Hopp til hovedinnhold

Informasjonskapsler på hkdir.no

Vi deler aldri opplysningene dine med andre. Les mer om hvordan vi bruker informasjonskapsler.

Godta alle: Gir oss innsikt i anonym bruk av nettsiden, slik at vi kan gjøre tjenesten bedre.

Bare nødvendige: For at nettsiden skal virke og fungere trygt. Disse må være på.

Gå til forsiden
Søk i dokumentet
  1. arrowInnledning
    1. arrowFormål og avgrensninger
    2. arrowMålgrupper
    3. arrowOppdateringer
    4. arrowKapitlene i rapporten
  2. arrow1. Formål og virkeområde
    1. arrow1.1 Formålene med forordningen
    2. arrow1.2 Skadevirkninger av KI – noen eksempler
    3. arrow1.3 Virkeområde – KI-systemer og -modeller for allmenne formål
    4. arrow1.4 Vitenskapelig forskning og FoU
    5. arrow1.5 Privat bruk
    6. arrow1.6 Leverandører og idriftsettere
    7. arrow1.7 KI-kompetanse
    8. arrow1.8 Risikobasert regulering
  3. arrow2. Uakseptabel risiko
    1. arrow2.1 Uakseptabel risiko
    2. arrow2.2 Følelsesgjenkjenning i utdanning og på arbeidsplassen
    3. arrow2.3 Biometriske data
    4. arrow2.4 Medisinske eller sikkerhetsmessige formål
  4. arrow3. Høy risiko
    1. arrow3.1 Bruksområder med høy risiko
    2. arrow3.2 Utdanning og yrkesfaglig opplæring
    3. arrow3.3 Sysselsetting og arbeidsledelse
    4. arrow3.4 Unntak for visse typer KI-systemer
    5. arrow3.5 Krav til høyrisikosystemer
    6. arrow3.6 Leverandører og idriftsettere
    7. arrow3.7 Plikter for leverandører
    8. arrow3.8 Plikter for idriftsettere
    9. arrow3.9 Registrering av høyrisikosystemer
  5. arrow4. Begrenset og minimal risiko
    1. arrow4.1 Begrenset risiko
    2. arrow4.2 Minimal risiko
  6. arrow5. Nedstrøms leverandører, sandkasse og håndheving
    1. arrow5.1 KI-modeller og nedstrøms leverandører
    2. arrow5.2 Regulatorisk sandkasse
    3. arrow5.3 Koordinerende tilsynsmyndighet
    4. arrow5.4 Sanksjoner for regelbrudd
    5. arrow5.5 KI-organer på EU-nivå
    6. arrow5.6 KI-kontoret
    7. arrow5.7 Det europeiske KI-rådet
    8. arrow5.8 Rådgiverforum og vitenskapspanel
  7. arrowReferanser
    1. arrowVedlegg I: Milepæler for KI-forordningen
    2. arrowVedlegg II: Noen informasjonsressurser

KI-forordningen kort fortalt

Betydningen av nytt EU-regelverk om kunstig intelligens for høyere utdanning og forskning

3. Høy risiko

I KI-forordningen vurderes enkelte bruksområder for kunstig intelligens å innebære høy risiko med hensyn til helse, sikkerhet og grunnleggende rettigheter. Risikoen er likevel ikke så høy at kunstig intelligens er forbudt. Det er innenfor disse høy-risiko-områdene at reglene om utvikling, omsetning og bruk av KI-systemer er mest omfattende.

I dette kapitlet gir vi først eksempler på bruksområder for kunstig intelligens med høy risiko. Deretter drøfter vi høy-risiko-områder som er særlig relevante i høyere utdanning og forskning.

Til slutt gir vi en oversikt over hvilke krav som stilles til KI-systemer med høy risiko, og hvilke plikter leverandører og idriftsettere av slike systemer har.

3.1 Bruksområder med høy risiko

Bruksområder for kunstig intelligens med høy risiko er altså områder hvor det er tillatt å utvikle og anvende KI-systemer, men hvor det stilles detaljerte krav til

  1. KI-systemenes oppbygning og virkemåte,
  2. hva leverandører og idriftsettere av KI-systemer må gjøre for at utvikling, omsetning og bruk av systemene skal være lovlig.

