Du vet at KI-forordningen stiller krav til din bedrift. Men hva skal du faktisk gjøre, i hvilken rekkefølge, og hva er godt nok? Denne guiden er en praktisk sjekkliste, ikke en juridisk avhandling.
Etter å ha fulgt disse seks stegene vil bedriften din ha oppfylt de viktigste kravene som gjelder nå, og stå godt rustet til de som kommer.
Steg 1: Kartlegg all KI-bruk i bedriften
Hvorfor dette er første steg: Du kan ikke overholde regler for noe du ikke vet at du gjør. Mange bedrifter oppdager i kartleggingsfasen at KI-bruken er langt mer utbredt enn ledelsen trodde.
Hva du skal finne ut:
Hvilke verktøy brukes? Se etter lisensierte verktøy (som dukker opp i IT-budsjettet) og uoffisiell «skygge-KI» (som ansatte bruker privat til arbeidsformål). Eksempler:
- Microsoft Copilot (inkludert i mange Microsoft 365-lisenser)
- ChatGPT eller ChatGPT Enterprise
- GitHub Copilot
- Google Gemini i Workspace
- KI-funksjoner i CRM-systemer (Salesforce Einstein, HubSpot AI)
- KI-baserte rekrutteringsverktøy
- Bildegenerering (Midjourney, DALL-E, Adobe Firefly)
- Grammarly, Notion AI, eller tilsvarende
Hvem bruker hva? Gå gjennom avdelinger: marked, HR, økonomi, salg, IT, kundeservice. Bruk gjerne en enkel spørreundersøkelse internt: «Hvilke KI-verktøy bruker du i jobben din?»
Til hva brukes KI? Tekstproduksjon og korrektur? Møtereferater? Kodegenerering? Analyse av data? Kommunikasjon med kunder? Beslutningsstøtte i HR eller kreditt?
Praktisk tips:
Hvis dere bruker Microsoft 365, kan IT-admin se Copilot-aktivitetsrapporter i Microsoft 365 Admin Center. Dette gir en nøyaktig oversikt over hvem som bruker hva.
Steg 2: Klassifiser risikonivå for KI-bruken
Hvorfor: Ulike KI-bruksområder har ulike krav. Du trenger ikke samme beredskap for et Copilot-abonnement brukt til intern tekstproduksjon som for et KI-system brukt til å rangere jobbsøkere.
Slik klassifiserer du:
Se på hva KI-systemet brukes til og sett det i tabellen under:
| Bruksområde | Risikonivå | Krav nå |
|---|---|---|
| Skrive e-poster, notater, møtereferater | Minimal | KI-opplæring (Artikkel 4) |
| Kundeservice-chatbot | Begrenset | Merkeplikt + KI-opplæring |
| Analyse og rapportering | Minimal/begrenset | KI-opplæring |
| Bildegenerering for markedsføring | Begrenset | Merkeplikt fra høst 2026 |
| Rekruttering og CV-screening | Høy risiko (fra des. 2027) | KI-opplæring nå, høyrisikokompl. fra 2027 |
| Kredittvurdering og forsikringsprising | Høy risiko (fra des. 2027) | KI-opplæring nå, høyrisikokompl. fra 2027 |
| Helsefaglig beslutningsstøtte | Høy risiko (fra des. 2027) | KI-opplæring nå, høyrisikokompl. fra 2027 |
| Overvåking eller scoring av ansattes atferd | Potensielt forbudt | Juridisk vurdering nødvendig |
Viktig tommelfingerregel: Dersom KI-systemet hjelper med å ta beslutninger som har vesentlig innvirkning på enkeltpersoners rettigheter, muligheter eller tilgang til tjenester, da er høy risiko relevant. I alle andre tilfeller er du i minimal eller begrenset risikoklasse.
Steg 3: Gjennomfør KI-opplæring for alle ansatte som bruker KI
Dette er det eneste kravet som gjelder nå for de fleste bedrifter, og det viktigste å ta tak i.
Artikkel 4 i KI-forordningen krever at alle ansatte som bruker KI-systemer profesjonelt har tilstrekkelig KI-kompetanse. Kravet trådte i kraft i EU 2. august 2025. Det gjelder allerede.
Hvem skal ta opplæringen?
