KI Risiko og Suksess

AI Act i praksis: ansvarlig KI-utrulling som gir målbare

Forfatter: Irma Rustad
KI-Hjelpemidler:
ChatGPTGeminiNotebookLM

De fleste virksomheter får verdi av KI i små lommer. EU AI Act skjerper forventningen: fra ad hoc-eksperimenter til styrt utrulling med dokumentasjon, kontroll...

AI Act i praksis: ansvarlig KI-utrulling som gir målbare

PÅ FARTEN? LYTT ELLER SE

VIDEO_PREVIEW
PODCAST_STREAM

Oppsummering

De fleste virksomheter får verdi av KI i små lommer. EU AI Act skjerper forventningen: fra ad hoc-eksperimenter til styrt utrulling med dokumentasjon, kontroll og tydelig ansvar. Her får du en praktisk modell for minimum compliance – og hvordan den samme strukturen kan brukes til å skape målbare gevinster og et tydelig workshop-løp.

Når AI Act kombineres med GDPR, må både data og modeller må håndteres riktig.

1. Hvorfor AI Act endrer spillereglene for utrulling

AI Act gjør ansvarlig KI operasjonelt: virksomheter må kunne vise styring, dokumentasjon og kontroll – særlig når KI påvirker mennesker eller brukes i regulerte prosesser. I EU trådte regelverket i kraft 1. august 2024 og innføres trinnvis [1]. Norske virksomheter må forberede seg gjennom EØS-prosessen og nasjonal KI-lov [2].

2. Minimum compliance: 7 byggesteiner

Dette er et minimum som gir både kontroll og fart (og kan skaleres):

  • 1) KI-register: verktøy/modeller, formål, eiere, data, leverandør og hvor det brukes.
  • 2) Risikoklassifisering: grovklassifiser etter AI Act og identifiser høyrisiko-kandidater [3].
  • 3) Rolleavklaring: KI-eier, dataeier, prosesseier, sikkerhet og personvern.
  • 4) Policy for bruk: hva er tillatt, hva er forbudt, og hvilke data kan brukes hvor.
  • 5) Opplæring (AI literacy): minimumskompetanse + trening i menneskelig kontroll.
  • 6) Kontrollspor: logging, beslutningsgrunnlag, endringer, avvik og tiltak.
  • 7) Måling av gevinst: baseline + KPI-er som tåler revisjon.

3. GDPR i praksis: slik henger det sammen med AI Act

AI Act og GDPR handler om ulike ting, men må styres sammen:

  • GDPR (data): rettslig grunnlag, dataminimering, sikkerhet, databehandleravtaler og ved behov DPIA.
  • AI Act (system): risikoklassifisering, styringskrav, dokumentasjon, kontrollspor og menneskelig kontroll.

I praksis bør du samle dette i én intern «kontrollpakke» per KI-løsning: formål, datagrunnlag, leverandør, risikoklasse, tiltak, opplæring og kontrollspor. Datatilsynet har i sin høringsuttalelse løftet behovet for tydelige rammer og håndheving i norsk gjennomføring [4].

4. Leverandørstyring: unngå «compliance-gjeld»

De fleste virksomheter bruker KI via leverandører. Da er spørsmålet ikke bare «fungerer verktøyet», men:

  • hvilken rolle har vi (deployer) og hva er leverandøren (provider)?
  • hvilke data går inn, og hvilke data forlater organisasjonen?
  • hva skjer når verktøyet brukes i en prosess som kan være høyrisiko?

DFØ har vurdert hvordan Norge bør organisere oppfølging og anbefaler Nkom som nasjonalt kontaktpunkt og koordinerende tilsyn, med samarbeid mellom Nkom, Digdir og Datatilsynet [5]. For virksomheter betyr dette at forventningene til struktur og dokumentasjon vil øke – også i leverandørkjeden.

5. GPAI og generativ KI: hva du må få på plass

Reglene for general-purpose AI (GPAI) blir særlig relevante fordi de treffer grunnmodeller og generativ KI som brukes på tvers av virksomhetsområder. EU-kommisjonen beskriver at GPAI-bestemmelser skal gjelde 12 måneder etter ikrafttredelse, og peker på Code of Practice/AI Office-oppfølging [1].

For utrulling i organisasjonen betyr det at generativ KI må inn i styringen:

  • Bruksregler: hvilke data er forbudt, hvilke oppgaver er «høy risiko» i din virksomhet.
  • Kvalitetskontroll: rutiner for feil, hallusinasjoner, kildekrav og sporbarhet.
  • Åpenhet: når brukere/kunder skal informeres og innhold merkes.

6. Fra pilot til produksjon: måleplan + kontrollspor

Hvis du vil ha målbar effekt, må KI behandles som prosessforbedring – ikke bare teknologi:

  • Baseline: mål nåsituasjon (tid, kvalitet, kost, risiko) før KI tas i bruk.
  • Måleplan: KPI-er, datakilder, ansvar og frekvens.
  • Kontrollspor: dokumenter vurderinger, endringer og avvik slik at det kan etterprøves.

Dette gir både etterlevelse og gevinstdokumentasjon. Det er også grunnlaget for å skalere uten å skape compliance-gjeld.

7. Workshopopplegg: raskt, konkret og målbart

Et workshop-løp som typisk gir rask fremdrift i norske virksomheter:

  • Del 1: KI-register + risikoklassifisering + identifisering av høyrisiko-kandidater.
  • Del 2: governance + policy + GDPR-samordning + leverandørkrav + kontrollspor.
  • Del 3: gevinstplan (baseline, KPI-er, prioriterte use-cases) og beslutning om utrulling.

Dette er salgbart fordi det gir ledelsen to ting samtidig: redusert risiko og en tydelig vei til målbar verdi.

Referanser

  1. European Commission. AI Act enters into force (1 August 2024) – omtale av innfasing og GPAI. commission.europa.eu
  2. Regjeringen.no. Høring: utkast til ny lov om kunstig intelligens (KI-loven). regjeringen.no
  3. Future of Life Institute. AI Act Explorer. artificialintelligenceact.eu
  4. Datatilsynet. Høringsuttalelse – forslag til ny lov om kunstig intelligens (KI-loven) (PDF). datatilsynet.no
  5. DFØ. Nkom anbefales som nasjonalt kontaktpunkt og koordinerende tilsynsorgan. dfo.no

Artikkelserie

ansvarlig ki regler og etikk

1GDPR og EUs AI Act (KI-forordningen): veileder for norske2AI Act i praksis: ansvarlig KI-utrulling som gir målbareLeser nå3EUs AI Act: risikonivåene – og hva som gjør et KI-system4Ansvarlig KI i Norge: Case, tillit og omdømmerisiko5Strategisk og juridisk rammeverk for KI og ansattes personvern