Innholdsfortegnelse

Artikkel

Artikkel 4 i praksis: slik dokumenterer dere KI-kompetanse

KI-forordningen artikkel 4 krever at alle virksomheter sørger for tilstrekkelig KI-kompetanse — uavhengig av risikonivå. Her er hva plikten innebærer, hvem den gjelder for, og hvordan dere dokumenterer at den er oppfylt.

Sist oppdatert · 6 min lesetid

Artikkel 4 i praksis: slik dokumenterer dere KI-kompetanse

Kort svar: KI-forordningen artikkel 4 pålegger alle organisasjoner som bruker KI-systemer å sørge for tilstrekkelig KI-kompetanse hos personell. Plikten gjelder uavhengig av risikonivå — også for ChatGPT og Copilot. Den forutsetter at dere vet hvilke systemer som brukes, og den er en løpende forpliktelse.

Hva sier artikkel 4?

Artikkel 4 i KI-forordningen (forordning (EU) 2024/1689) lyder i dansk oversettelse:

«Udbydere og idriftsættere af AI-systemer træffer foranstaltninger til i videst muligt omfang at sikre et tilstrækkeligt niveau af AI-færdigheder hos deres personale og andre personer, der er involveret i drift og anvendelse af AI-systemer på deres vegne.»

Bestemmelsen har ingen parallell i norsk lovgivning i dag. Vanebo (Lov & Data 2025 nr. 2 s. 22) bekrefter at den «etter planen [skal] bli gjennomført i norsk rett sommeren/høsten 2026».

Hva er KI-kompetanse?

KI-kompetanse er definert i artikkel 3 nr. 56 og omfatter tre elementer: ferdigheter, kunnskap og forståelse.

Vanebo (s. 23) utdyper: Med «ferdigheter» siktes til at relevante personer rent faktisk skal kunne bruke kunstig intelligens på en tilfredsstillende måte. «Kunnskap» innebærer at brukere må vite hva som skjer i systemet og hvordan det overordnet fungerer. «Forståelse» betyr at brukeren får innsikt, kan tolke resultater med styrker og svakheter, og forstår virkningene av KI-bruk.

Fortalepunkt 20 presiserer at kompetansen kan omfatte forståelse av tekniske elementer, tiltak under bruk, tolkning av systemets output, og for berørte personer — forståelse av hvordan beslutninger truffet med hjelp av KI påvirker dem.

Hvem er omfattet av plikten?

To typer pliktsubjekter: tilbydere (leverandører) og idriftsettere (brukere).

Personkretsen som skal oppnå kompetanse er bred. Artikkel 4 nevner «personale og andre personer» som er involvert i drift og anvendelse av KI-systemer.

Vanebo (s. 24) presiserer at «personale» omfatter både midlertidige og faste ansatte, og at «andre personer» er en vid gruppe: «Både konsulenter og andre oppdragstakere, tredjepartsleverandører og individer fra andre avdelinger i virksomheten vil trolig omfattes — så fremt de tidvis befatter seg med KI-systemet.»

Gjelder plikten også for lavrisiko-systemer?

Ja, mest sannsynlig. Vanebo (s. 24): «Ordlyden i forordningen tilsier at leverandører og alle brukere av KI-systemer, uavhengig av risikonivå, er omfattet av KI-kompetanse-plikten. Det er også nesten unisont antatt i juridisk teori at KI-systemer som normalt er uregulerte av KI-forordningen omfattes.»

Det betyr at plikten gjelder for ChatGPT, Copilot, Midjourney, interne chatbots og andre verktøy som normalt ikke klassifiseres som høyrisiko.

Hva slags tiltak kreves?

Artikkel 4 bruker begrepet «foranstaltninger» (tiltak), som er generelt og favner bredt. Vanebo (s. 24) sammenligner med GDPR der «tiltak» kan være av organisatorisk, teknisk og fysisk karakter.

Konkrete eksempler på tiltak (Vanebo s. 24–25):

  • Fysiske kurs og workshops
  • E-opplæring med avkrysningsskjemaer
  • Dokumenter med informasjon og bruksmanualer
  • Praktisk opplæring der ansatte prøver KI-systemet og løser oppgaver
  • Gjennomganger, monitorering og risikovurderinger
  • Diskusjonsfora og «table top-øvelser»
  • Instrukser om fremgangsmåter
  • Incentiver for gjennomføring av opplæring

Hva er «tilstrekkelig» kompetanse?

Artikkel 4 krever et «tilstrekkelig nivå» — men definerer ikke et eksakt mål. Vanebo (s. 25): «Det er trolig et visst handlingsrom, og det er ingen plikt til å 'måle' KI-kompetansen.»