Oversikten over hvilke bruksområder dette er, finnes i KI-forordningen artikkel 6 og i vedleggene I og III.

Også når det gjelder bruksområder for kunstig intelligens med høy risiko, nevnes flere forskjellige områder som ikke spesifikt omhandler høyere utdanning og forskning. Et viktig eksempel på dette er KI-systemer beregnet for profilering av enkeltpersoner. Andre eksempler på høy-risiko-områder inkluderer blant annet

  • evalueringer av personers kredittverdighet og kredittskår,
  • risikovurderinger og prissetting i forbindelse med livs- og helseforsikring,
  • biometrisk fjernidentifikasjon av personer,
  • behandling av søknader om asyl, visum eller oppholdstillatelse og klager på slike vedtak,
  • vurdering av om personer har rett til viktige offentlige ytelser og tjenester, inkludert helsetjenester,
  • påvirke utfallet av valg til politiske organer eller folkeavstemninger,
  • vurderinger av risikoen for at personer begår eller på nytt begår straffbare handlinger.

I tillegg defineres flere bruksområder innen sysselsetting og arbeidsledelse som høy risiko. Dette er områder som ikke spesifikt retter deg mot høyere utdanning og forskning, men som det likevel er verdt å merke seg i vår sektor. Disse vil vi komme tilbake til nedenfor.

Kommende veileder fra EU

Det foreligger per i dag ingen veileder fra EU-kommisjonen om bruksområder for kunstig intelligens med høy risiko. Kommisjonen har imidlertid bedt om innspill fra interessenter («stakeholders») om hva en slik veileder bør inneholde, inkludert eksempler på KI-systemer som bør regnes som høy risiko.

Veilederen var planlagt publisert i 2. februar 2026, men fredigstillelse og publisering er nå blitt utsatt.

3.2 Utdanning og yrkesfaglig opplæring

Innen utdanning og yrkesfaglig opplæring er det fire bruksområder for kunstig intelligens som i forordningen regnes som høy risiko med hensyn til helse, sikkerhet og grunnleggende rettigheter.

Begrunnelsene for at disse bruksområdene regnes som høy risiko, er de kan ha stor betydning for personers yrkeskarrierer og livssjanser, og at de er inngripende overfor studenter og elever.

Følgende måter å bruke kunstig intelligens på regnes som høy risiko:

  1. KI-systemer som bestemmer opptak til utdanningsinstitusjoner og yrkesfaglig opplæring på alle nivåer. Dette kan dreie seg om bruk av KI-systemer i opptak av studenter til universiteter eller høyskoler. Det kan for eksempel være tilfelle dersom Samordna opptak benytter kunstig intelligens for å avgjøre hvilke søkere som får tilbud om studieplass.
  2. KI-systemer som evaluerer studentenes læringsutbytte, inkludert styring av læringsprosesser, i utdanningsinstitusjoner og yrkesfaglig opplæring på alle nivåer. Dette kan for eksempel dreie seg om bruk av KI-systemer til sensur av eksamensbesvarelser eller til vurdering av obligatoriske innleveringer og andre typer studentoppgaver. Det kan også dreie seg om bruk av kunstig intelligens i læringsanalyse.
  3. KI-systemer som vurderer hvilket utdanningsnivå det er hensiktsmessig at studenter mottar eller gis tilgang til i utdanningsinstitusjoner og yrkesfaglig opplæring på alle nivåer. Dette kan trolig handle om bruk av KI-systemer til blant annet å vurdere studentenes studieprogresjon og faglig modenhet, slik at de kan få opplæring tilpasset sitt kompetansenivå.
  4. KI-systemer som kontrollerer og avdekker fusk eller forsøk på fusk under prøver eller eksamener som avholdes av utdanningsinstitusjoner og i yrkesfaglig opplæring på alle nivåer. Dette handler om KI-systemer som registrerer og analyserer data om studentenes atferd ved skoleeksamen, hjemmeeksamen, osv. i den hensikt å avdekke eller forebygge fusk.

Videre kan anvendelse av kunstig intelligens innen disse bruksområdene føre til at den enkeltes rett til utdanning krenkes. Det kan for eksempel skje dersom bruk av kunstig intelligens i høyere utdanning innebærer uønsket diskriminering basert på rase, etnisitet, funksjonsevne eller kjønn.

