifisere at systemet oppfyller kravene
• Oppbevaring i en periode som er passende for formålet

Systemer med lavere risiko

For andre systemer er det ikke lovpålagte loggkrav, men du bør likevel kunne:

• Dokumentere at systemet brukes som tiltenkt
• Svare på henvendelser fra berørte personer
• Undersøke eventuelle klager eller hendelser

Praktisk tilnærming

Kartlegg eksisterende logger

Start med å dokumentere hva som allerede logges:

• Hva logger leverandøren?
• Hva logger dine egne systemer?
• Hva registreres manuelt i dag?

Identifiser hull

Vurder om det er hull mellom det som logges og det du trenger for å:

• Dokumentere etterlevelse
• Svare på tilsyn
• Undersøke hendelser

Prioriter tiltak

Hvis det er hull, prioriter basert på risiko:

• Høyrisikosystemer først
• Systemer som påvirker enkeltpersoner vesentlig
• Systemer der klager er sannsynlig

Etabler rutiner

Sørg for at logging skjer konsistent:

• Definer hvem som er ansvarlig
• Lag enkle prosedyrer for manuell logging
• Sjekk regelmessig at logging faktisk skjer

Videre lesning

• Tilsyn, revisjon og bevis
• Hva tilsyn vil se
• Evidens-sjekkliste for revisjon
• Slik strukturerer du KI-systemfil
• Slik svarer du kundespørsmål om etterlevelse
• Hvor lenge lagre KI-dokumentasjon
• Alvorlige hendelser og rapportering

Sist oppdatert

2026-02-02