Kapittel

1. Innledning

I dette kapittelet presenterer vi bakgrunn, mål, mandat, innfallsvinkel, avgrensninger og metode for rapporten.

1.1 Bakgrunn

EU-kommisjonen fremmet i april 2021 forslag til en forordning om kunstig intelligens («Artificial intelligence act»). Rådet, Kommisjonen og Europaparlamentet ble i desember 2023 enige om en politisk avtale. KI-forordningen ble endelig vedtatt 21.mai i år og tredde i kraft 1. august 2024. Forordningen vil få betydning for bruken av kunstig intelligens innenfor EU og EØS-området, med konsekvenser både for offentlige og private aktører. 

KI-forordningen er et tiltak for å regulere markeder for utvikling og bruk av kunstig intelligens (KI). Informasjon, veiledning, markedsovervåkning/tilsyn og sanksjoner er sentrale virkemidler for å sikre etterlevelse av forordningen.

En interdepartemental arbeidsgruppe har drøftet hvordan KI-forordningen kan gjennomføres i Norge. Gruppen anbefalte blant annet å utrede en nasjonal forvaltningsstruktur for håndheving av KI-forordningen. Utredningen skulle ta utgangspunkt i en to-nivåmodell der ett organ får ansvar for koordinering, håndheving og implementering av KI-forordningen og sektortilsyn får ansvar og avgrenset tilsynsmyndighet innenfor eget ansvarsområde, jf. arbeidsgruppens rapport pkt. 4.2.3.

DFØ fikk i tildelingsbrevet for 2024 et hovedansvar for å utrede og gi en anbefaling til etablering av ny nasjonal forvaltningsstruktur for håndheving av KI-forordningen. Digitaliseringsdirektoratet fikk i sitt tildelingsbrev ansvar for å samarbeide med DFØ om oppdraget.  

1.2 Mål og mandat

Målet for prosjektet har vært å vurdere en hensiktsmessig organisering for håndheving av KI-forordningen i Norge. Vurderingene skulle være uavhengige og ta utgangspunkt i KI-forordningen og i forvaltningspolitiske hensyn for organisering av tilsyn. 

På grunnlag av vurderingene skulle DFØ anbefale en nasjonal forvaltningsstruktur for håndheving av KI-forordningen. Dette omfatter organisering av tilsynsfunksjonen, roller og ansvar for tilsynsmyndigheten, utforming av tilhørende klageordning, samt utpeking av en nasjonal akkrediteringsmyndighet. I tillegg skulle økonomiske og administrative konsekvenser av anbefalt forslag til ny organisering beskrives.

1.3 Innfallsvinkel og avgrensninger

KI-forordningen er et tiltak for å regulere markeder for utvikling og bruk av kunstig intelligens (KI). Informasjon, veiledning, markedsovervåkning/tilsyn og sanksjoner er sentrale virkemidler for å sikre etterlevelse av forordningen.

I forbindelse med prosjektplanen ble følgende problemstillinger utarbeidet:

Organisering av tilsynsfunksjonen:

  • Hvordan utforme og avgrense roller og ansvar for den nye tilsynsfunksjonen?
  • Hvordan organisere samspillet med EU-organene?
  • Hvilke andre markedsovervåkingsmyndigheter skal føre tilsyn etter forordningen?
  • Hvilken organisering vil i størst mulig grad ivareta kompetansekravene i KI-forordningen?
  • I hvilken grad bør den nye tilsynsfunksjonen organiseres sentralt som en samlet enhet?
  • Bør det etableres et nytt forvaltningsorgan, eller bør tilsynsfunksjonen legges til en eksisterende virksomhet?
  • Hvilke virksomheter (organer) er det i tilfellet mest relevante å legge den nye tilsynsfunksjonen til?
  • Dersom oppgavene legges til en eksisterende virksomhet, hvilke endringer vil det kreve i den aktuelle virksomheten?
  • Hvordan unngå (eller eventuelt håndtere) gråsoner til andre virksomheters (organers) ansvarsområder?
  • Hvordan bør forholdet til ansvarlig departement organiseres for å sikre behovet for faglig autonomi? 
  • Hvilke økonomiske og administrative konsekvenser vil forslaget til organisering ha?