Tiltakene skal tilpasses etter tre faktorer:

Personene som bruker systemene: Hva har de av KI-kompetanse i dag? Hva er gapet? Vanebo (s. 25): «Man ser hva disse brukerne har av KI-kompetanse i dag, og ser dette opp mot hva som er målsettingen. Gapet må fylles med passende tiltak.»

Konteksten systemene brukes i: Helsesektoren, skolevesenet og HR stiller ulike krav. Det nederlandske datatilsynet, sitert av Vanebo (s. 25), gir eksempelet at en HR-ansatt «must understand that an AI system may contain biases or ignore essential information that may lead to an applicant being or not being selected for the wrong reasons.»

Personene systemene brukes på: Særlig sårbare grupper krever ekstra oppmerksomhet — brukerne må forstå konsekvensene og kunne avbøte dem.

EU-kommisjonens anbefalte minimumsnivå

Vanebo (s. 25–26) gjengir EU-kommisjonens anbefalinger:

a. Sørg for en generell forståelse av KI i organisasjonen: Hva er KI? Hvordan fungerer det? Hva slags type KI brukes i vår organisasjon? Hva er mulighetene og farene?

b. Vurder organisasjonens rolle: Utvikler vi KI-systemer, eller bruker vi bare systemer utviklet av andre?

c. Vurder risikoen ved KI-systemene: Hva trenger ansatte å vite? Hva er risikoene de må være klar over?

d. Bygg konkrete KI-kompetansetiltak basert på analysen, med tanke på forskjeller i kunnskap og erfaring, konteksten systemene brukes i, og personene de brukes på.

Kartlegging er en forutsetning

Legg merke til punkt a og c i EU-kommisjonens anbefalinger: «Hva slags type KI brukes i vår organisasjon?» og «Vurder risikoen ved KI-systemene som leveres eller benyttes.»

Dere kan ikke oppfylle artikkel 4 uten å først vite hvilke KI-systemer som brukes i organisasjonen. Kartlegging av KI-bruk er dermed en nødvendig forutsetning for å oppfylle kompetanseplikten.

Sanksjoner ved brudd

Vanebo (s. 26): Brudd på artikkel 4 er «ikke nevnt blant pliktbruddene som medfører administrative gebyrer i henhold til artikkel 99 nr. 3 og 4.» Det er altså ingen direkte sanksjon.

Men: Manglende KI-kompetanse kan lede til brudd på andre plikter som er sanksjonert. Vanebo peker spesielt på artikkel 26 nr. 2, som krever at menneskelig tilsyn utøves av personer med «nødvendig kompetanse, utdanning og myndighet». Arnesen (Lov & Data 2024 nr. 2 s. 11) bekrefter at «både tilbyder og bruker kan bøtelegges, og holdes ansvarlig, for brudd på KI-forordningen».

En løpende forpliktelse

Vanebo (s. 25): «Tilstrekkelig KI-kompetanse vil være en mer kontinuerlig forpliktelse, der bl.a. endringer i systemer eller kunnskap kan medføre at det må iverksettes nye tiltak.»

Det betyr at en engangsinnsats ikke er nok. Kartleggingen bør gjentas periodisk, og opplæring må oppdateres når systemer endres eller ny kunnskap tilkommer.

Hva bør virksomheten gjøre?

  1. Kartlegg hvilke KI-systemer som brukes — inkludert uformell bruk.
  2. Vurder kompetansegapet per rolle og avdeling.
  3. Lag en opplæringsplan tilpasset kontekst, persongruppe og risiko.
  4. Dokumenter gjennomførte tiltak — kurs, e-opplæring, øvelser, instrukser.
  5. Gjenta periodisk — artikkel 4 er en løpende forpliktelse.

Rettskilder brukt i denne artikkelen

  • Forordning (EU) 2024/1689 artikkel 3 nr. 56 (definisjon av KI-kompetanse), artikkel 4 (AI literacy), artikkel 26 nr. 2 (menneskelig tilsyn), artikkel 99 (sanksjoner)
  • Forordning (EU) 2024/1689 fortalepunkt 20
  • Vanebo, Ove André: «KI-forordningens krav om å sikre kompetanse innenfor kunstig intelligens», Lov & Data 2025 nr. 2 s. 22–25 (LoD-2025-162-22)
  • Arnesen, Lars: «KI-forordningen: Klassisk produktregulering i møte med grunnleggende rettigheter», Lov & Data 2024 nr. 2 s. 9–12 (LoD-2024-158-9)

Kilder: EU AI Act (EUR-Lex 2024/1689) · HK-dir Rapport nr. 04/2026 (CC-BY 4.0) · Regjeringen.no · Nkom.no