Hopp til hovedinnhold

Informasjonskapsler på hkdir.no

Vi deler aldri opplysningene dine med andre. Les mer om hvordan vi bruker informasjonskapsler.

Godta alle: Gir oss innsikt i anonym bruk av nettsiden, slik at vi kan gjøre tjenesten bedre.

Bare nødvendige: For at nettsiden skal virke og fungere trygt. Disse må være på.

Gå til forsiden
Søk i dokumentet
  1. arrowInnledning
    1. arrowFormål og avgrensninger
    2. arrowMålgrupper
    3. arrowOppdateringer
    4. arrowKapitlene i rapporten
  2. arrow1. Formål og virkeområde
    1. arrow1.1 Formålene med forordningen
    2. arrow1.2 Skadevirkninger av KI – noen eksempler
    3. arrow1.3 Virkeområde – KI-systemer og -modeller for allmenne formål
    4. arrow1.4 Vitenskapelig forskning og FoU
    5. arrow1.5 Privat bruk
    6. arrow1.6 Leverandører og idriftsettere
    7. arrow1.7 KI-kompetanse
    8. arrow1.8 Risikobasert regulering
  3. arrow2. Uakseptabel risiko
    1. arrow2.1 Uakseptabel risiko
    2. arrow2.2 Følelsesgjenkjenning i utdanning og på arbeidsplassen
    3. arrow2.3 Biometriske data
    4. arrow2.4 Medisinske eller sikkerhetsmessige formål
  4. arrow3. Høy risiko
    1. arrow3.1 Bruksområder med høy risiko
    2. arrow3.2 Utdanning og yrkesfaglig opplæring
    3. arrow3.3 Sysselsetting og arbeidsledelse
    4. arrow3.4 Unntak for visse typer KI-systemer
    5. arrow3.5 Krav til høyrisikosystemer
    6. arrow3.6 Leverandører og idriftsettere
    7. arrow3.7 Plikter for leverandører
    8. arrow3.8 Plikter for idriftsettere
    9. arrow3.9 Registrering av høyrisikosystemer
  5. arrow4. Begrenset og minimal risiko
    1. arrow4.1 Begrenset risiko
    2. arrow4.2 Minimal risiko
  6. arrow5. Nedstrøms leverandører, sandkasse og håndheving
    1. arrow5.1 KI-modeller og nedstrøms leverandører
    2. arrow5.2 Regulatorisk sandkasse
    3. arrow5.3 Koordinerende tilsynsmyndighet
    4. arrow5.4 Sanksjoner for regelbrudd
    5. arrow5.5 KI-organer på EU-nivå
    6. arrow5.6 KI-kontoret
    7. arrow5.7 Det europeiske KI-rådet
    8. arrow5.8 Rådgiverforum og vitenskapspanel
  7. arrowReferanser
    1. arrowVedlegg I: Milepæler for KI-forordningen
    2. arrowVedlegg II: Noen informasjonsressurser

KI-forordningen kort fortalt

Betydningen av nytt EU-regelverk om kunstig intelligens for høyere utdanning og forskning

1. Formål og virkeområde

De generelle bestemmelsene i KI-forordningen finnes i artikkel 1-4. Disse bestemmelsene klargjør blant annet formålene med regelverket, og inneholder regler om virkeområde, det vil si hva og hvem som omfattes av reglene i forordningen. I de generelle bestemmelsene stilles det også krav til KI-kompetanse.

I dette kapitlet vil vi derfor si litt om både formål med og virkeområde for forordningen, spesielt hva som kjennetegner de KI-systemene som omfattes av regelverket.

Deretter gir vi en oversikt over hvilke regler som gjelder for virksomheter i og utenfor høyere utdannings- og forskningssektoren som utfører vitenskapelig forskning ved hjelp av kunstig intelligens, eller som driver med forskning og utvikling innen kunstig intelligens.

