KI-loven i Norge: Hva er det, og hvem gjelder det for?

Denne artikkelen gir deg den grundige gjennomgangen. Vil du raskt finne ut hva som gjelder akkurat din bedrift, bruk Lexolves KI-klassifiseringsverktøy direkte.

Bakgrunn: Hvorfor kom KI-loven?

EU begynte arbeidet med KI-loven i 2021, da kunstig intelligens fortsatt var et nisjefenomen. Siden da har utviklingen gått langt raskere enn noen forutsatte. ChatGPT ble lansert i november 2022 og forandret hva «KI» betyr for folk flest – fra forskningsverktøy til hverdagsverktøy for millioner av bedrifter.

Formålet med loven er tredelt: Sikre at KI-systemer som brukes i Europa er trygge og etterprøvbare, hindre at KI brukes til overvåkning, manipulasjon eller diskriminering, og skape forutsigbare rammer slik at europeisk næringsliv kan investere i KI-utvikling med et klart lovverk i bunnen.

Loven regulerer ikke KI generelt, den regulerer bruken av KI i konkrete sammenhenger, og stiller strengere krav jo høyere risiko systemet utgjør.

Hva inneholder KI-loven? De viktigste elementene

KI-loven er strukturert rundt tre bærende prinsipper:

Risikobasert regulering. KI-systemer deles inn i fire risikoklasser – fra forbudt til minimal risiko. Jo høyere klasse, jo strengere krav. De fleste bedrifter vil bruke systemer med lav eller ingen særskilt risiko. Men dersom du bruker KI i HR, rekruttering, kredittscoring eller tilsvarende, kan du havne i høyrisiko-kategorien.

Transparens og menneskelig kontroll. Loven stiller krav om at mennesker alltid skal kunne overprøve beslutninger fra høyrisiko-KI-systemer. Ingen avgjørelse som påvirker en person vesentlig – om de får en jobb, et lån eller en tjeneste – skal overlates fullt ut til en algoritme.

Dokumentasjon og etterprøvbarhet. Virksomheter som bruker høyrisiko-KI må dokumentere hva systemet gjør, hvordan det er trent, hvilke risikoer det medfører og hvordan de håndteres. Dette gjelder enten du har bygget systemet selv eller kjøpt det fra en leverandør.

For en fullstendig gjennomgang av risikoklassene og hva de betyr konkret, se Lexolves KI-klassifiseringsverktøy.

Hvem gjelder KI-loven for?

KI-loven skiller mellom tre roller:

Leverandør er den som utvikler og bringer et KI-system til markedet. Leverandører har de strengeste pliktene – teknisk dokumentasjon, samsvarsvurdering, CE-merking og registrering i EU-databaser for høyrisiko-systemer.

Bruker (eller «deployer» på EU-språk) er virksomheten som tar i bruk et KI-system i sin egen drift. Det er her de aller fleste norske SMB-er befinner seg. Som bruker av høyrisiko-KI har du egne plikter, men de er mindre omfattende enn leverandørens.

Importør og distributør er mellomledd i distribusjonskjeden og har egne krav til å verifisere at systemene de formidler er i samsvar med loven.

De færreste norske SMB-er er leverandører. Men mange er brukere av KI som kan falle inn under høyrisiko-kategorien – uten å vite det.

Hva er forbudt etter KI-loven?

KI-loven forbyr en rekke bruksområder som anses som uforenlige med grunnleggende rettigheter. Dette er den kategorien som gjelder fra dag én – allerede fra februar 2025 i EU.

Sosial scoring av mennesker basert på atferd, for eksempel slik det praktiseres i noen land utenfor Europa, er forbudt.

Manipulasjonsteknikker som utnytter sårbarhet – for eksempel KI som bevisst påvirker atferd uten at personen er klar over det – er forbudt.

Biometrisk masseovervåkning i offentlige rom i sanntid er som utgangspunkt forbudt, med svært begrensede unntak for myndigheter.

Prediktiv politiarbeid basert utelukkende på KI-profiler er forbudt.

For de aller fleste norske bedrifter er ingen av disse bruksområdene aktuelle. Men det er nyttig å vite at disse grensene eksisterer og gjelder absolutt – det er ingen «lovlig grunn»-unntaksmuligheter her.

KI-loven og arbeidslivet – det norske arbeidsgivere bør merke seg

Arbeidslivet er ett av de mest omtalte bruksområdene i KI-loven, og med god grunn. Mange virksomheter har allerede tatt i bruk KI-verktøy i HR-prosessene sine – noen bevisst, andre uten å tenke over det.

