Innholdsfortegnelse

Artikkel-utforsker

KI-forordningen artikkel 26: Plikter for idriftsettere av høyrisiko KI

Artikkel 26 lister opp alle pliktene for idriftsettere av høyrisiko KI-systemer. Her er hva norske kommuner må gjøre for å etterleve kravene.

Publisert · Oppdatert · 3 min lesetid

KI-forordningen artikkel 26 er den sentrale bestemmelsen for alle som tar i bruk høyrisiko KI-systemer — såkalte idriftsettere (deployers). For norske kommuner er dette den artikkelen som definerer hva dere faktisk må gjøre.

Artikkel 26 samler idriftsetterens plikter på ett sted. Mange av pliktene peker videre til andre artikler i forordningen, men artikkel 26 er startpunktet.

Hvilke plikter har idriftsetteren?

Artikkel 26 krever at idriftsetteren:

  1. Bruker systemet i samsvar med bruksanvisningen — Følg leverandørens anvisninger for tiltenkt bruk (jf. artikkel 13)
  2. Sikrer menneskelig tilsyn — Utpek kompetente personer til å overvåke systemet (jf. artikkel 14)
  3. Sikrer at inputdata er relevante og representative — Data som mates inn i systemet skal være tilstrekkelig for det tiltenkte formålet
  4. Overvåker driften — Følg med på at systemet fungerer som forventet, og rapporter alvorlige hendelser til leverandøren og tilsynsmyndigheten
  5. Oppbevarer logger — Bevar automatisk genererte logger i minst seks måneder, med mindre annen lovgivning krever lengre oppbevaring
  6. Gjennomfører FRIA — Offentlige virksomheter skal gjennomføre en vurdering av konsekvenser for grunnleggende rettigheter (jf. artikkel 27)
  7. Informerer berørte personer — Fysiske personer som er gjenstand for beslutninger fra høyrisiko KI-systemer skal informeres om at et KI-system er involvert
  8. Samarbeider med tilsynsmyndigheten — Gi Nkom tilgang til dokumentasjon og logger ved forespørsel

Hva betyr dette i praksis?

For en norsk kommune som bruker KI i rekruttering:

  • Bruksanvisning: HR-avdelingen har lest og forstått leverandørens dokumentasjon
  • Menneskelig tilsyn: En navngitt person gjennomgår alle KI-rangerte søkerlister før beslutning
  • Inputdata: Kommunen har verifisert at jobbsøknadene som mates inn er komplette og i riktig format
  • Logging: Systemets beslutningslogger oppbevares i minst seks måneder
  • FRIA: Gjennomført og dokumentert før systemet ble tatt i bruk (last ned gratis FRIA-mal)
  • Informasjon: Jobbsøkere informeres i utlysningsteksten om at KI brukes i vurderingen

Dokumentasjonskrav

Kommunen skal kunne dokumentere at alle pliktene i artikkel 26 er oppfylt. Ved et eventuelt tilsyn fra Nkom er det kommunen som må vise at den har fulgt kravene — ikke leverandøren.

Det innebærer at kommunen bør ha:

  • Skriftlige rutiner for bruk av hvert KI-system
  • Logg over hvem som har tilsynsansvar
  • Dokumentert opplæring
  • Oppbevarte systemlogger
  • Gjennomført og oppdatert FRIA-vurdering

Artikkel 26 er idriftsetterens «sjekkliste». Kommuner som systematisk jobber gjennom disse kravene er godt rustet for etterlevelse. De som ikke gjør det, risikerer bøter på opptil 15 millioner euro.

Kilde: KI-forordningen (EU) 2024/1689, artikkel 26; HK-dir Rapport nr. 04/2026.