Andre former for bruk av kunstig intelligens i utdanning og yrkesfaglig opplæring enn de som er nevnt ovenfor, regnes ikke som høy risiko. Dette kan blant annet gjelde bruk av KI-systemer i følgende sammenhenger:

  • Studenters bruk av kunstig intelligens for å tilegne seg faglig kunnskap, for eksempel å finne relevant faglitteratur eller å få forklaringer på begreper eller annet faglig innhold.
  • Studenters bruk av kunstig intelligens som «læringsassistent» eller sparringpartner. Eksempler på dette kan være å gi tilbakemeldinger på ideer eller argumenter, utarbeide forslag til oppbygging av oppgaver, eller til språkvask og oversetting av tekster.
  • Underviseres bruk av kunstig intelligens til utarbeidelse av undervisningsopplegg eller til å lage forslag til eksamensoppgaver.

3.3 Sysselsetting og arbeidsledelse

Innen sysselsetting og arbeidsledelse er det to bruksområder for kunstig intelligens som regnes som høy risiko for helse, sikkerhet og grunnleggende rettigheter.

Begrunnelsene for at de to aktuelle bruksområdene vurderes å innebære høy risiko, er i stor grad de samme som for utdanning og yrkesfaglig opplæring. Det understrekes også at bruk av KI innen sysselsetting og arbeidsledelse kan krenke de ansattes opplysnings- og personvern.

Følgende måter å bruke kunstig intelligens på regnes som høy risiko:

  1. KI-systemer til rekruttering eller utvelgelse av jobbsøkere. Det inkluderer blant annet publisering av målrettede stillingsannonser, analyse og filtrering av jobbsøknader, og rangering eller scoring av søkere.
  2. KI-systemer for å treffe enkelte typer beslutninger i arbeidsforhold. Det dreier seg om forfremmelser eller oppsigelser av ansatte eller ledere, fordeling av arbeidsoppgaver basert på atferd, personlighet eller personlige egenskaper, og overvåking og evaluering av jobbprestasjoner og atferd.

Begge bruksområdene omfatter rekruttering til og styring eller ledelse av ansatte i alle typer stillinger – administrativt ansatte og ansatte i undervisnings- og forskningsstillinger.

Når det gjelder bruk av kunstig intelligens til fordeling av arbeidsoppgaver, overvåking og evaluering av arbeidsinnsats og -atferd, kan det for universiteter og høyskoler tenkes at dette er mest relevant for visse typer stillinger, kanskje primært i administrasjonen.

Endring av bruksområder med høy risiko

Bruksområdene for kunstig intelligens som i dagens forordning er definert som høy risiko, kan bli revidert og endret, jf. KI-forordningen artikkel 7. Det er EU-kommisjonen som har myndighet til å foreta slike revisjoner og endringer.

Det betyr at kommisjonen i fremtiden kan fjerne bruksområder for kunstig intelligens innen undervisning og yrkesfaglig opplæring som i dag regnes som høy risiko, og legge til nye områder som i dag ikke regnes som høy risiko. Det samme kan skje innen sysselsetting og arbeidsledelse.

EU-kommisjonen kan bare gjøre dette dersom det foreligger pålitelig og konkret dokumentasjon som tilsier at endring – fjerning av eksisterende bruksområder eller supplering med nye – er nødvendig for fortsatt å ivareta formålene med forordningen.

3.4 Unntak for visse typer KI-systemer

Videre er det verdt å merke seg at selv om høyrisikosystemer anvendes, er det likevel ikke sikkert at bruken av dem klassifiseres som høy risiko. Det er for eksempel tilfelle dersom et høyrisikosystemet anvendes til å forbedre resultatet av en oppgave som tidligere er utført av et menneske. Det er også unntak for KI-systemer som er beregnet på å utføre en forberedende oppgave som blir sluttført av et menneske.

I slike tilfeller sier forordningen at KI-systemer som i utgangspunktet regnes som høy risiko likevel ikke utgjør en betydelig risiko for helse, sikkerhet og grunnleggende rettigheter.

