Innholdsfortegnelse

Veiledning

Hvilke KI-systemer bruker norske kommuner — og hvilke er høyrisiko?

Microsoft Copilot, chatboter, rekrutteringsverktøy, saksbehandling. Vi kartlegger hvilke KI-systemer norske kommuner bruker og hva KI-forordningen krever.

Publisert · Oppdatert · 7 min lesetid

KI-forordningen trer i kraft 2. august 2026. Norske kommuner bruker allerede KI-systemer som mange ikke vet er regulert — fra rekrutteringsverktøy med AI-scoring til chatboter som veileder innbyggere.

Denne artikkelen navngir konkrete verktøy som brukes i norsk offentlig sektor, forklarer hvilke som er høyrisiko etter KI-forordningen, og hva som kreves av kommunen din.

Hva betyr «høyrisiko»?

KI-forordningen deler KI-systemer inn i risikokategorier. Høyrisiko betyr ikke at systemet er forbudt — det betyr at kommunen som bruker det har en rekke plikter.

Vedlegg III i forordningen lister bruksområdene som utløser høyrisikostatus. For kommuner er de mest relevante:

  • Rekruttering og arbeidsledelse (vedlegg III, punkt 4)
  • Utdanning og yrkesfaglig opplæring (vedlegg III, punkt 3)
  • Tilgang til offentlige tjenester og ytelser (vedlegg III, punkt 5)

Hva betyr høyrisiko i praksis?

Høyrisiko betyr IKKE at systemet er forbudt. Det betyr at kommunen som bruker det (kalt «idriftsetter») har en rekke plikter:

  • Gjennomføre FRIA-vurdering (konsekvensutredning)
  • Etablere menneskelig tilsyn
  • Registrere systemet i EUs database
  • Informere ansatte og berørte personer
  • Oppbevare logger og dokumentasjon

Kilde: KI-forordningen vedlegg III og HK-dir Rapport nr. 04/2026, kapittel 3.

Kategorisk høyrisiko — disse er alltid høyrisiko

Rekruttering og HR

| Verktøy/System | Bruksområde | Status | Krav | |----------------|-------------|--------|------| | Teamtailor (med AI-rangering) | Rekruttering, rangering av søkere | Høyrisiko | FRIA + dokumentasjon | | Webcruiter | Rekruttering, søkeranalyse | Høyrisiko | FRIA + dokumentasjon | | Microsoft Copilot + HR-data | Analyse av ansatte, fordeling av oppgaver | Høyrisiko* | FRIA + dokumentasjon | | Generiske rekrutteringsverktøy med AI-scoring | Rangering av jobbsøkere | Høyrisiko | FRIA + dokumentasjon |

*Copilot i seg selv er ikke høyrisiko — men bruken av det til HR-beslutninger er det.

Ifølge KI-forordningens vedlegg III punkt 4 er KI-systemer til «rekruttering eller utvelgelse av jobbsøkere» definert som høyrisiko. Dette inkluderer publisering av målrettede stillingsannonser, analyse og filtrering av søknader, og rangering/scoring av søkere. Dersom kommunen din bruker et av disse verktøyene med AI-funksjonalitet, er det sannsynlig at dere er berørt.

Kilde: KI-forordningen vedlegg III, punkt 4.

Utdanning og sensur

| Verktøy/System | Bruksområde | Status | Krav | |----------------|-------------|--------|------| | Automatisk sensur/karaktersetting | Evaluering av læringsutbytte | Høyrisiko | FRIA + menneskelig tilsyn | | KI-basert fuskkontroll (Turnitin AI m.fl.) | Avdekke fusk på prøver | Høyrisiko | FRIA + dokumentasjon | | Opptakssystemer med AI-rangering | Opptak til skoler/kurs | Høyrisiko | FRIA + dokumentasjon | | Læringsanalyse-systemer med AI | Styring av læringsprosesser | Høyrisiko | FRIA + menneskelig tilsyn |

For kommuner gjelder dette primært grunnskole og videregående. Bruk av AI til å evaluere elevers læringsutbytte, kontrollere fusk eller styre tilgang til utdanningsnivåer er klassifisert som høyrisiko.