Videre gjøre vi kort rede for hvem som omfattes av KI-forordningen – hvilke hovedtyper aktører som regelverket retter seg mot. Her ser vi også på hvilken KI-kompetanse som regelverket krever at disse aktørene har.

Til slutt drøfter vi den risikobaserte tilnærmingen som ligger til grunn for KI-forordningen. Den er avgjørende for å forstå hvordan forordningen er bygd opp.

1.1 Formålene med forordningen

Hensikten med KI-forordningen er å etablere et felles juridisk rammeverk for utvikling, omsetning og bruk av kunstig intelligens i EU/EØS. Tanken er at forordningen skal ivareta følgende formål:

  1. Legge til rette for et velfungerende marked i EU for KI-systemer og KI-baserte varer og tjenester. Dette skal oppnås ved at landene har et felles regelverk for utvikling, omsetning og bruk av kunstig intelligens.
  2. Stimulere til innovasjon på KI-området. Det skal blant annet oppnås ved at hvert land etablerer regulatoriske sandkasser for utvikling av KI-systemer (se kapittel 5). Som nevnt ovenfor, finnes det egne regler i forordningen for forskning på og utvikling av kunstig intelligens. Også disse reglene skal bidra til innovasjon på KI-området.
  3. Fremme utvikling, omsetning og bruk av menneskesentrert og pålitelig KI. Med dette menes at kunstig intelligens skal respektere enkeltpersoners rett til selvbestemmelse og kontroll, ivareta personvernet og gi vern mot urettmessig diskriminering. I tillegg skal kunstig intelligens produsere pålitelige og nøyaktige resultater, og være i stand til å motstå digitale angrep.
  4. Beskytte individer, samfunn og miljøet mot skadelige virkninger av kunstig intelligens. Det innebærer blant annet at KI-løsninger ikke skal påføre enkeltpersoner fysiske eller psykiske skader, og at løsningene skal respektere grunnleggende rettigheter, inkludert retten til personvern og ikke-diskriminering. Demokratiske prosesser og rettsstaten skal beskyttes mot skadevirkninger, for eksempel KI-baserte påvirknings- eller desinformasjonskampanjer. Det skal også tas hensyn til naturmiljø og bærekraft, blant annet som følge av det økende behovet for energi som utvikling og bruk av kunstig intelligens innebærer.

1.2 Skadevirkninger av KI – noen eksempler

International AI Safety Report 2025 gir en oversikt over skadevirkninger som kan oppstå ved bruk av kunstig intelligens (International AI Safety Report 2025 | International AI Safety Report). Dette er skader som KI-forordningen har som mål å beskytte individer og samfunnet mot. Noen av dem er nevnt ovenfor og inkluderer blant annet

  • Falskt innhold. KI-systemer kan generere falskt innhold, for eksempel dypforfalskninger, som skader enkeltpersoners omdømme eller relasjoner til andre personer. Slikt KI-generert innhold kan også brukes til utpressing, mobbing og svindel, for eksempel gjennom «stemmekloning».
  • Pålitelighet. Brukere kan bli skadelidende dersom de handler på grunnlag av informasjon generert av KI-systemer som inneholder feilaktige påstander om faktiske forhold («hallusinering»).
  • Skjevhet («bias»). Innhold generert av KI-systemer, for eksempel beslutninger eller anbefalinger, kan føre til uønsket diskriminering av visse samfunnsgrupper. Dette kan for eksempel skje dersom treningsdata ikke speiler den etniske, sosioøkonomiske, kjønnsmessige, religiøse eller politiske sammensetningen av samfunnet.
  • Digitale angrep. KI-systemer kan brukes til å gjøre digitale angrep kraftigere og vanskeligere å oppdage, for eksempel ved å fremstille og distribuere avansert skadevare (løsepengevirus, spionvare, osv.). Dette kan blant annet føre til tyveri av konfidensiell informasjon eller til at datasystemer skades eller ødelegges.
  • Personvern. Brukere kan få tilgang til andre personers sensitive personopplysninger fordi slike opplysninger inngår i KI-systemets treningsdata. Samtidig kan sårbarheter i programvaren fører til lekkasje av personopplysninger. Overvåking, rangering og scoring av enkeltpersoner ved hjelp av KI kan også innebære utfordringer for personvernet.
  • Meningsdanning og beslutningsprosesser. Kunstig intelligens kan brukes til å gjennomføre desinformasjonskampanjer i stor skala. Dette kan bidra til å forsterke motsetninger mellom grupper i samfunnet eller påvirke utfallet av politiske beslutningsprosesser og valg.
  • Opphavsrett. Det kan oppstå usikkerhet og uenighet om hvem som har rettighetene til KI-generert innhold. Rettighetsbeskyttet materiale (tekst, lyd, bilder, osv.) kan inngå i dataene som KI-systemene trenes på uten at opphavspersonene har samtykket til dette og uten at de er kompensert for bruken av materialet.