Alle ansatte som bruker KI-systemer i jobben sin. Det inkluderer:
- Ansatte som bruker Copilot, ChatGPT eller tilsvarende til tekstproduksjon
- Ansatte som bruker KI-funksjoner i CRM eller HR-systemer
- Ledere som godkjenner beslutninger basert på KI-anbefalinger
- IT-ansatte som forvalter KI-verktøy
Det er ikke noe unntak basert på stillingsnivå eller avdeling. Forordningen sier «personell og andre som håndterer KI-systemer», det er en bred definisjon.
Hva skal opplæringen dekke?
Basert på forordningens fortalepunkt 20 bør et minimumskurs dekke disse syv temaene:
1. Hva er KI? Grunnleggende forståelse av hva et KI-system er, maskinbasert, delvis autonomt, genererer utdata basert på mønstre i treningsdata, og hva som skiller det fra vanlig programvare.
2. KI-forordningen, hva er din bedrift forpliktet til? En kort og konkret gjennomgang: hva loven krever, hvilken rolle bedriften har (idriftsetter), og hva som er de viktigste forpliktelsene.
3. Risikoklassifisering Hvilke KI-verktøy bruker bedriften, og i hvilken risikoklasse befinner de seg? Ansatte bør forstå at rekruttering med KI er en annen situasjon enn å be Copilot om hjelp med en e-post.
4. Hallusinering og bias KI-systemer kan produsere overbevisende, men feil informasjon. De kan ha skjevheter fra treningsdata. Ansatte skal vite hva dette er og hvordan de kvalitetssikrer KI-utdata i sin arbeidshverdag.
5. Personvern og datasikkerhet Hva bør ikke legges inn i KI-verktøy? Sensitive personopplysninger (helseopplysninger, personnummer, bankinformasjon), forretningshemmeligheter og konfidensiell kundeinformasjon skal ikke deles med offentlige KI-tjenester uten at det er klarert med IT og juridisk.
6. Menneskelig tilsyn og ansvar KI er et hjelpeverktøy, ikke en beslutningstaker. Den ansatte er fortsatt ansvarlig for det endelige produktet, avgjørelsen eller kommunikasjonen. Kurset bør understreke at KI-output alltid skal kvalitetssikres av et menneske.
7. Bedriftens KI-policy Hvilke verktøy er godkjent? Hva er forbudt? Hvem kontakter man ved spørsmål? Kurset bør integrere bedriftens egne retningslinjer.
Hva med dokumentasjon?
Opplæringen skal dokumenteres. Lagre:
- Oversikt over hvem som gjennomførte opplæring
- Dato for gjennomføring
- Innholdet i kurset (læringsmål)
- Bekreftelse på gjennomføring (quiz-resultat, signatur, eller tilsvarende)
Tilsynsmyndigheten (Nkom) kan etterspørre denne dokumentasjonen. Oppbevar den i minimum 6 måneder, men helst lenger.
Steg 4: Lag en KI-policy for bedriften
En KI-policy er bedriftens interne kjøreregler for bruk av KI. Den trenger ikke være lang, men den bør finnes.
Hva en KI-policy bør inneholde:
Godkjente verktøy Liste over hvilke KI-verktøy som er godkjent for bruk i bedriften, og for hvilke formål.
Forbudt bruk Hva er ikke tillatt? Eksempler:
- Sensitive personopplysninger om kunder eller ansatte inn i offentlige KI-tjenester
- Finansiell eller juridisk konfidensialitet inn i ikke-godkjente verktøy
- KI-generert innhold som presenteres som menneskeskrevet uten merking
Kvalitetssikring Hvem er ansvarlig for å kvalitetssikre KI-generert innhold? Hva er prosessen for godkjenning?
Merkekrav Fra høsten 2026 skal KI-generert innhold merkes. Policyen bør spesifisere hva dette betyr for bedriften, i rapporter, kundekommunikasjon, markedsmateriell.
Hvem er ansvarlig? Hvem er bedriftens KI-ansvarlig? Hvem oppdaterer policyen? Hvem svarer på spørsmål fra ansatte?
Revisjon Policyen bør oppdateres minimum én gang i året, eller ved store regelverksendringer eller nye KI-verktøy.
Enkelt å starte med:
En KI-policy trenger ikke være en 20-siders juridisk analyse. Start med én side med de viktigste punktene, og utvid etter hvert som dere får mer erfaring.
Steg 5: Forbered merkekravene som kommer
Fra høsten 2026 gjelder krav om merking av KI-generert innhold. For eksisterende systemer gjelder det fra november 2026.