Organisering av akkrediteringsfunksjonen

  • Hvor bør akkrediteringsfunksjonen legges?
  • Hvilke virksomheter er aktuelle?
  • Hvordan er rolle- og ansvarsfordelingen mellom tilsynsorganet og akkrediteringsorganet?  Kan samme virksomhet ha begge funksjonene?
  • Hvilke økonomiske og administrative konsekvenser vil forslaget til organisering av akkrediteringsfunksjonen ha?

Organisering av klageordningen:

  • Bør klageinstansen organiseres som egen virksomhet (og med eget sekretariat) eller legges til andre klageinstanser?
  • Hvilke økonomiske og administrative konsekvenser vil forslaget til organisering av klageordningen ha?

Finansieringsmodeller

  • Hvilke finansieringsmodeller er mest hensiktsmessig for henholdsvis tilsynsfunksjonen, akkrediteringsfunksjonen og klagefunksjonen?

Problemstillingene ble presisert og utdypet etter hvert som vi satte oss mer inn i feltet. Vi har særlig drøftet forståelsen av rollen som kontaktpunkt og koordinerende markedsovervåkningsmyndighet. Vi har tatt utgangspunkt en to-nivå-modell og lagt KI-forordningens forslag til forvaltningsstruktur som følger av KI-forordningens Annex I til grunn. Vi har ikke tatt stilling til hvordan ansvaret for høyrisiko-områdene/-systemene som beskrives i Annex III bør fordeles.

Når det gjelder finansieringsmodeller, har dette vist seg vanskelig å drøfte ut over på et overordnet og generelt nivå.

1.4 Metode

Rapporten baserer seg på dokumentanalyse, kvalitative intervjuer med representanter for ulike interessentgrupper. Drøftingene og vurderingene bygger på analyse av regelverket og datagrunnlaget, DFØs tidligere rapporter (www.dfo.no) og DFØs generelle kunnskap om forvaltningens organisering og virkemåte.

Se vedlegg 1: Datainnsamling og metode for utdypende informasjon om datainnsamling og analyse.

1.5 Leseveiledning

Gitt kravene og rammene som følger av KI-forordningen, er rapporten strukturert ut fra de seks minimumskravene i utredningsinstruksen:

  1. Hva er problemet og hva vil vi oppnå? – kapittel 1
  2. Hvilke tiltak/organisasjonsløsninger er relevante? – kapittel 2, 3 og vedlegg 2
  3. Hvilke prinsipielle spørsmål reiser tiltakene/organisasjonsløsningene? – kapittel 4-6
  4. Hva er de positive og negative virkningene av tiltakene/organisasjonsløsningene, hvor varige er de, og hvem blir berørt? – kapittel 4-6
  5. Hvilke tiltak/organisasjonsløsninger anbefales, og hvorfor? – kapittel 4-6
  6. Hva er forutsetningene for en vellykket gjennomføring? – kapittel 4-6

Kapittel 2 gir en kort innføring i forordningen. En mer omfattende beskrivelse og drøfting følger i vedlegg 2.

Ordliste

Tabellen under oversetter de viktigste begrepene fra KI-forordningen. Med noen unntak, særlig i vedlegg 2, brukes begrepene i den høyre kolonnen.