Kilde: KI-forordningen vedlegg III, punkt 3; HK-dir Rapport nr. 04/2026, kap. 3.

Saksbehandling og ytelser

| Verktøy/System | Bruksområde | Status | Krav | |----------------|-------------|--------|------| | AI-assistert saksbehandling | Vurdere rett til ytelser | Høyrisiko | FRIA + dokumentasjon | | Automatisk profilering av innbyggere | Rangering/scoring av borgere | Høyrisiko | FRIA + dokumentasjon |

Kontekstavhengig — kan være høyrisiko avhengig av bruk

| Verktøy/System | Bruksområde | Høyrisiko når... | |----------------|-------------|-----------------| | Microsoft 365 Copilot | Generell produktivitet | Brukes til HR-beslutninger eller saksbehandling | | ChatGPT / Azure OpenAI | Tekstgenerering | Brukes til å ta beslutninger om enkeltpersoner | | Kommunale chatboter | Innbyggerservice | Avgir beslutninger, ikke bare informasjon | | Analyseverktøy | Innsikt og rapportering | Profilerer enkeltpersoner |

Microsoft Copilot er i seg selv ikke klassifisert som høyrisiko — det er en KI-modell for allmenne formål. Men dersom kommunen din bruker Copilot til å ta beslutninger som påvirker ansatte (omorganisering, fordeling av oppgaver, prestasjonsvurdering) eller innbyggere (saksbehandling), faller bruken inn under høyrisiko-kategoriene i vedlegg III.

Sannsynligvis ikke høyrisiko

| Verktøy/System | Bruksområde | Merk | |----------------|-------------|------| | Stavekontroll med AI | Rettskriving | Ikke høyrisiko | | E-postfiltrering | Spam-filtrering | Ikke høyrisiko | | AI-baserte bildeverktøy | Grafisk produksjon | Ikke høyrisiko | | Sammenfattingsverktøy | Oppsummere dokumenter | Ikke høyrisiko hvis ingen beslutning | | KI til intern kunnskapsbase | Søk i egne dokumenter | Sannsynligvis ikke høyrisiko |

Hva kreves av kommunen når et system er høyrisiko?

KI-forordningen skiller mellom to roller:

  • Leverandør = den som lager KI-systemet (f.eks. Microsoft, et norsk software-selskap)
  • Idriftsetter = den som bruker systemet i sin virksomhet (f.eks. kommunen din)

Som idriftsetter av et høyrisikosystem har kommunen disse pliktene:

1. FRIA-vurdering (Fundamental Rights Impact Assessment) Offentlige virksomheter må gjennomføre en konsekvensutredning for grunnleggende rettigheter FØR systemet tas i bruk. Vurderingen skal varsle tilsynsmyndigheten (Nkom) og oppdateres ved endringer.

Last ned gratis FRIA-mal her

2. Menneskelig tilsyn Systemet må overvåkes av mennesker mens det er i drift. En person må ha kompetanse til å stoppe, overstyre eller ta kontroll over systemet.

3. Registrering i EUs database Offentlige virksomheter som er idriftsettere av høyrisikosystemer skal registrere seg i EUs KI-database og knytte systemene de bruker til sin profil.

4. Informasjon til ansatte og berørte Ansatte skal informeres om at KI-systemer brukes. Enkeltpersoner som berøres av beslutninger fattet (helt eller delvis) av høyrisikosystemer har rett til forklaring.

5. Logging og dokumentasjon Automatiske logger fra systemet skal oppbevares. Alvorlige hendelser skal rapporteres til Nkom.

Kilde: KI-forordningen artikkel 26-29; HK-dir Rapport nr. 04/2026, kap. 3-4.