Utfordringer i høyere utdanning og forsking

Kunstig intelligens kan i tillegg innebære særskilte utfordringer i høyere utdanning og forskning. Utvalget om kunstig intelligens i høyere utdanning (Malthe-Sørenssen-utvalget) drøfter enkelte slike utfordringer i sitt notat om anvendelse av KI-systemer ved eksamen, sensur og karakterbegrunnelser (Notat: Foreløpige vurderinger – Malthe-Sørenssen-utvalget). I notatet pekes det blant annet på følgende mulige problemstillinger knyttet til bruk av kunstig intelligens til læringsformål:

  • Overfladisk læring. Generativ kunstig intelligens kan føre til at studentene overlater skriftlig arbeid og andre læringsaktiviteter til KI-systemer. Studentene kan dermed hoppe over viktige steg i læringsprosessen slik at læringen blir grunn og overfladisk.
  • Metakognitiv latskap. Generativ kunstig intelligens kan føre til at studentene benytter KI-systemer til å utføre mentalt krevende læringsaktiviteter, for eksempel analyser eller vurderinger, istedenfor å utføre aktivitetene selv. Dette kan kortslutte læringsprosessen og svekke studentenes muligheter for å tilegne seg grunnleggende kognitive ferdigheter.
  • Svekket læringsmiljø. Generativ kunstig intelligens kan føre til at studentene heller interagerer med KI-systemer enn å delta i det sosiale læringsmiljøet. Dette kan bidra til å svekke studiemotivasjonen og den læringen som skjer i faglige samtaler mellom studenter.

1.3 Virkeområde – KI-systemer og -modeller for allmenne formål

For å ivareta formålene skissert ovenfor og redusere mulige skadevirkninger, definerer KI-forordning hvilke typer kunstig intelligens som omfattes av regelverket. Dette er kunstig intelligens som, ifølge forordningen, har bestemte kjennetegn. For kunstig intelligens som mangler disse kjennetegnene, gjelder ikke forordningens regler.

Det innebærer at forordningen primært gjelder for det som omtales som KI-systemer. Et KI-system har, ifølge forordningen, følgende sentrale kjennetegn:

  • Det er et «maskinbasert system».
  • Systemet har en viss grad av autonomi.
  • Systemet er tilpasningsdyktig etter at det er satt i drift.
  • Systemet kan produsere utdata, for eksempel tekst, bilder, prediksjoner, anbefalinger eller beslutninger, på grunnlag av inndata.
  • Systemets utdata kan påvirke eller ha betydning for det som skjer i fysiske eller virtuelle miljøer.

KI-systemer er altså datasystemer som i noen grad utfører oppgaver på egen hånd, det vil si uten menneskelig inngripen (autonomi). KI-systemer har også en viss evne til å endre seg selv etter at de er tatt i bruk. Det kan blant annet skje ved at språkmodeller gir mer presise svar på instrukser («prompts») etter hvert som de blir bedre til å forstå relasjoner mellom ord (tilpasningsdyktighet).

