KI‑loven i praksis:

6 tips til hva norske virksomheter bør gjøre nå.

blogg

AI brukes allerede bredt i norske virksomheter – i rekruttering, kredittvurderinger, kundeservice, analyse og beslutningsstøtte. Med KI‑loven på vei inn i norsk rett gjennom EØS‑avtalen, er spørsmålet ikke lenger om din virksomhet blir omfattet, men hvordan dere bør forberede dere. Her får du 6 tips fra BDOs tech legal-eksperter. 

AI Act ble vedtatt i EU i 2024 og er allerede delvis i kraft. Regelverket innføres trinnvis, men flere plikter gjelder allerede – blant annet krav til KI‑kompetanse (AI literacy) hos ansatte som utvikler eller bruker KI‑systemer. Norske myndigheter arbeider nå med å innlemme regelverket i norsk rett gjennom KI-oven som trolig vil tre i kraf i Norge i 2027. 


Mange virksomheter omfattes – også de som «bare bruker» AI 

KI‑loven retter seg ikke bare mot teknologiselskaper og utviklere. Også virksomheter som tar AI i bruk i egen drift, kan få omfattende plikter – særlig der AI brukes til å støtte eller automatisere beslutninger som kan få konsekvenser for mennesker. 


Noen eksempler er: 

Rekruttering og HR 

Bruk av KI til screening, rangering eller vurdering av kandidater vil ofte falle inn under høyrisiko‑kategorien, med krav til dokumentasjon, forklarbarhet og menneskelig kontroll. 

Bank, finans og forsikring 

Banker og finansforetak som bruker AI‑baserte kredittvurderinger, risikoscorer eller automatiserte vedtak vil helt klart få krav etter KI-loven, som vil stille krav til transparens og etterprøvbarhet. 

Retail og netthandel 

Butikker bruker ofte AI for å analysere kundenes preferanser og gi personaliserte produktanbefalinger. Hvis dette innebærer omfattende innsamling og bruk av persondata, kan det utløse krav om transparens og risikovurdering. 

 

Helse og offentlig sektor 

Medisinsk og administrativ AI er strengt regulert, også der løsningen kun brukes som beslutningsstøtte. KI-loven vil stille stiller krav til dokumentasjon, testing og overvåking av slike systemer. 

Leverandører og integratorer 

Virksomheter som videreselger, tilpasser eller bygger KI inn i egne produkter, kan få et selvstendig ansvar etter KI‑loven. 

Et viktig poeng er at det ikke er størrelsen på virksomheten som avgjør, men risikoen knyttet til hvordan KI‑systemet brukes. 


Dette bør virksomheter gjøre nå 

Selv om deler av regelverket får virkning senere, er det mye norske virksomheter bør gjøre allerede nå for å redusere risiko og sikre kontroll. 

1. Kartlegg hvor og hvordan AI brukes i virksomheten 

Start med en samlet oversikt over: 

  • hvilke KI‑verktøy og ‑systemer som brukes i virksomheten i dag 

  • om løsningene er egenutviklet, kjøpt eller integrert fra tredjepart 

  • hvilke forretningsprosesser KI støtter eller påvirker 

 

For mange virksomheter avdekker denne øvelsen at KI brukes mer omfattende enn man tror. 

2. Avklar virksomhetens rolle og ansvar 

Er virksomheten: 

  • bruker (deployer) av KI? 

  • tilbyder eller leverandør av KI‑løsninger? 

  • distributør eller integrator? 

 

Rollen avgjør hvilke konkrete plikter KI‑loven stiller. 

Les mer om definisjonen av de ulike rollene i denne artikkelen. 

3. Risikoklassifiser KI‑bruken 

Vurder hvordan KI‑systemene plasserer seg i KI‑lovens risikokategorier; forbudte systemer, høyrisiko-systemer, systemer for allmenne formål, og systemer for allmenne formål med systemrisiko. Systemer som brukes i rekruttering, finans, helse eller offentlig beslutningstaking vil ofte kreve særskilte tiltak. 


4. Gjennomfør en GAP‑analyse 

Sammenlign dagens praksis med forventede krav i KI‑loven: 

  • dokumentasjon og styring 

  • transparens og informasjon 

  • menneskelig kontroll 

  • kompetanse og opplæring 

 

I hvilken grad jobber dere allerede i samsvar med kravene dere vil få, og hvilke gap på lukkes? Kartleggingen vil gi et godt bilde, slik at dere kan lage en plan med prioriterte tiltak.  

5. Etabler tydelig AI‑styring 

KI‑loven forutsetter at virksomheter har: 

  • klare interne retningslinjer for bruk av AI 

  • definerte roller og ansvar 

  • rutiner for vurdering av nye AI‑løsninger 

 

For mange vil dette naturlig henge sammen med eksisterende arbeid innen personvern, informasjonssikkerhet og risikostyring. 

6. Bygg kompetanse  

Kravet til AI‑kompetanse (AI literacy) gjelder allerede i EU og vil også treffe norske virksomheter. Det handler ikke om å gjøre alle til teknologer, men om å sikre at relevante ansatte: 

  • forstår hvordan AI brukes 

  • kjenner risikoene 

  • vet når menneskelig vurdering må ta over 

 

Kravet om AI-kompetanse innebærer også et krav om at virksomheten skal ha bevissthet om muligheter for KI-bruk, og det anbefales derfor å gjøre en såkalt AI-mulighetsanalyse for å se hvilke bruksområder man kan ha for AI i sin virksomhet. 

AI vil få stor betydning for næringslivet. For din virksomhet vil det være et konkurransefortrinn å vise at dere jobber i samsvar med regelverket. Det bidrar blant annet til å bygge tillit, få bedre kontroll og mer verdi av AI-systemene, og reduserer risiko både for omdømme og ev. bøter for manglende etterlevelse.  

Les også: 

> Hva er KI-loven og hva vil gjelde i Norge?
 
> 5 fakta du bør vite om KI-loven

Ønsker du råd eller bistand? Se hvordan BDO kan hjelpe.

Slate background box
Ki-loven seminar

Webinar: AI‑startpakke for ledere

Kom i gang med AI og bli klar for KI‑loven

Hvordan kommer du i gang med AI på en måte som faktisk gir verdi, og samtidig er i tråd med kravene i KI-loven? I dette webinaret får du en startpakke som svarer på det ledere flest lurer på:

Hva er første steg? Hvordan får du AI ut i organisasjonen? Og hvordan sikrer du kontroll på risiko, leverandører og regelverk, uten å bremse innovasjonen?


LES MER OG MELD DEG PÅ HER