HjemSlik fungerer detKompetanseOm ossKom i gang
Regelverk

Regelverk og krav

EU AI Act skiller mellom de som utvikler KI-systemer og de som tar dem i bruk, og stiller krav til begge. De fleste norske virksomheter er i det minste brukere, mange uten å ha oversikt over hvilke plikter det utløser. Flere av disse kravene er allerede i kraft.

Når organisasjonen tar i bruk et KI-verktøy – enten det er Copilot for effektivisering eller et analyseverktøy i HR – blir dere det EU AI Act kaller en «deployer» (bruker). Hvilke plikter dere får, avhenger av verktøyet. For hverdags-KI krever AI Act at dere sikrer ansattes KI-kompetanse og åpenhet. Men tar dere i bruk «høyrisiko»-systemer (som rekrutterings- eller finansverktøy), slår de tunge pliktene inn: krav til menneskelig tilsyn, logging og dokumentasjon. Kompleksiteten oppstår fordi selv det «ufarlige» verktøyet utløser krav om risikovurdering og dokumentasjon gjennom GDPR hvis personopplysninger er involvert. Lexera samler disse trådene, slik at dere ivaretar begge regelverk i én og samme vurdering.

Utfordringen er at kravene ikke kommer fra ett enkelt regelverk. En DPIA er et GDPR-krav. Kompetansedokumentasjon er et EU AI Act-krav. Oversikt over KI-systemer kreves av begge. Og når den norske KI-loven trer i kraft, vil Nkom og Datatilsynet kunne føre tilsyn med etterlevelsen av alt dette på én gang.

Hva gjelder når
!
Gjelder nå

Forbudte praksiser og kompetansekrav

EU AI Act artikkel 5 (forbudte praksiser) og artikkel 4 (KI-kompetansekrav) har vært gjeldende siden februar 2025. Organisasjoner skal allerede kunne dokumentere at ansatte har tilstrekkelig forståelse for KI-verktøyene de bruker.

Sensommer 2026

KI-loven og full tilsynsmyndighet

Den norske KI-loven gjennomfører EU AI Act via EØS-avtalen. Høyrisiko-kravene trer i kraft, og Nkom og Datatilsynet får tilsynsmyndighet. Bøter på opptil 7 % av global omsetning ved alvorlige brudd.

Løpende

GDPR-forpliktelser

Krav til behandlingsgrunnlag, DPIA ved høy risiko, tredjelandsoverføring og databehandleravtaler gjelder allerede, og forsvinner ikke med ny lovgivning. KI-verktøy som behandler personopplysninger utløser disse kravene uavhengig av EU AI Act.

Tre regelverk, én struktur
GDPR

Personvern og databehandling

Behandlingsgrunnlag, DPIA-vurderinger, tredjelandsoverføring og databehandleravtaler. Gjelder allerede for all KI-bruk som berører personopplysninger.

EU AI Act

Risiko og kompetanse

Risikoklassifisering, forbudte praksiser, kompetansekrav og dokumentasjon av bruk og formål. Artikkel 4 og 5 gjelder allerede. Resten fra august 2026.

KI-loven

Norsk gjennomføring

Gjennomfører EU AI Act i norsk rett via EØS-avtalen. Nkom som koordinerende tilsyn, Datatilsynet på personvern. Planlagt ikrafttredelse sensommer 2026.

Lexera er ikke juridisk rådgivning. Det er et system som stiller de riktige spørsmålene, basert på GDPR art. 35, EDPB WP248, EU AI Act Annex III og ISO 42001. Strukturen gjenspeiler det tilsynene faktisk vurderer.

Regelverket krever ikke perfeksjon. Det krever at dere kan vise at valgene er gjennomtenkte. Lexera gjør det mulig å vise akkurat det.

← Alle ressurserKom i gang →