Videre kan KI-systemer omgjøre data de mottar (inndata), for eksempel i form av treningsdata og instrukser, til nye typer data (utdata). Utdata som KI-systemer produserer kan inkludere prediksjoner, anbefalinger eller beslutninger.

Systemenes utdata må i tillegg ha en viss påvirkningskraft, det vil si de har betydning for hva som skjer i systemenes omgivelser. Utdata kan for eksempel ha virkninger for samfunnet som sådan eller for grupper av mennesker eller enkeltpersoner (fysiske miljøer). Utdata kan dessuten ha innvirkning på funksjonsmåten til andre datasystemer (virtuelle miljøer).

Veileder fra EU

EU-kommisjonen har utgitt en veileder som drøfter og utdyper hvordan definisjonen av et KI-system skal forstås. Her gis det også enkelte eksempler på KI-systemer som både faller innenfor og utenfor legaldefinisjonen i KI-forordningen.

Se Commission Guidelines on the definition of an artificial intelligence system established by Regulation (EU) 2024/1689 (AI Act) (The Commission publishes guidelines on AI system definition to facilitate the first AI Act’s rules application | Shaping Europe’s digital future).

I tillegg til KI-systemer, er KI-modeller for allmenne formål omfattet av reglene i forordningen. Dette er KI-løsninger som har svært stor regnekraft, de er trent på store mengder data og de kan brukes til en rekke forskjellige formål. KI-modeller for allmenne formål kan også brukes til å utvikle nye KI-løsninger (nedstrøms systemer eller applikasjoner).

Kunstig intelligens som trolig kan karakteriseres som KI-modeller for allmenne formål, inkluderer for eksempel ChatGPT, Llama, Le Chat og Claude.

1.4 Vitenskapelig forskning og FoU

For universiteter, høyskoler og forskningsinstitusjoner er det viktig å være oppmerksom på at KI-systemer særskilt utviklet for bruk i vitenskapelig forskning, i sin helhet er unntatt fra reglene i forordningen. Eksempler på slike KI-systemer kan være Elicit, GraphCast, IBM Watson for Science, Consensus, Semantic Scholar, BioNeMo og Scite.ai.

Et annet område som er unntatt fra reglene i forordningen, er forskning på og utvikling av KI-systemer. Dersom et universitet eller en høyskole, for eksempel i samarbeid med næringslivsaktører, deltar i utvikling av et KI-system, vil reglene verken gjelde for selve utviklingsarbeidet eller for den forskningen som utviklingsarbeidet bygger på. Men så fort et ferdigutviklet KI-system foreligger, og det tas i bruk eller tilbys i markedet, vil reglene i forordningen gjelde. Det er altså bare selve forsknings- og utviklingsfasen som er unntatt fra regelverket.

I løpet av utviklingsarbeidet kan det være aktuelt å teste en tidlig versjon av KI-systemet under så realistiske betingelser som mulig. Det kan innebære at systemet testes på virkelige brukere, det vil si personer utenfor utviklingsmiljøet. Ved denne typen testing og utprøving vil reglene i forordningen også gjelde. I forordningen omtales dette som «testing under virkelige forhold».

1.5 Privat bruk

Rent privat og personlig bruk av KI-systemer omfattes heller ikke av reglene i KI-forordningen.

Privat bruk kan for eksempel være studenter som anvender kunstig intelligens på sine egne dataenheter til studieformål.

1.6 Leverandører og idriftsettere

Som allerede antydet, gjelder KI-forordningen for personer eller virksomheter i EU/EØS-området, for eksempel norske universiteter og høyskoler, som utvikler KI-systemer eller som får andre til å utvikle slike systemer for seg. I forordningen betegnes dette som leverandører.

