Innholdsfortegnelse

Artikkel-utforsker

KI-forordningen artikkel 27: FRIA — konsekvensutredning for grunnleggende rettigheter

Artikkel 27 krever at offentlige virksomheter gjennomfører FRIA før de tar i bruk høyrisiko KI. Her er kravene, innholdet og meldeplikten til Nkom.

Publisert · Oppdatert · 3 min lesetid

KI-forordningen artikkel 27 pålegger offentlige virksomheter å gjennomføre en FRIA (Fundamental Rights Impact Assessment) — en vurdering av konsekvenser for grunnleggende rettigheter — før de tar i bruk et høyrisiko KI-system.

FRIA er et av de mest konkrete kravene i hele forordningen for norske kommuner, fylkeskommuner og statsetater.

Hvem er pålagt FRIA?

Artikkel 27 gjelder for offentligrettslige organer og private virksomheter som yter offentlige tjenester når de er idriftsettere av høyrisiko KI-systemer.

I norsk kontekst betyr det:

  • Kommuner og fylkeskommuner
  • Statsetater og direktorater
  • Universiteter og høyskoler
  • Private aktører som utfører offentlige oppgaver (f.eks. barnevern, helse)

Hva skal FRIA-vurderingen inneholde?

Artikkel 27 krever at vurderingen dekker:

  1. Beskrivelse av idriftsetterens prosesser — Hvilke prosesser skal KI-systemet brukes i?
  2. Tidsperiode og hyppighet — Hvor ofte og over hvor lang tid skal systemet brukes?
  3. Kategorier av berørte personer — Hvilke grupper påvirkes av systemets beslutninger?
  4. Spesifikke risikoer for berørte grupper — Hvilke skadevirkninger kan oppstå, særlig for sårbare grupper?
  5. Beskrivelse av menneskeligs tilsynsprosesser — Hvordan sikres menneskelig tilsyn i praksis?
  6. Tiltak ved materialisering av risiko — Hva gjør virksomheten dersom noe går galt?

Dersom det allerede er gjennomført en DPIA (personvernkonsekvensvurdering etter GDPR), kan FRIA bygge videre på denne. De to vurderingene kan gjennomføres parallelt.

Meldeplikt til tilsynsmyndigheten

Etter at FRIA er gjennomført, skal idriftsetteren informere tilsynsmyndigheten (Nkom i Norge). Meldingen skal som minimum inneholde resultatet av vurderingen og eventuelle risikoreduserende tiltak.

Meldeplikten sikrer at Nkom har oversikt over bruk av høyrisiko KI-systemer i offentlig sektor.

Praktisk eksempel: Kommune tar i bruk KI-sensur

En kommune innfører et KI-system for automatisk vurdering av prøvebesvarelser i voksenopplæringen. Før systemet tas i bruk, gjennomfører kommunen FRIA:

  • Berørte: Deltakere i voksenopplæringen, mange med minoritetsbakgrunn
  • Risikoer: Mulig bias i språkvurdering, manglende forståelse av kulturelle uttrykk
  • Tilsyn: En lærer gjennomgår alle vurderinger der eleven får stryk
  • Tiltak ved feil: Elever kan klage og få manuell vurdering

Resultatet meldes til Nkom, og FRIA oppbevares som dokumentasjon.

For en steg-for-steg-veiledning og gratis mal, se FRIA-vurdering — gratis mal for offentlig sektor.

FRIA er ikke bare et krav — det er et verktøy for å sikre at KI-bruk i offentlig sektor skjer på en måte som respekterer innbyggernes rettigheter. Kommuner som ikke gjennomfører FRIA risikerer bøter på opptil 15 millioner euro.

Kilde: KI-forordningen (EU) 2024/1689, artikkel 27; HK-dir Rapport nr. 04/2026.