Innholdsfortegnelse

Artikkel

Må kommunen kartlegge alle KI-systemer?

Ja — og plikten finnes allerede i dag, ikke bare i KI-forordningen. GDPR, likestillingsloven og Digitaliseringsrundskrivet gir selvstendig grunnlag. Her er det juridiske bildet for offentlig sektor.

Sist oppdatert · 6 min lesetid

Må kommunen kartlegge alle KI-systemer?

Kort svar: Ja. Plikten til å ha oversikt over KI-systemer følger allerede av GDPR og likestillings- og diskrimineringsloven — lenge før KI-forordningen trer i kraft i Norge. Kommunen er dessuten ansvarlig som juridisk enhet, ikke den enkelte avdeling. Og fra august 2026 kommer det eksplisitte plikter under KI-loven, inkludert registreringsplikt i EU-databasen for høyrisiko-systemer.

Plikten finnes allerede i dag

Mange kommuner tror de kan vente med kartlegging til KI-loven vedtas. Det er feil. Tre eksisterende regelverk gir allerede en indirekte, men klar kartleggingsplikt:

GDPR artikkel 24, 30 og 32

Artikkel 24 pålegger behandlingsansvarlig å gjennomføre «egnede tekniske og organisatoriske tiltak» tilpasset risikonivået. Artikkel 30 krever protokoll over behandlingsaktiviteter. Artikkel 32 krever tiltak som sikrer konfidensialitet, integritet og tilgjengelighet.

Man kan ikke oppfylle noen av disse pliktene uten å vite hvilke KI-systemer som brukes i organisasjonen, hvem som bruker dem, og hvilke personopplysninger de behandler.

Likestillings- og diskrimineringsloven § 26

En ofte oversett hjemmel: § 26 pålegger alle arbeidsgivere å «kartlegge og vurdere den eventuelle risiko for diskriminering» i virksomheten. Forarbeidene (Prop. 81 L (2016–2017) s. 242) presiserer at kartleggingen bør skje ved gjennomgang av rutiner og retningslinjer.

Når kommunen bruker KI-verktøy til rekruttering, vurdering av søknader, tildeling av tjenester eller evaluering av ansatte, faller dette direkte inn under aktivitetsplikten. Dette er et selvstendig rettslig grunnlag for KI-kartlegging som gjelder i dag.

Digitaliseringsrundskrivet D-2025-2

Digitaliserings- og forvaltningsdepartementet sier i pkt. 1.3 at det er et mål at alle offentlige virksomheter bruker KI innen 2030, og at virksomheten «bør forberede seg på hvilken virkning ikrafttredelse av KI-forordningen i Norge har for virksomheten».

Pkt. 1.6 krever at virksomheter ved anskaffelse av digitale løsninger «der det er relevant, stille krav om innebygd personvern og vurdere om løsningen som velges oppfyller kravet». Dette gjelder også KI-systemer.

Hva sier KI-forordningen?

Fra august 2026 kommer eksplisitte plikter:

Artikkel 4 — KI-kompetanse

Alle organisasjoner som bruker KI-systemer skal sørge for «tilstrekkelig KI-kompetanse» hos personell. Vanebo (Lov & Data 2025 nr. 2 s. 24) bekrefter at plikten gjelder «uavhengig av risikonivå» — altså også for ChatGPT, Copilot, og andre lavrisiko-verktøy.

EU-kommisjonens anbefalinger, sitert av Vanebo (s. 25–26), inkluderer eksplisitt spørsmålene: «Hva slags type KI brukes i vår organisasjon?» og «Vurder risikoen ved KI-systemene som leveres eller benyttes». Kartlegging er en nødvendig forutsetning for å oppfylle artikkel 4.

Vanebo presiserer også at «tilstrekkelig KI-kompetanse vil være en mer kontinuerlig forpliktelse» (s. 25). Kartleggingen bør altså gjentas periodisk.

Artikkel 26 — Idriftsetteres plikter

Kommunen som bruker høyrisiko-KI-systemer har plikter knyttet til menneskelig tilsyn, risikovurdering, logging og overvåking. Arnesen (Lov & Data 2024 nr. 2 s. 11) bekrefter at brukeren har «et selvstendig ansvar for å foreta en egen vurdering av grunnleggende rettigheter» og at «både tilbyder og bruker kan bøtelegges».

Artikkel 49 nr. 3 — Registrering i EU-databasen

Idriftsettere som er offentlige myndigheter skal registrere bruk av høyrisiko-KI-systemer i EU-databasen (artikkel 71). Plikten gjelder idriftsettere, ikke bare tilbydere. For kommuner betyr det en egen registreringsplikt for høyrisiko-systemer de bruker.

Hvem er ansvarlig i kommunen — IT, HR eller kommunen?

Kommunen som juridisk person er ansvarlig. Ikke IT-avdelingen, ikke HR-lederen, ikke den enkelte saksbehandler.

GDPR artikkel 4 nr. 7 definerer behandlingsansvarlig som den juridiske enheten som bestemmer formål og midler. Innføring og oppgavesamling i personvernrett kap. 2.3 bekrefter: «Det vanligste i tilfeller der personopplysninger blir behandlet innad i en juridisk person, er at det er den juridiske personen som sådan som er ansvarlig.»