Forordningen gjelder også for leverandører som er etablert utenfor EU/EØS-området, men hvor deres KI-systemer tilbys for salg eller bruk i land innenfor EU/EØS. Det samme gjelder dersom utdata fra KI-systemene anvendes av personer eller virksomheter i EU/EØS.

Universiteter eller høyskoler som tar i bruk et KI-system for hjelpe seg med å løse sine oppgaver og samfunnsoppdrag, omtales i den norske oversettelsen av KI-forordningen som idriftsettere. Idriftsetterne er omfattet av flere av reglene i forordningen.

1.7 KI-kompetanse

Alle leverandører og idriftsettere av KI-systemer skal sørge for at egne ansatte og andre personer som utvikler, drifter, bruker eller påvirkes av KI-systemer, har nødvendig og tilstrekkelig KI-kompetanse. Hensikten med kravene til KI-kompetanse er å sikre at formålene med regelverket ivaretas på en tilfredsstillende måte av alle relevante aktører.

Med KI-kompetanse menes blant annet teknisk kunnskap om forsvarlig utvikling, testing, evaluering og forvaltning/drift av KI-systemer. Samtidig omfatter det brukerkunnskap, for eksempel korrekt forståelse av hvordan utdata skal tolkes og kjennskap til begrensninger eller risikoer som ulike KI-systemer kan innebære. Også personer som påvirkes av KI-systemer, for eksempel at de berøres av beslutninger fattet av KI-systemer, skal ha nødvendig kunnskap om dette.

Det betyr at leverandører og idriftsettere av KI-systemer i høyere utdanning og forskning må derfor gjennomføre opplærings- og informasjonstiltak som er nødvendige for å oppfylle forordningens krav til KI-kompetanse. Virksomheter i høyere utdanning og forskning kan derfor ha nytte av EU-kommisjonen samling med eksempler på ulike typer kompetansehevende tiltak. Eksemplene er hentet fra offentlige og private virksomheter.

Nedenfor vil vi komme tilbake til hvilke øvrige krav KI-forordningen stiller til leverandører og idriftsettere av KI-systemer.

Andre aktører som omfattes av regelverket

Også andre aktører enn leverandører og idriftsettere omfattes av KI-forordningen. Det gjelder for eksempel importører og distributører av KI-systemer. Dette er roller som i mindre grad er relevant i høyere utdannings- og forskningssektoren.

I den videre fremstillingen vil vi ikke gå nærmere inn på hva regelverket krever av disse aktørene.

1.8 Risikobasert regulering

Selv om et universitet eller en høyskole er leverandør eller idriftsetter av et KI-system, og det ikke er særskilt utviklet for vitenskapelig forskning, er det fortsatt ikke sikkert at forordningen gjelder for systemet. Det skyldes at regelverket har en risikobasert tilnærming til hvordan KI skal reguleres.

Risikobasert regulering innebærer derfor at forordningen ikke omfatter alle typer KI-systemer eller alle som utvikler, omsetter eller bruker kunstig intelligens. Forordningen retter seg isteden mot KI-systemer innenfor nærmere definerte bruksområder.

Hvilke bruksområder dette er, avhenger hvor stor risikoen for skadelige virkninger vurderes å være. Forordningen gjelder derfor bare innenfor bruksområder hvor risikoen for helse, sikkerhet og grunnleggende rettigheter, inkludert personvern og ikke-diskriminering, vurderes å være såpass høy at regulering er nødvendig.

Innenfor alle andre bruksområder for KI enn de som er eksplisitt regulert i forordningen, stiller regelverket ingen krav til KI-systemer og til de som utvikler, omsetter eller bruker dem. Det betyr at dette er bruksområder hvor risikoen for skadelige virkninger vurderes å være så liten at særskilt rettslig regulering ikke er nødvendig.