Dersom KI-systemet brukes på en måte som gjør at det kommer inn under ett av disse unntakene, vil kravene som forordningen stiller til høyrisikosystemer ikke gjelde. Heller ikke pliktene for leverandører og idriftsettere av systemene vil gjelde. Nedenfor kommer vi tilbake til hvilke krav og andre plikter det dreier seg om.

Konkrete eksempler på unntakene nevnt ovenfor kan være at KI-systemet brukes til en første vurdering av eksamensbesvarelser, men hvor vurderingene deretter blir evaluert og kvalitetssikret av sensor. Det er imidlertid avgjørende at sensor foretar en reell overprøving og kvalitetssikring av den forberedende og KI-baserte vurderingen. Dersom det ikke skjer, er det i realiteten KI-systemet som bestemmer karakteren.

Det kan også tenkes at unntakene omfatter utarbeidelse av forslag til begrunnelser for karakterer. Men også her er det avgjørende at det foretas en reell overprøving og kvalitetssikring av forslaget fra KI-systemet.

3.5 Krav til høyrisikosystemer

Forordningen stiller krav til oppbygningen og virkemåten til KI-systemer med høy risiko. Kravene fremgår av KI-forordningen artikkel 8-15.

Nedenfor gir vi en kort og skjematisk oversikt over hvilke krav det er snakk om. Følgende krav gjelder for høyrisikosystemer:

  • Risikostyring: Risikoen for at et høyrisikosystem fører til betydelig skade på helse, sikkerhet og grunnleggende rettigheter skal vurderes og håndteres. Vurdering og håndtering av risiko skal skje under hele KI-systemets levetid. Leverandøren av KI-systemet skal derfor etablere, innføre, dokumentere og vedlikeholde et risikostyringssystem. Risikostyringssystemet skal revideres regelmessig og oppdateres ved behov.
  • Dataforvaltning: Det skal utarbeides rutiner for håndtering av data som benyttes til trening, validering og testing av høyrisikosystemer. Det dreier seg blant annet om rutiner for innsamling og bearbeidelse av data (annotasjon, merking, oppdatering, osv.) som brukes til trenings-, validerings- og testformål. Det handler også om rutiner for kontroll med opprinnelsen til slike data, undersøkelse av og tiltak for å sikre nødvendig representativitet og tiltak for å unngå skjevhet («bias») i datagrunnlaget.
  • Dokumentasjon: Det skal foreligge teknisk dokumentasjon av et høyrisikosystem. Den tekniske dokumentasjonen skal blant annet vise hvordan krav som stilles til høyrisikosystem er ivaretatt, og den skal inneholde informasjon om KI-systemets egenskaper, algoritmer og kapasitet. Dokumentasjonen skal holdes oppdatert og den skal være tilgjengelig for nasjonale myndigheter, for eksempel tilsynsorgan.
  • Sporbarhet: Et høyrisikosystem skal ha funksjonalitet for automatisk logging av hendelser i systemet. Det kan være hendelser som medfører betydelig risiko for helse, sikkerhet og grunnleggende rettigheter, for eksempel dataangrep som skader integriteten til systemet. Hendelseslogging skal også hjelpe eksterne brukere eller kunder (idriftsettere) til å overholde sin plikt til å overvåke driften av KI-systemet.
  • Åpenhet: Det skal foreligge informasjon om KI-systemet rettet mot eksterne brukere eller kunder som anvender systemet (idriftsettere). Informasjonen skal sette dem i stand til å forstå hvordan systemet fungerer, inkludert KI-systemets styrker og begrensninger, og å forstå og bruke utdata på en hensiktsmessig måte. Det skal også foreligge en bruksanvisning for KI-systemet. Bruksanvisningen skal blant annet inneholde kontaktinformasjon til leverandøren av systemet og informasjon om systemets tiltenkte formål, nøyaktighet, robusthet og datasikkerhet.
  • Menneskelig tilsyn: Et høyrisikosystem skal utformes slik at det kan overvåkes og kontrolleres av mennesker mens det er i drift. KI-systemet skal blant annet inneholde overvåkingsverktøy som gjør det mulig å stoppe, overstyre eller å ta direkte kontroll over KI-systemet dersom det er nødvendig. Leverandøren av KI-systemet skal sørge for at eksterne brukere eller kunder (idriftsettere) får den informasjon og opplæring de trenger for å overvåke og kontrollere systemet på en hensiktsmessig måte.
  • Nøyaktighet, robusthet og datasikkerhet: Et høyrisikosystem skal utformes slik at systemets nøyaktighet, robusthet og datasikkerhet ivaretas gjennom hele levetiden. KI-systemets nøyaktighet skal beskrives i bruksanvisningen (se ovenfor), mens robustheten skal sikres gjennom redundansløsninger, for eksempel reserve- og feilsikringsplaner. Det skal blant annet iverksettes tiltak for å forebygge, oppdage og håndtere risikoen for uautorisert tilgang til og bruk av utdata fra KI-systemet. Det skal også iverksettes tiltak mot forsøk på manipulasjon av treningsdata og treningskomponenter, og mot at systemet utsettes for skadelige inndata (data laget for at systemet skal gjøre feil).