En avdeling innad i samme juridiske person kan ikke være databehandler for en annen avdeling (Innføring kap. 2.4). Det betyr at IT ikke kan fraskrive seg ansvar ved å si «HR bruker verktøyet, ikke oss».

KI-forordningen artikkel 3 nr. 4 definerer «idriftsetter» som den som bruker KI-systemet «under sin myndighet». For en kommune er det kommunen — uavhengig av hvilken avdeling som kjøpte lisensen.

Gjelder kartleggingen kun faste ansatte?

Nei. Arbeidsmiljøloven § 2-2 utvider arbeidsgivers plikter til å gjelde «andre enn arbeidsgivers egne arbeidstakere, herunder innleide arbeidstakere eller selvstendige oppdragstakere» som utfører arbeid i tilknytning til virksomheten. Forarbeidene (Ot.prp. nr. 49 (2004–2005)) presiserer at dette «omfatter alle som utfører arbeid, uavhengig av arbeidsrettslig status».

Vanebo (s. 24) bekrefter at KI-forordningens art. 4 gjelder «personale og andre personer» og presiserer at «både konsulenter og andre oppdragstakere, tredjepartsleverandører og individer fra andre avdelinger» er omfattet.

Kartleggingen bør altså inkludere alle som bruker organisasjonens systemer: faste ansatte, innleide, konsulenter, vikarer og studenter i praksis.

Hva med anskaffelser av nye KI-systemer?

Kommunen har plikter ved kjøp av KI-systemer. Arnesen (Lov & Data 2024 nr. 2 s. 10) beskriver CE-merkingssystemet: «En vellykket samsvarsvurdering gir rett til å merke KI-systemet med et CE-merke.» Brukeren er ansvarlig for å sette seg inn i tilbyderens instruksjoner.

Forordningen forbyr ikke eksplisitt kjøp av et uregistrert system, men kommunen har plikt til å verifisere at tilbyderen oppfyller sine forpliktelser (art. 26 nr. 1) og har egen registreringsplikt som offentlig idriftsetter (art. 49 nr. 3). En tilbyder som ikke har registrert et høyrisiko-system bryter art. 49 — noe som bør være et rødt flagg i enhver anskaffelsesprosess.

Per april 2026 finnes det ingen spesifikk veiledning fra DFØ om KI-forordningen i offentlige anskaffelser. Digitaliseringsrundskrivet D-2025-2 pkt. 1.6 gir generelle krav om innebygd personvern ved anskaffelser, men uten KI-forordning-spesifikke krav.

Hva bør kommunen gjøre nå?

  1. Kartlegg alle KI-systemer i organisasjonen — inkludert uformell bruk (shadow AI).
  2. Klassifiser etter risiko. Finn ut hvilke systemer som potensielt er høyrisiko etter KI-forordningens Annex III.
  3. Dokumenter behandlingsgrunnlag. Offentlig sektor kan ikke bruke berettiget interesse (GDPR art. 6(1)(f)). Bruk rettslig forpliktelse (art. 6(1)(c)) eller oppgave i allmennhetens interesse (art. 6(1)(e)).
  4. Drøft kartleggingen med tillitsvalgte — lovpålagt etter arbeidsmiljøloven § 9-2.
  5. Lag retningslinjer for bruk av KI på arbeidsplassen.
  6. Forbered FRIA for høyrisiko-systemer — offentlige virksomheter har plikt til å vurdere grunnleggende rettigheter etter artikkel 27.
  7. Lag en anskaffelsessjekkliste som verifiserer leverandørens forpliktelser (CE-merking, registrering, bruksanvisning, teknisk dokumentasjon).

Rettskilder brukt i denne artikkelen

  • Arbeidsmiljøloven § 2-2 (plikter overfor andre enn egne arbeidstakere)
  • Arbeidsmiljøloven § 9-2 (drøfting med tillitsvalgte)
  • Ot.prp. nr. 49 (2004–2005) kap. 2 (personkrets)
  • Likestillings- og diskrimineringsloven § 26 (arbeidsgivers aktivitetsplikt)
  • Prop. 81 L (2016–2017) s. 242 (kartlegging av diskrimineringsrisiko)
  • GDPR artikkel 4 nr. 7, artikkel 6(1)(c) og (e), artikkel 24, 30, 32
  • Forordning (EU) 2024/1689 artikkel 3 nr. 4, artikkel 4, artikkel 26, artikkel 27, artikkel 49 nr. 3
  • Digitaliseringsrundskrivet D-2025-2 pkt. 1.3 og 1.6 (27. mai 2025)
  • Innføring og oppgavesamling i personvernrett kap. 2.3 og 2.4
  • Vanebo, Ove André: Lov & Data 2025 nr. 2 s. 22–25 (LoD-2025-162-22)
  • Arnesen, Lars: Lov & Data 2024 nr. 2 s. 9–12 (LoD-2024-158-9)

Kilder: EU AI Act (EUR-Lex 2024/1689) · HK-dir Rapport nr. 04/2026 (CC-BY 4.0) · Regjeringen.no · Nkom.no