Veiledning
FRIA-mal gratis: Last ned for offentlig sektor
Last ned vår gratis FRIA-mal (norsk, 2026). Konsekvensutredning for grunnleggende rettigheter — steg for steg med eksempler tilpasset norsk offentlig sektor.
Alle offentlige virksomheter som tar i bruk høyrisiko KI-systemer er pålagt å gjennomføre en FRIA-vurdering (Fundamental Rights Impact Assessment) — en konsekvensutredning for grunnleggende rettigheter.
Her finner du en gratis FRIA-mal tilpasset norsk offentlig sektor, og en steg-for-steg-veiledning for hvordan du gjennomfører den.
Hva er FRIA?
FRIA = Fundamental Rights Impact Assessment = Vurdering av konsekvenser for grunnleggende rettigheter.
KI-forordningen artikkel 27 krever at offentlige virksomheter gjennomfører en FRIA FØR de tar i bruk et høyrisiko KI-system.
Formålet er å vurdere om KI-systemet kan krenke grunnleggende rettigheter — for eksempel:
- Rett til ikke-diskriminering
- Personvern
- Rett til informasjon og forklaring
- Rett til rettferdige arbeidsvilkår
FRIA ligner en DPIA (personvernkonsekvensvurdering etter GDPR) men er bredere — den dekker alle grunnleggende rettigheter, ikke bare personvern. Dersom et system krever begge, kan de gjennomføres sammen.
Hvem trenger FRIA?
Alle offentlige virksomheter (kommuner, statsetater, universiteter og høyskoler) som tar i bruk høyrisiko KI-systemer. Private virksomheter er ikke pålagt FRIA, men kan velge å gjennomføre den som god praksis.
Kilde: KI-forordningen artikkel 27; HK-dir Rapport nr. 04/2026.
Slik gjennomfører du en FRIA-vurdering
Steg 1: Identifiser systemet (1-2 timer)
Beskriv KI-systemet du skal vurdere i detalj. Hva gjør det? Hvem leverer det? Hva er formålet med bruk i din virksomhet?
Eksempel: «Vi bruker Teamtailor med AI-rangering til rekruttering av kommunalt ansatte.»
Steg 2: Kartlegg hvem som berøres (2-4 timer)
Hvem påvirkes av at systemet brukes?
- Jobbsøkere (ved rekrutteringsverktøy)
- Elever (ved sensur eller fuskkontroll)
- Innbyggere (ved saksbehandlingssystemer)
- Ansatte (ved overvåking av prestasjoner)
Steg 3: Identifiser berørte grunnleggende rettigheter (2-4 timer)
Gå gjennom listen av grunnleggende rettigheter i EU-charteret og vurder hvilke som potensielt kan berøres.
De vanligste i offentlig sektor:
- Ikke-diskriminering — Kan systemet diskriminere basert på kjønn, etnisitet, alder?
- Personvern — Hvilke personopplysninger behandles?
- Rett til forklaring — Kan de berørte forstå og bestride beslutningen?
- Likebehandling — Behandles like saker likt?
Steg 4: Vurder risikoen (4-8 timer)
For hver rettighet: hva er sannsynligheten for at den krenkes, og hva er konsekvensen?
Bruk en enkel matrise:
| | Lav konsekvens | Middels konsekvens | Høy konsekvens | |-|---|---|---| | Lav sannsynlighet | Lav risiko | Middels | Middels | | Middels sannsynlighet | Middels | Høy | Høy | | Høy sannsynlighet | Middels | Høy | Kritisk |
Steg 5: Identifiser risikoreduserende tiltak (4-8 timer)
For høy og kritisk risiko: hva kan dere gjøre?
Tekniske tiltak:
- Anonymisering av sensitive felter
- Logging for sporbarhet
- Begrensning av tilgang
Organisatoriske tiltak:
- Opplæring av de som bruker systemet
- Rutiner for menneskelig overprøving
- Klagemekanisme for berørte
Steg 6: Vurder restrisiko og ta beslutning (1-2 timer)
Er risikoen, etter tiltak, akseptabel? Hvis ja: dokumenter og gå videre. Hvis nei: systemet bør ikke tas i bruk, eller ytterligere tiltak må iverksettes.
Steg 7: Meld til Nkom og dokumenter (1-2 timer)
Som offentlig virksomhet skal du informere tilsynsmyndigheten (Nkom) om at FRIA er gjennomført. Hold vurderingen oppdatert — den skal revideres ved vesentlige endringer i systemet eller bruken.
Malens innhold
FRIA-malen dekker disse seksjonene:
- Identifikasjon av KI-system — navn, leverandør, versjon, formål
- Beskrivelse av bruk — hvem berøres, hvilke beslutninger, hvilke data
- Identifikasjon av berørte rettigheter — sjekkliste over grunnleggende rettigheter
- Risikovurdering — sannsynlighet og konsekvens per rettighet
- Risikoreduserende tiltak — tekniske og organisatoriske
- Restrisiko — gjenstående risiko etter tiltak
- Konklusjon og godkjenning — beslutning og ansvarlig person
- Revisjonsspor — endringslogg
Malen er basert på KI-forordningen artikkel 27 og veiledningen fra ECNL/Institut for Menneskerettigheder.
FRIA vs. DPIA — hva er forskjellen?
| | FRIA | DPIA | |-|------|------| | Hjemmel | KI-forordningen art. 27 | GDPR art. 35 | | Scope | Alle grunnleggende rettigheter | Kun personvern | | Hvem er pålagt? | Offentlige virksomheter (idriftsettere) | Alle behandlingsansvarlige | | Kan gjøres samtidig? | Ja | Ja |
Dersom et system krever begge, anbefaler vi å gjennomføre dem parallelt — det sparer tid og ressurser.
Ofte stilte spørsmål
Hvem er pålagt å gjennomføre FRIA? Alle offentlige virksomheter som er idriftsettere av høyrisiko KI-systemer. Dette inkluderer kommuner, statsetater, universiteter og høyskoler. Private virksomheter er ikke pålagt FRIA, men kan velge å gjennomføre den som god praksis.
Hva skjer om vi ikke gjennomfører FRIA? Manglende FRIA-vurdering kan utgjøre et brudd på KI-forordningen og potensielt medføre bøter på opptil 15 millioner euro. I tillegg kan tilsynsmyndigheten (Nkom) gi pålegg om retting.
Er FRIA det samme som DPIA? Nei, men de overlapper. DPIA (Data Protection Impact Assessment) fokuserer på personvern og kreves av GDPR. FRIA (Fundamental Rights Impact Assessment) er bredere og dekker alle grunnleggende rettigheter. De kan gjennomføres parallelt.
Når skal FRIA oppdateres? FRIA skal oppdateres dersom det skjer vesentlige endringer i systemet eller bruken av det — for eksempel hvis systemet får tilgang til nye typer data eller brukes til nye formål.
Kan vi bruke denne FRIA-malen fritt? Ja. Malen er gratis og kan brukes fritt av alle offentlige virksomheter.
Malen gir deg et solid startpunkt. Men for virksomheter med mange KI-systemer, eller systemer som endres over tid, er manuell FRIA-håndtering krevende.
Kilde: KI-forordningen (EU) 2024/1689, artikkel 27; ECNL/Institut for Menneskerettigheder; HK-dir Rapport nr. 04/2026.