3.6 Leverandører og idriftsettere

I tillegg til at forordningen stiller egne krav til selve KI-systemene, gir den også plikter til leverandører og idriftsettere av KI-systemer med høy risiko.

Ovenfor har vi sett at leverandører kan være universiteter eller høyskoler som utvikler et KI-system, eller som får andre til å utvikle et slikt system for seg. Idriftsettere kan være universiteter eller høyskoler som bestemmer seg for å bruke et KI-system til å løse sine oppgaver og utføre sitt samfunnsoppdrag.

Nedenfor gir vi en kort oversikt over hvilke plikter som leverandører og idriftsettere av KI-systemer med høy risiko har.

Hamskifte – fra idriftsetter til leverandør

Idriftsettere, for eksempel et universitet eller en høyskole, kan under visse betingelser bli leverandør av et KI-system som de selv ikke har utviklet detDet kan blant annet skje dersom universitetet eller høyskolen tar i bruk et KI-system med høy risiko under sitt eget navn eller merkevare.

Idriftsettere – universiteter eller høyskoler – kan også bli leverandør i enkelte andre tilfeller, for eksempel dersom det gjørs endringer i et KI-system med begrenset risiko slik at det blir et høyrisikosystem. Et eksempel på dette er en chatbot som trenes og benyttes til å rangere jobbsøkere.

Dersom et universitet eller en høyskole går fra å være idriftsetter til å bli leverandør av et KI-system med høy risiko, må institusjonen overholde de reglene i forordningen som gjelder for høyrisikosystemer og for leverandører av slike systemer.

3.7 Plikter for leverandører

Pliktene for leverandører av KI-systemer innen bruksområder med høy risiko finnes i KI-forordningen artikkel 16-22 og 25, men også i flere andre artikler i forordningen.

Følgende plikter gjelder for leverandører:

  • Overholde de kravene som stilles til selve KI-systemet og som er skissert i kulepunktene ovenfor.
  • Innføre og dokumentere et kvalitetsstyringssystem for høyrisikosystemer. Kvalitetsstyringssystemet skal inneholde skriftlige retningslinjer, prosedyrer og instrukser som sikrer at krav og plikter som gjelder for leverandører blir overholdt.

Kvalitetsstyringssystemet som leverandører av høyrisikosystemer skal etablere, har liknende formål, oppbygning og prosesser som andre ledelses- eller styringssystemer innenfor beslektede områder, for eksempel informasjonssikkerhet og personvern.

Krav til kvalitetsstyringssystemet

KI-forordningen stiller krav til innholdet i kvalitetsstyringssystemet som leverandører av høyrisikosystemer skal innføre og dokumentere. Systemet skal blant annet inneholde

  • strategi for overholdelse av KI-forordningen,
  • teknikker og prosedyrer for utforming av KI-systemet og kontroll med utformingen av det,
  • teknikker og prosedyrer for videreutvikling, kvalitetskontroll og kvalitetssikring av KI-systemet,
  • prosedyrer for undersøkelse, testing og validering av KI-systemet,
  • prosedyrer for datahåndtering,
  • retningslinjer og prosedyrer for risikostyring,
  • retningslinjer og prosedyrer for overvåking av KI-systemet etter at det er det er brakt i omsetning eller tatt i bruk,
  • retningslinjer og prosedyrer for forvaltning av all relevant dokumentasjon av og informasjon om KI-systemet,

beskrivelser av hvordan kvalitetsstyringssystemet er organisert, herunder fordeling av roller, ansvar og oppgaver.

