Innholdsfortegnelse

Artikkel

Gjelder KI-loven også ChatGPT og Copilot?

Ja — kompetansekravet i artikkel 4 gjelder uavhengig av risikonivå. Det betyr at ChatGPT, Copilot, Gemini og andre lavrisiko-verktøy også er omfattet. Her er hva det betyr i praksis.

Sist oppdatert · 3 min lesetid

Gjelder KI-loven også ChatGPT og Copilot?

Kort svar: Ja. Kompetansekravet i KI-forordningen artikkel 4 gjelder uavhengig av risikonivå. Det betyr at virksomheter som bruker ChatGPT, Copilot, Gemini, Midjourney eller andre verktøy som normalt klassifiseres som lavrisiko, likevel har plikter under KI-loven.

Artikkel 4 skiller ikke på risikonivå

Mange antar at KI-forordningen bare gjelder høyrisiko-systemer. Det stemmer for de tyngste pliktene i artikkel 9 (risikostyring), artikkel 14 (menneskelig tilsyn) og artikkel 26 (idriftsetteres plikter). Men artikkel 4 om KI-kompetanse har et bredere virkeområde.

Vanebo (Lov & Data 2025 nr. 2 s. 24) er tydelig: «Ordlyden i forordningen tilsier at leverandører og alle brukere av KI-systemer, uavhengig av risikonivå, er omfattet av KI-kompetanse-plikten. Det er også nesten unisont antatt i juridisk teori at KI-systemer som normalt er uregulerte av KI-forordningen omfattes.»

Hva betyr det i praksis?

Det betyr at en virksomhet som bruker ChatGPT eller Copilot til daglige oppgaver — e-postskriving, møtenotater, tekstutkast, koding, analyse — har plikt til å sørge for at de ansatte som bruker disse verktøyene har tilstrekkelig KI-kompetanse.

I praksis innebærer det:

  • Ansatte må forstå hva verktøyet gjør og ikke gjør
  • Ansatte må kunne tolke og kvalitetssikre resultater
  • Ansatte må vite hvilke data de kan og ikke kan mate inn
  • Ansatte må kjenne organisasjonens retningslinjer for KI-bruk

EU-kommisjonen, sitert av Vanebo (s. 25–26), anbefaler at virksomheter spør seg: «Hva slags type KI brukes i vår organisasjon?» og «Hva trenger ansatte å vite når de håndterer et slikt KI-system?»

Men ikke alle plikter gjelder

Det er viktig å skille: Artikkel 4 (kompetanse) gjelder bredt. Men artikkel 26 (idriftsetteres plikter), artikkel 27 (FRIA) og artikkel 14 (menneskelig tilsyn) gjelder primært for høyrisiko-KI-systemer.

ChatGPT brukt til e-postskriving er neppe høyrisiko. Men ChatGPT brukt til å vurdere jobbsøkere, evaluere elever eller tildele offentlige tjenester kan falle inn under Annex III og utløse strengere krav.

Det avgjørende er ikke verktøyet i seg selv, men bruksformålet. Samme verktøy kan være lavrisiko i én kontekst og høyrisiko i en annen.

Må virksomheten kartlegge Copilot-bruk?

Ja — og det gjelder allerede i dag, uavhengig av KI-forordningen. GDPR artikkel 24, 30 og 32 krever at behandlingsansvarlig har egnede tiltak, protokoll over behandlingsaktiviteter og sikkerhetstiltak. Dere kan ikke oppfylle dette uten å vite at Copilot brukes, av hvem, og med hvilke data.

Digitaliseringsrundskrivet D-2025-2 sier at offentlige virksomheter «bør forberede seg på hvilken virkning ikrafttredelse av KI-forordningen i Norge har for virksomheten» (pkt. 1.3).

Rettskilder brukt i denne artikkelen

  • Forordning (EU) 2024/1689 artikkel 4 (KI-kompetanse), Annex III (høyrisiko-bruksformål)
  • GDPR artikkel 24, 30, 32
  • Digitaliseringsrundskrivet D-2025-2 pkt. 1.3
  • Vanebo, Ove André: Lov & Data 2025 nr. 2 s. 22–25 (LoD-2025-162-22)

Kilder: EU AI Act (EUR-Lex 2024/1689) · HK-dir Rapport nr. 04/2026 (CC-BY 4.0) · Regjeringen.no · Nkom.no