KI i rekruttering er klassifisert som høyrisiko. Det gjelder systemer som automatisk filtrerer søkere, rangerer kandidater eller vurderer egnethet for en stilling. Bruker du slike systemer, krever loven risikovurdering, dokumentasjon og at et menneske alltid kan overprøve beslutningen.

KI til prestasjonsvurdering og overvåkning av ansatte er også høyrisiko. Det inkluderer systemer som måler produktivitet, analyserer atferd eller brukes til å vurdere hvem som presterer godt nok.

Informasjons- og drøftingsplikten er et krav mange ikke kjenner til: Før du innfører et høyrisiko KI-system som påvirker ansatte, plikter du å informere og drøfte med ansattes representanter. Dette følger av KI-loven artikkel 26(7) og overlapper med pliktene du allerede har etter arbeidsmiljøloven.

Kompetansekravet gjelder alle virksomheter som bruker KI – ikke bare høyrisiko. Du og dine ansatte skal ha tilstrekkelig kunnskap om systemene dere bruker til å bruke dem forsvarlig. Dette er et aktivt krav, ikke en henstilling.

Tidslinje – når gjelder hva?

KI-loven trådte i kraft i EU i august 2024, men med en gradvis innfasing:

Februar 2025: Forbudet mot uakseptable KI-systemer begynte å gjelde i EU.

August 2025: Kravene til høyrisiko KI-systemer og kravene til generell KI-kompetanse i virksomheter begynte å gjelde i EU.

August 2026 (forventet): KI-loven forventes innlemmet i norsk lov gjennom EØS-avtalen. Fra dette tidspunktet gjelder de samme kravene i Norge.

2027: Overgangstidspunkt for visse systemer som allerede er i bruk når loven trer i kraft.

Det er verdt å merke seg at regelverket er i bevegelse. EU-kommisjonen arbeider med forenklinger gjennom Digital Omnibus-pakken, og den norske proposisjonen lar vente på seg. Norske bedrifter bør følge utviklingen – men ikke vente med å starte kartleggingen.

Forholdet til GDPR og andre regelverk

KI-loven erstatter ikke GDPR – den kommer i tillegg. De to regelverkene overlapper på flere punkter, og høyrisiko-KI som behandler personopplysninger vil typisk måtte oppfylle kravene i begge.

Det viktigste overlappet er kravet til konsekvensanalyse. GDPR krever DPIA (Data Protection Impact Assessment) for behandling med høy risiko for personvern. KI-loven krever sin egen risikovurdering for høyrisiko-systemer. I praksis kan disse gjennomføres samlet.

GDPR artikkel 22 – som gir rett til ikke å bli gjenstand for rent automatiserte beslutninger – gjelder allerede i dag og er relevant for mange KI-bruksområder i HR.

Arbeidsmiljøloven § 9-1 setter rammer for kontroll og overvåkning av ansatte, og vil måtte vurderes parallelt med KI-loven for systemer som overvåker ansattatferd.

Hva bør norske bedriftsledere gjøre nå?

Du trenger ikke vente til august 2026. Her er det praktiske utgangspunktet:

Kartlegg all KI-bruk i bedriften. Mange bedrifter bruker mer KI enn de er bevisste på – det kan sitte i HR-systemet, rekrutteringsplattformen, CRM-et eller kundeserviceverktøyet. Start med en enkel liste over alle digitale systemer som inneholder KI-funksjoner.

Klassifiser hvert system etter risikoklasse. Bruk Lexolves gratis verktøy for å finne ut hvilken kategori hvert system faller i. De fleste vil havne i minimal risiko – men systemer som brukes i HR og rekruttering kan være høyrisiko.

Lag en intern KI-policy. Alle ansatte som bruker KI trenger retningslinjer for hva som er tillatt og ikke. KI-loven stiller et aktivt kompetansekrav. En KI-policy er det enkleste stedet å starte. Lag KI-policy gratis her.

Gjennomfør DPIA for høyrisiko-systemer. Dersom du har systemer som faller i høyrisiko-kategorien, er en konsekvensanalyse neste steg. Lexolves DPIA-veileder guider deg gjennom prosessen.

Informer ansatte og tillitsvalgte. Dersom du innfører nye KI-systemer som påvirker ansatte, skal dette drøftes. Gjør det proaktivt – det er enklere å bygge tillit nå enn å rette opp etterpå.