Videre stilles det krav til leverandører om oppbevaring og tilgjengeliggjøring av dokumentasjon, oppbevaring av hendelseslogger og rapportering av alvorlige hendelser.

Leverandøren skal også inngå avtaler som regulerer forholdet til tredjeparter som leverer komponenter, verktøy eller tjenester til høyrisikosystem.

Leverandører skal samarbeide med nasjonale myndigheter og gi dem tilgang til nødvendig dokumentasjon, for eksempel i forbindelse med tilsyn.

Ut over dette, har leverandører av KI-systemer med høy risiko tre andre plikter som det er viktig å være oppmerksom på:

  • Gjennomføre samsvarsvurdering og utarbeide samsvarserklæring som dokumenterer at et høyrisikosystem oppfyller kravene i KI-forordningen. For KI-systemer beregnes brukt i utdanning og yrkesfaglig opplæring, sysselsetting og arbeidsledelse kan leverandøren selv gjøre samsvarsvurderingen.
  • Innføre og dokumentere et system for overvåking av et høyrisikosystem etter at det er brakt i omsetning eller tatt i bruk. Overvåkingssystemet skal registrere data om KI-systemets virkemåte slik at det blir mulig for leverandøren å oppdage avvik fra reglene i forordningen.
  • Iverksette korrigerende tiltak dersom et høyrisikosystem ikke samsvarer med kravene i forordningen etter at det er brakt i omsetning eller tatt i bruk. Tiltakene skal sørge for at avvik fra kravene i forordningen lukkes.

3.8 Plikter for idriftsettere

Idriftsettere av KI-systemer innen bruksområder med høy risiko kan bruke systemet på måter som medfører betydelig skade med hensyn til helse, sikkerhet og grunnleggende rettigheter. Det kan være tilfelle dersom systemet brukes til formål som det ikke er egnet for eller dersom det gis tilgang til opplysninger som systemet ikke er sikkert nok til å behandle. Derfor har også idriftsettere, for eksempel universiteter eller høyskoler, plikter etter KI-forordningen. Disse fremgår av artikkel 26 og 27 i forordningen.

Pliktene for idriftsettere er ikke like omfattende som for leverandører. Det kreves for eksempel ikke at idriftsettere innfører og dokumenterer et kvalitetsstyringssystem.

Følgende plikter gjelder for idriftsettere av høyrisikosystemer:

  • Iverksette tiltak som sørger for at KI-systemet brukes i samsvar med bruksanvisningen fra leverandøren.
  • Føre menneskelig tilsyn med KI-systemet etter at det er tatt i bruk.
  • Sikre at inndata er relevante og representative sett i lys av formålet med bruken av KI-systemet.
  • Overvåke driften av KI-systemet.
  • Informere leverandøren og tilsynsmyndigheten dersom høyrisikosystem fortsatt utgjør en risiko for helse, sikkerhet og grunnleggende rettigheter, og avslutte bruken av det aktuelle systemet.
  • Informere leverandøren og tilsynsmyndigheten om alvorlige hendelser ved bruk av KI-systemet.
  • Oppbevare automatiske hendelseslogger som KI-systemet genererer.
  • Gjennomføre vurdering av personvernkonsekvenser (DPIA), jf. personvernforordningen (GDPR) artikkel 35.
  • Informere egne ansatte og ledere, eventuelt også studenter, om bruken av KI-systemet.
  • Informere personer, for eksempel studenter aller ansatte, dersom de er gjenstand for beslutninger som helt eller delvis er fattet av et høyrisikosystem.
  • Samarbeide med tilsynsmyndigheten.

Idriftsettere som er offentlige virksomheter, inkludert universiteter eller høyskoler, skal også gjennomføre en vurdering av konsekvenser for grunnleggende rettigheter (FRIA) før visse typer høyrisikosystem tas i bruk. Denne plikten gjelder for KI-systemer med høy risiko som brukes innen utdanning og yrkesfaglig opplæring, sysselsetting og arbeidsledelse.

