Innholdsfortegnelse

Artikkel

Må kommunen registrere høyrisiko-KI i EU-databasen?

Ja — offentlige virksomheter som bruker høyrisiko-KI har en egen registreringsplikt i EU-databasen. Tilbyderen skal registrere systemet, men kommunen som idriftsetter har selvstendig plikt til å registrere sin bruk.

Sist oppdatert · 3 min lesetid

Må kommunen registrere høyrisiko-KI i EU-databasen?

Kort svar: Ja. KI-forordningen artikkel 49 nr. 3 pålegger offentlige myndigheter som bruker høyrisiko-KI-systemer å registrere bruken i EU-databasen (artikkel 71). Dette er en selvstendig plikt for kommunen som idriftsetter — i tillegg til tilbyderens registreringsplikt.

To registreringsplikter, to parter

KI-forordningen har to ulike registreringsplikter for høyrisiko-KI-systemer:

Tilbyderen (den som utvikler eller markedsfører systemet) skal registrere systemet i EU-databasen før det markedsføres (artikkel 49 nr. 1–2). Registreringen er en forutsetning for CE-merking. Arnesen (Lov & Data 2024 nr. 2 s. 10) bekrefter at «en vellykket samsvarsvurdering gir rett til å merke KI-systemet med et CE-merke».

Offentlige idriftsettere — kommuner, statlige etater og andre offentlige myndigheter — skal registrere sin bruk av høyrisiko-KI-systemer (artikkel 49 nr. 3). Dette er en selvstendig plikt som ikke faller bort selv om tilbyderen har registrert systemet.

Kan kommunen kjøpe et uregistrert system?

Forordningen forbyr det ikke eksplisitt, men tre forhold gjør det svært risikabelt:

  1. Kommunen har plikt til å verifisere at tilbyderen oppfyller sine forpliktelser (artikkel 26 nr. 1). En tilbyder som ikke har registrert et høyrisiko-system bryter artikkel 49.

  2. Arnesen (s. 11) bekrefter at brukeren har «et selvstendig ansvar for å foreta en egen vurdering av grunnleggende rettigheter» og at «både tilbyder og bruker kan bøtelegges».

  3. Kommunen har egen registreringsplikt som offentlig idriftsetter. Å registrere bruk av et system som tilbyderen ikke har registrert, skaper et åpenbart samsvarsproblem.

En tilbyder som ikke har registrert bør være et rødt flagg i enhver anskaffelsesprosess.

Hva med anskaffelsesprosessen?

Per april 2026 finnes det ingen spesifikk veiledning fra DFØ om KI-forordningen i offentlige anskaffelser.

Digitaliseringsrundskrivet D-2025-2 gir delvis dekning: Pkt. 1.3 sier at virksomheten «bør forberede seg på hvilken virkning ikrafttredelse av KI-forordningen i Norge har». Pkt. 1.6 krever at virksomheter ved anskaffelse av digitale løsninger «der det er relevant, stille krav om innebygd personvern».

Men rundskrivet har ingen KI-forordning-spesifikke anskaffelseskrav. Det er et hull som kommuner bør fylle med egne rutiner.

Praktisk anskaffelsessjekkliste

Ved anskaffelse av KI-systemer bør kommunen kontrollere:

  1. Er systemet registrert i EU-databasen? Sjekk artikkel 71-databasen.
  2. Har tilbyderen CE-merket systemet? CE-merking bekrefter at samsvarsvurdering er gjennomført.
  3. Foreligger bruksanvisning? Kommunen som idriftsetter er ansvarlig for å følge tilbyderens instruksjoner (artikkel 26 nr. 1).
  4. Er teknisk dokumentasjon tilgjengelig? Nødvendig for kommunens egne vurderinger.
  5. Er systemet klassifisert som høyrisiko? Sjekk mot Annex III-listen.
  6. Er DPIA/FRIA gjennomført? GDPR artikkel 35 og KI-forordningen artikkel 27 kan begge være relevante.

Rettskilder brukt i denne artikkelen

  • Forordning (EU) 2024/1689 artikkel 26 nr. 1, artikkel 49 nr. 1–3, artikkel 71
  • Digitaliseringsrundskrivet D-2025-2 pkt. 1.3 og 1.6 (27. mai 2025)
  • Arnesen, Lars: Lov & Data 2024 nr. 2 s. 9–12 (LoD-2024-158-9)

Kilder: EU AI Act (EUR-Lex 2024/1689) · HK-dir Rapport nr. 04/2026 (CC-BY 4.0) · Regjeringen.no · Nkom.no