Innholdsfortegnelse

Artikkel-utforsker

KI-forordningen artikkel 10: Krav til data og datakvalitet

Artikkel 10 stiller strenge krav til trenings-, validerings- og testdata for høyrisiko KI-systemer. Lær om datakvalitet, skjevhetsdeteksjon og samspillet med GDPR.

Publisert · Oppdatert · 3 min lesetid

Data er grunnlaget for ethvert KI-system. Dårlige data gir dårlige beslutninger — og for høyrisiko KI-systemer kan det bety diskriminering, feilaktige vedtak og brudd på grunnleggende rettigheter. Artikkel 10 i KI-forordningen stiller derfor eksplisitte krav til data og datastyring.

Hva krever artikkel 10?

Alle høyrisiko KI-systemer som trenes med data, skal utvikles på grunnlag av trenings-, validerings- og testdatasett som oppfyller bestemte kvalitetskrav. Datasettene skal være underlagt datastyringspraksis (data governance) som minst inkluderer:

  • Designvalg — dokumentasjon av valg knyttet til datainnsamling og datautforming.
  • Relevans og representativitet — dataene skal være relevante for systemets tiltenkte formål og tilstrekkelig representative for den populasjonen systemet skal brukes på.
  • Fullstendighet — datasettene skal i rimelig grad dekke de scenariene systemet er ment å håndtere.
  • Skjevhetsdeteksjon — det skal iverksettes tiltak for å identifisere og korrigere mulige skjevheter (bias) i datasettene.
  • Identifisering av datamangler — mangler og begrensninger i dataene skal identifiseres og håndteres.

Skjevhet og diskriminering

Artikkel 10 er nært knyttet til forordningens mål om å forhindre diskriminering. Dersom treningsdata inneholder historiske skjevheter — for eksempel at visse befolkningsgrupper har fått systematisk ulik behandling — vil KI-systemet reprodusere og forsterke denne skjevheten.

Forordningen krever at leverandører aktivt leter etter slike skjevheter og iverksetter tiltak. For idriftsettere som kommuner innebærer dette at man bør stille krav til leverandøren om dokumentasjon av datakvalitet og skjevhetstesting.

Samspillet med GDPR

Artikkel 10 åpner eksplisitt for behandling av særlige kategorier personopplysninger (som etnisitet, helse, politisk overbevisning) når det er strengt nødvendig for å oppdage og korrigere skjevheter — forutsatt at det finnes tilstrekkelige sikkerhetstiltak.

Dette er en viktig nyanse: GDPR forbyr normalt slik behandling, men KI-forordningen gir et selvstendig rettsgrunnlag for skjevhetsdeteksjon under strenge vilkår. For kommuner betyr dette at:

  • Leverandøren kan ha lov til å bruke sensitive data for å teste for diskriminering.
  • Kommunen bør sikre at leverandørens behandling er i tråd med både GDPR og KI-forordningen.
  • Datatilsynet vil ha en rolle i tilsynet med denne typen behandling.

Praktisk eksempel

En kommune anskaffer et KI-system for automatisk vurdering av byggesøknader. Leverandøren har trent systemet på historiske vedtak. Kommunen bør stille følgende spørsmål:

  1. Er treningsdataene representative for kommunens demografi og byggetyper?
  2. Har leverandøren testet for systematiske skjevheter — for eksempel at søknader fra visse bydeler historisk har fått strengere behandling?
  3. Hvordan håndteres datamangler — hva skjer dersom en søknad inneholder opplysninger systemet ikke er trent på?
  4. Finnes det dokumentasjon på datastyringspraksisen som kan fremlegges ved tilsyn?

Disse spørsmålene bør stilles i anskaffelsesprosessen, ikke etter at systemet er satt i drift.

Kilde: KI-forordningen (EU) 2024/1689; HK-dir Rapport nr. 04/2026.