Idriftsetteren skal informere tilsynsmyndigheten når konsekvensvurderingen er gjennomført. Videre skal vurderingen oppdateres dersom det skjer endringer som medfører at den opprinnelige vurderingen ikke lenger er korrekt. Det kan være tilfelle dersom et KI-system får tilgang til nye typer inndata, for eksempel sensitive personopplysninger, eller systemet brukes til andre formål enn tidligere.

Dersom det også skal utarbeides en vurdering av personvernkonsekvenser for høyrisikosystemet (DPIA), kan denne foretas sammen med vurderingen av konsekvenser for grunnleggende rettigheter (FRIA).

3.9 Registrering av høyrisikosystemer

Leverandører av høyrisikosystemer i høyere utdanning og forskning, for eksempel systemer beregnet for evaluering av læringsutbytte eller opptak til studier, skal registrere KI-systemet i en europeisk database. Databasen skal opprettes og drives i regi av EU-kommisjonen.

Idriftsettere i høyere utdanning og forskning som er offentlige virksomheter, skal registrere seg i den samme databasen. Deretter skal de velge hvilke høyrisikosystemer de ønsker å anvende. Dersom systemet som idriftsetteren ønsker å bruke ikke er registrert i EUs database, kan systemet ikke tas i bruk og idriftsetteren skal varsle leverandøren, eventuelt distributøren, om at registrering mangler.

Registreringer i EU-databasen vil vanligvis være offentlig tilgjengelige.

Forklaring på KI-beslutninger

Personer, for eksempel studenter og ansatte i høyere utdanningsinstitusjoner, har rett til å få en forklaring på beslutninger fattet på grunnlag av utdata fra et KI-system med høy risiko. Plikten til forklaring gjelder for idriftsettere som benytter høyrisikosystemer til å fatte beslutninger som har rettsvirkninger for den enkelte, eller som i betydelig grad medfører negative konsekvenser for enkeltpersoners helse, sikkerhet eller grunnleggende rettigheter.

I høyere utdanningsinstitusjoner kan retten til forklaring gjelde dersom et KI-system benyttes i sensur av eksamensbesvarelser eller ved opptak til studier. Forklaringen skal blant annet inneholde en klar og meningsfull redegjørelse av hvilken rolle KI-systemet har spilt i beslutningen.

[30]

Det samme gjelder innenfor visse produktområder hvor KI-systemet i seg selv er et produkt eller hvor kunstig intelligens er integrert i produktenes sikkerhetskomponenter. Eksempler på slike produktområder inkluderer heisanlegg, leketøy, medisinsk utstyr og personlig verneutstyr. Jf. KI-forordningen artikkel nr. 1 og vedlegg I.

[31]

Med profilering menes automatisert behandling av personopplysninger for å vurdere visse personlige egenskaper. Det handler spesielt om å analysere eller forutsi ulike sider ved en persons arbeidsprestasjoner, økonomiske situasjon, helse, personlige preferanser, interesser, pålitelighet, atferd, plassering (lokasjon) eller bevegelser. Se personvernforordningen artikkel 4 nr. 4.

[32]

Se KI-forordningen artikkel 6 nr. 2 og vedlegg III.

[34]

Se KI-forordningen vedlegg III, nr. 3, jf. fortalepunkt 56.

[35]

For diskusjoner av pedagogiske, juridiske og personvernmessige aspekter ved digital læringsanalyse, se NOU 2023: 19.

[36]

Utvalget om kunstig intelligens i høyere utdanning fraråder bruk av KI-verktøy for å avdekke fusk eller forsøk på fusk (Malthe-Sørenssen-utvalget 2025: 28-29). På bakgrunn av tilgjengelig forskning, mener utvalget at slike verktøy ikke er nøyaktige og pålitelige nok til å kunne benyttes til dette formålet. Det kan i tillegg være problematisk å benytte resultater fra KI-verktøy som bevis i fuskesaker fordi det er vanskelig å gjøre rede for hvordan KI-verktøy har identifisert eksamensbesvarelser som maskingenerert.

[37]

Se KI-forordningen vedlegg III, nr. 4, jf. fortalepunkt 57.

[38]

Se særlig KI-forordningen artikkel 6 nr. 3 og 4, jf. fortalepunkt 53.