KI-forordningenDenne rapportenForklaring
Artificial intelligence actKI-forordningen 
National competent autoritiesNasjonale kompetente myndigheter 
European Artificial Intelligence BoardEUs KI-råd 
Market surveillance authoritiesMarkedsovervåkingmyndigheter 
Single point of contact (SPC)Koordinerende markedsovervåkingsmyndighet 
Notifying AuthorityAkkrediteringsorgan1Akkrediteringsorgan omtaler organ med ansvar for akkrediteringsvurderinger og overvåking av tildelte akkrediteringer. Formell utpeking og melding/registrering hos EU ligger ikke i rollen som akkrediteringsorgan. Som følge av at akkrediteringsmyndigheten som helhet splittes, oversettes ikke «Notifying Authority» til akkrediteringsmyndighet. Se pkt. 5.3 for nærmere omtale.
Notified BodyTeknisk kontrollorgan 
 Regulatorisk sandkasseEt kontrollert testmiljø for virksomheter som vil eksperimentere med nye produkter, teknologier og tjenester under oppfølging av myndighetene. jf. kap. 2.1 om sandkasser skal aktuelle sandkasser etter KI-forodningen har et spesielt fokus på å fremme innovasjon.
Digital Service Act (DSA)Digital Service Act (DSA)EUs forordning for beskyttelse av forbrukeres grunnleggende rettigheter på digitale plattformer.2

Fotnoter

1Det er usikkert hva som er den riktige oversettelsen av «notifying authority», men i den danske versjonen av KI-forordningen brukes begrepet «bemyndigende myndigheter» og i den svenske brukes «anmälende myndigheter».

2https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/digital-services-act_en

Oppdatert: 22. august 2024

DFØ-rapport 2024:9 Forvaltningsstruktur for KI-ordningen

Skriv ut / lag PDF
Forord

Forord

Sammendrag

Sammendrag

Våre anbefalinger kan oppsummeres som følger:

1. Innledning

1. Innledning

1.1 Bakgrunn

1.2 Mål og mandat

1.3 Innfallsvinkel og avgrensninger

Organisering av tilsynsfunksjonen:

Organisering av akkrediteringsfunksjonen

Organisering av klageordningen:

Finansieringsmodeller

1.4 Metode

1.5 Leseveiledning

Ordliste

Fotnoter

2. KI-forordningen og håndhevingsstruktur

2. KI-forordningen og håndhevingsstruktur

2.1 Kort om KI-forordningen

2.2 Håndheving av KI-forordningen

Den første delen gjelder utvikling av KI-produkter som skal slippes på EUs indremarked

Den andre delen gjelder overvåking av KI-produkter på markedet

2.3 Krav med betydning for utpekingen av myndigheter som skal håndheve KI-forordningen

Krav til uavhengighet

Krav til kompetanse

Krav om sandkasse

«Notifying authority» og markedsovervåkningsmyndighet kan plasseres i samme organ

«Notified bodies» som direkte utpekes i KI-forordningen og «notifying authorities» kan ikke plasseres i samme organ

Fotnoter

3. Organisering av KI-forvaltnings-apparatet i andre EU-/EØS-land

3. Organisering av KI-forvaltnings-apparatet i andre EU-/EØS-land

Fotnoter

4. Tilsyn med KI-forordningen

4. Tilsyn med KI-forordningen

4.1 Tilsyn som forvaltningsfunksjon

Generelt om organisering av forvaltningsoppgaver

Tilsyn kan sees som en av statsforvaltningens hovedfunksjoner

4.2 Spesielt om premisser i KI-forordningen

4.2.1 Ulike typer KI-kompetanse er en utfordring

4.2.2 Mulige oppgaver for rollen som kontaktpunkt og koordinerende markedsovervåkningsmyndighet

4.2.3 Mange av dagens tilsynsorganer vil få utvidet ansvar

Minst 12 av dagens tilsyn vil få utvidet ansvar etter KI-forordningen

Både tilsynsorganer og tilsynsobjekter vil ha stort behov for støtte og veiledning

Er det behov for et uavhengig fagråd?