Unntak — ikke all KI-bruk er høyrisiko selv om systemet er det

Et system som er høyrisiko kan brukes på måter som IKKE utløser høyrisiko-kravene. Ifølge KI-forordningen artikkel 6 nr. 3 gjelder dette blant annet hvis:

  • KI-systemet brukes til å forbedre resultatet av en oppgave allerede utført av et menneske
  • KI-systemet utfører en forberedende oppgave som sluttføres av et menneske

Eksempel: Dersom en saksbehandler bruker AI til å lage et første utkast til en vurdering, men selv gjennomgår og kvalitetssikrer konklusjonen, kan det argumenteres for at bruken ikke er «høyrisiko» etter forordningen — forutsatt at mennesket faktisk foretar en reell overprøving.

Merk: Dette unntaket stiller krav til at menneskelig tilsyn er ekte, ikke pro forma.

Hva bør kommunen gjøre nå?

  1. Kartlegg alle KI-systemer kommunen bruker eller planlegger å ta i bruk
  2. Vurder om noen av dem faller inn under høyrisiko-kategoriene
  3. Gjennomfør FRIA for systemer som er høyrisiko (last ned mal her)
  4. Etabler prosesser for menneskelig tilsyn og logging
  5. Informer ansatte om hvilke KI-systemer kommunen bruker og hvorfor
  6. Hold deg oppdatert — reglene trer fullt i kraft 2. august 2026

Tidslinje:

  • Nå: Kartlegging og vurdering
  • Q1 2026: FRIA-vurderinger for høyrisikosystemer
  • Q2 2026: Prosesser og rutiner på plass
    1. august 2026: Frist for full etterlevelse

Ofte stilte spørsmål

Er Microsoft Copilot et høyrisiko KI-system? Microsoft Copilot i seg selv er ikke klassifisert som høyrisiko — det er en KI-modell for allmenne formål. Men dersom kommunen din bruker Copilot til å ta beslutninger om ansatte (HR-beslutninger, prestasjonsvurdering, fordeling av arbeidsoppgaver) eller til saksbehandling, kan bruken falle inn under høyrisiko-kategoriene i KI-forordningens vedlegg III.

Hva er FRIA-vurdering og trenger vi det? FRIA (Fundamental Rights Impact Assessment) er en konsekvensutredning for grunnleggende rettigheter. Alle offentlige virksomheter, inkludert kommuner, er pliktige til å gjennomføre FRIA FØR de tar i bruk et høyrisiko KI-system. Last ned vår gratis FRIA-mal her.

Hvem fører tilsyn med KI-forordningen i Norge? Nasjonal kommunikasjonsmyndighet (Nkom) er utpekt som koordinerende tilsynsmyndighet i Norge. Nkom fører tilsyn med høyrisikosystemer, inkludert systemer brukt i utdanning, sysselsetting og arbeidsledelse.

Hva er bøtene for å bryte KI-forordningen? Brudd på forbudet mot visse KI-systemer kan gi bøter på opptil 35 millioner euro. Brudd på krav til høyrisikosystemer kan gi bøter på opptil 15 millioner euro. Digitaliserings- og forvaltningsdepartementet foreslår at disse bøtene skal gjelde for offentlige virksomheter i Norge. Les mer om bøter.

Når trer KI-forordningen i kraft i Norge? Reglene for høyrisikosystemer trer i kraft i EU 2. august 2026. I Norge avhenger ikrafttredelsen av at Stortinget vedtar KI-loven, som var på høring i 2025. Det er ventet at loven vedtas i løpet av 2026.

KI-forordningen er ikke noe som skjer i fremtiden — den er her nå, og fristen for full etterlevelse er 2. august 2026. Mange kommuner bruker allerede høyrisiko KI-systemer uten å vite om det.

Det gode nyhetene: du trenger ikke å finne ut av dette alene.

Kilde: KI-forordningen (EU) 2024/1689, Vedlegg III; HK-dir Rapport nr. 04/2026, kapittel 3; Nkom.no.