Den risikotilnærmingen innebærer derfor at forordningen identifiserer ulike bruksområder for kunstig intelligens og deler områdene inn i tre risikokategorier:

  • Uakseptabel høy risiko. Innenfor enkelte bruksområder for kunstig intelligens vurderes risikoen for skadelige virkninger å være uakseptabel høy. Dette er bruksområder hvor utvikling, omsetning og bruk av KI-systemer er forbudt.
  • Høy risiko. Innenfor andre bruksområder for kunstig intelligens vurderes risikoen for skadelige virkninger å være høy. Dette er bruksområder hvor utvikling. omsetning og bruk av KI-systemer er tillatt, men hvor det stilles relativt omfattende krav både til selve systemene og til leverandører og idriftsettere av dem.
  • Begrenset risiko. Innenfor en tredje kategori bruksområder vurderes risikoen for skadelige virkninger av kunstig intelligens å være begrenset. Her er utvikling, omsetning og bruk av KI-systemer tillatt, og det stilles mindre omfattende krav til leverandører og idriftsettere enn når det gjelder bruksområder med høy risiko.

Det er de bruksområdene som verken har uakseptabel, høy eller begrenset risiko som faller helt utenfor virkeområdet til forordningen, og som derfor ikke reguleres av regelverket.

Personopplysningsloven og personvernforordningen (GDPR)

For KI-systemer som ligger utenfor KI-forordningens virkeområde, kan det likevel finnes andre regelverk som leverandører og idriftsettere av systemene må forholde seg til. Et viktig eksempel er KI-systemer som behandler personopplysninger. Her vil reglene i personopplysningsloven og personvernforordningen fortsatt gjelde selv om reglene i KI-forordningen ikke skulle gjøre det.

Personopplysningsregelverket vil også gjelde for KI-systemer som omfattes av reglene i KI-forordningen. Her er utgangspunktet at leverandøren er behandlingsansvarlig for personopplysninger brukt til trening og utvikling av KI-systemet, mens idriftsetterne er behandlingsansvarlige for egen bruk av systemet. Levernadøren vil selvsagt også være behandlingsansvarlig for KI-systemer som kun er utviklet for intern bruk.

[7]

Se KI-forordningen artikkel 1, jf. fortalepunkt 1-8.

[8]

Se KI-forordningen artikkel 3 nr. 1, jf. fortalepunkt 12.

[9]

Den fulle definisjonen av KI-systemer finnes i forordningen artikkel 3 nr. 1: «et maskinbasert system som er konstruert for å operere med varierende grad av autonomi, som kan vise tilpasningsdyktighet etter idriftsetting, og som, for eksplisitte eller implisitte mål, ut fra inndataene det mottar, utleder hvordan man genererer utdata som prediksjoner, innhold og anbefalinger, eller beslutninger som kan påvirke fysiske eller virtuelle miljøer.»

[10]

På engelsk: «general-purpose AI (GPAI)».

[11]

KI-forordningen artikkel 3 nr. 63, jf. fortalepunkt 97-99.

[12]

KI-forordningen artikkel 2 nr. 8, jf. fortalepunkt 25.

[13]

Med «testing under virkelige forhold» menes testing som «ikke foregår i et laboratorium eller et på annen måte simulert miljø». KI-forordningen artikkel 3 nr. 57.

[14]

KI-forordningen artikkel 2 nr. 10.

[15]

KI-forordningen artikkel 3 nr. 3.

[16]

En leverandør av et KI-system som ikke er etablert i EU, men hvor systemet likevel anvendes i EU, skal utpeke en representant i EU. Representanten skal ha fullmakt til å opptre på vegne av leverandøren. Se KI-forordningen artikkel 3 nr. 5.

[17]

KI-forordningen artikkel 3 nr. 4, jf. fortalepunkt 13.

[18]

KI-forordningen artikkel 4.

[19]

KI-forordningen fortalepunkt 20.

[20]
ForrigeForrige kapittel
Innhold
NesteNeste kapittel