Merkekravet betyr at innhold laget med KI, tekster, bilder, lyd, video, skal ha et vannmerke eller metadata som identifiserer det som KI-generert. Kravet gjelder for innhold som publiseres eller distribueres eksternt.
Hva bør dere gjøre nå?
Kartlegg KI-produsert innhold: Hvilke dokumenter, bilder, videoer eller kommunikasjon produseres helt eller delvis av KI? Nyhetsbrev? Rapporter? Sosiale medier-innlegg? Kundepresentasjoner?
Avklar teknisk implementering: Microsoft, Google og Adobe implementerer automatisk vannmerking i sine verktøy. Sjekk status for de spesifikke verktøyene dere bruker.
Lag en merkepolicy: Definer hva som anses som «vesentlig KI-bidrag» som utløser merkeplikt, og hva som er kun KI-assistert redigering. Det er fortsatt noe uklarhet rundt dette i forordningen, følg med på EU-kommisjonens veiledning.
Steg 6: Dokumenter alt og bygg rutiner for fremtiden
KI-forordningen er ikke en engangsjobb. Regelverket vil utvikle seg, nye verktøy vil tas i bruk, og tilsynsmyndighetene vil etterspørre dokumentasjon.
Hva bør dokumenteres løpende:
| Hva | Oppbevaringstid |
|---|---|
| KI-opplæring: hvem, hva, når | Min. 6 måneder, anbefalt lengre |
| KI-policy (alle versjoner) | Gjeldende + 2 tidligere versjoner |
| Kartlegging av KI-verktøy | Oppdater ved endringer |
| Hendelseslogger (høyrisikosystemer) | Min. 6 måneder |
| Teknisk dokumentasjon (høyrisiko) | 10 år |
| Risikovurderinger (FRIA) | Ved endringer i bruk |
Fremtidssikring: tre enkle rutiner
Rutine 1, onboarding av nye verktøy: Før et nytt KI-verktøy tas i bruk, gjennomfør en rask risikovurdering. Er det leverandørens databehandleravtale i orden? Hvilken risikoklasse er verktøyet i? Trengs oppdatert opplæring?
Rutine 2, ny ansatt: Alle nyansatte som skal bruke KI-verktøy gjennomfører KI-opplæringen som del av onboarding. Ikke etter seks måneder, fra dag én.
Rutine 3, årlig gjennomgang: En gang i året: oppdater kartleggingen, oppdater KI-policyen, sjekk om opplæringen er oppdatert i takt med regelverksendringer og nye verktøy.
Slik ser en ferdig compliance-prosess ut
Oppsummert: en norsk bedrift som følger disse seks stegene har:
- Oversikt over all KI-bruk
- Vurdert risikonivå for hvert verktøy
- Gjennomført og dokumentert KI-opplæring for alle berørte ansatte (Artikkel 4)
- En KI-policy på plass
- Rutiner for merking av KI-innhold fra høst 2026
- Dokumentasjon klar til tilsynsmyndigheten
Det holder. Det er ikke nødvendig med et 50-siders compliance-dokument for en bedrift som bruker Copilot til intern tekstproduksjon. Det er nødvendig med dokumenterbar opplæring, en KI-policy og rutiner som følges.
Hva koster det å la være?
Bøtene etter KI-forordningen er høye, inntil 15 millioner euro eller 3 % av global årsomsetning for brudd på idriftsetter-forpliktelser.
Men den mer praktiske risikoen er denne: dersom en ansatt gjør en feil basert på manglende KI-kunnskap, og dette fører til skade på en kunde, kandidat eller tredjepart, vil mangelen på dokumentert opplæring gjøre det vanskelig å forsvare seg. Loven er eksplisitt: opplæring er et krav, ikke en anbefaling.
Komplai er bygget for å ta seg av stegene 3, 4 og 6 for deg, med et ferdig kurs tilpasset norske bedrifter, enkel utrulling til alle ansatte per e-post, og automatisk dokumentasjon du kan vise til tilsynsmyndigheten.
→ Les om Artikkel 4 og hva kompetansekravet innebærer → Bruker dere Copilot? Les hva det betyr for dere → Full oversikt over KI-forordningen → Svar på vanlige spørsmål om KI-forordningen
Kildegrunnlag: Forordning (EU) 2024/1689, artikkel 4, 14, 25, fortalepunkt 20; Høringsnotat fra DFD (2025); Helsedirektoratets KI-faktaark; NKOM, hvem gjelder KI-loven.