[39]

Det er også unntak for KI-systemer som brukes til å utføre en snever rutineoppgave eller analyserer beslutningsmønstre eller avvik fra tidligere beslutningsmønstre uten å endre eller påvirke beslutninger eller vurderinger som allerede er gjort av mennesker (jf. KI-forordningen artikkel 6 nr. 3, bokstav c). Et eksempel på det siste kan være at undervisere benytter kunstig intelligens for å vurdere karakterutviklingen i sine fag over tid, i den hensikt å gjøre endringer i pensum eller av selve undervisningsopplegget. Utvalget om kunstig intelligens i høyere utdanning diskuterer et liknende scenario i sitt notat om bruk av KI i forbindelse med eksamen, sensur og karakterbegrunnelser (Malthe-Sørenssen-utvalget 2025: 34-35).

[40]

For nærmere drøfting av denne problemstillingen, se Malthe-Sørensen-utvalget 2025: 29.

[41]

KI-forordningen artikkel 9, jf. fortalepunkt 65.

[42]

KI-forordningen artikkel 10, jf. fortalepunkt 66-70.

[43]

KI-forordningen artikkel 11, jf. fortalepunkt 66 og 71.

[44]

KI-forordningen artikkel 12, jf. fortalepunkt 71.

[45]

KI-forordningen artikkel 13, jf. fortalepunkt 72.

[46]

KI-forordningen artikkel 14, jf. fortalepunkt 73.

[47]

KI-forordningen artikkel 15, jf. fortalepunkt 74-78.

[49]

KI-forordningen artikkel 16 bokstav a.

[50]

KI-forordningen artikkel 16 bokstav c.

[52]

KI-forordningen artikkel 16 bokstav d og e, og artikkel 73.

[53]

KI-forordningen artikkel 25 nr. 4, jf. fortalepunkt 88-90.

[54]

KI-forordningen artikkel 21.

[55]

Dette gir leverandøren rett og plikt til å CE-merke KI-systemer med høy risiko som omsettes på det europeiske markedet. Jf. KI-forordningen artikkel 16 bokstav f-h, og artikkel 43, 47 og 48.

[56]

KI-forordningen artikkel 72, jf. fortalepunkt 155.

[57]

KI-forordningen artikkel 20, jf. fortalepunkt 81.

[58]

Jf. også fortalepunkt 91-96.

[59]

KI-forordningen artikkel 26 nr. 1.

[60]

KI-forordningen artikkel 26 nr. 2.

[61]

KI-forordningen artikkel 26 nr. 4.

[62]

KI-forordningen artikkel 26 nr. 5.

[63]

KI-forordningen artikkel 26 nr. 5, jf. artikkel 79 nr. 1.

[64]

KI-forordningen artikkel 26 nr. 5. Med alvorlige hendelser menes for eksempel omfattende skader på eiendom eller naturmiljøet, dødsfall eller alvorlig personskade, brudd på personvernet eller krenkelser av diskrimineringsvernet, jf. artikkel 3 nr. 49.

[65]

KI-forordninger artikkel 26 nr. 6.

[66]

KI-forordninger artikkel 26 nr. 9.

[67]

KI-forordninger artikkel 26 nr. 7.

[68]

KI-forordninger artikkel 26 nr. 11. Plikten gjelder for høyrisikosystemer i vedlegg III, og omfatter derfor KI-systemer innen utdanning og yrkesfaglig opplæring, sysselsetting og arbeidsledelse.

[69]

KI-forordninger artikkel 26 nr. 12.

[70]

KI-forordningen artikkel 27, jf. fortalepunkt 93 og 96. Det er utarbeidet en del veiledningsmateriell for gjennomføring av FRIA. Et eksempel på en praktisk rettet veiledning, laget av Institut for Menneskerettigheder i Danmark og European Center for Not-for-Profit Law, er tilgjengelig her: ECNL DIHR Guide to FRIA Dec 2025.pdf.

[71]

KI-forordningen artikkel 27 nr. 2 og 3.

[72]

KI-forordningen artikkel 27 nr. 4.

[73]

KI-forordningen artikkel 16 bokstav i. Jf. artikkel 49 nr. 3 og artikkel 71.

[74]

KI-forordningen artikkel 26 nr. 8. Jf. artikkel 49 og 71.

ForrigeForrige kapittel
Innhold
NesteNeste kapittel