4.3 Drøfting av mulig koordinerende markedsovervåkningsmyndighet

4.3.1 Nytt organ som koordinerende markedsovervåkningsmyndighet

Etablering av et nytt organ åpner for skreddersøm

Grad av uavhengighet kan tilpasses kravene i forordningen – og etablert praksis

Et nytt organ vil kunne få en klar og entydig rolle

Svært utfordrende å rekruttere nødvendig kompetanse på kort sikt, gitt stor usikkerhet om behov og omfang

Det tar tid og er kostnadskrevende å etablere og bygge opp en helt ny virksomhet

Stor usikkerhet om oppgaveomfang og kompetansesammensetning gjør alternativet krevende å gjennomføre, men det vil være fleksibelt mht. nye oppgaver

Oppsummert: Et nytt organ er en formålseffektiv løsning, men det er knyttet stor usikkerhet til kompetansesammensetning, tidsløp og kostnader

4.3.2 Datatilsynet som koordinerende markedsovervåkningsmyndighet

Datatilsynet vil kunne erfare motsetning mellom formålet knyttet til personvern-lovgivningen og formålet med KI-forordningen

Datatilsynet har en lovfestet uavhengighet i personvernsaker, men må ikke ha det i KI-sammenheng

Flere er skeptiske til Datatilsynet som koordinerende markedsovervåkningsmyndighet

Datatilsynet har mye juridisk kompetanse og tilsynserfaring, spesielt på personvern og databehandling, men mer begrenset KI-kompetanse og erfaring med produkttilsyn

For en relativt liten organisasjon med begrensede ressurser vil KI-oppgaver kreve tilleggsressurser

Oppsummert: Til tross for mye og god kompetanse vil Datatilsynets personvernrolle utfordre tilliten til tilsynet som en nøytral markedsovervåkningsmyndighet

4.3.3 Digdir som koordinerende markedsovervåkningsmyndighet

Digdirs pådriverrolle knyttet til digitalisering, innovasjon og effektivitet er i overensstemmelse med hovedformålet for KI-forordningen

Digdir er underlagt politisk styring

Digdirs rolle som felleskomponentleverandør kan komme i konflikt med rollen som et sterkt og troverdig tilsynsorgan

Digdir har mye informasjons- og veiledningskompetanse, men lite praktisk tilsynskompetanse – med noen unntak

Nye oppgaver vil kreve ekstra ressurser

Digdir har en fleksibel organisering som gjør det mulig å flytte kompetanse på relativt kort varsel

Oppsummert: Digdir har mye relevant KI-kompetanse, men det er ikke en tilsynsetat, og noen av Digdirs øvrige roller kan medføre interessekonflikt

4.3.4 Nkom som koordinerende markedsovervåkingsmyndighet

Nkoms primære formål er å sikre innovasjon og god konkurranse på ekom-området, inklusive trygg og sikker bruk av internett

Nkom er underlagt politisk styring

Nkom har ulike roller uten at de synes å medføre større rollekonflikter

Nkom er et produktsikkerhetstilsyn med mye teknologisk, juridisk og standardiserings-kompetanse, men med mindre tverrsektoriell og veiledningskompetanse

Gebyrfinansiering av KI-tilsyn kan utfordre likebehandling

Mange nye oppgaver parallelt kan utfordre Nkoms kapasitet

Oppsummert: Nkoms store styrke er deres erfaring med og kompetanse på produkttilsyn med digitale tjenester og produkter

4.4 Anbefalt organisering - koordinerende markedsovervåkningsmyndighet

4.4.1 Valgt løsning bør vurderes på nytt når det er høstet mer erfaring

Umodenhet og usikkerhet gjør det vanskelig å gi klare anbefalinger

I våre anbefalinger ser vi tilsynsfunksjonen som den mest sentrale oppgaven

Lokalisering av nye statlige arbeidsplasser må utredes og vurderes

4.4.2 Etablering av et nytt organ frarådes

4.4.3 Kontaktpunkt- og koordineringsrollen bør legges til Nkom

4.4.4 Veiledning og informasjon om KI-forordningen er særlig viktig de første årene

Nkom, Digdir og Datatilsynet bør få i oppgave å samarbeide om informasjon og veiledning om KI og KI-forordningen

Samarbeidet bør omfatte etablering og drift av en regulatorisk sandkasse

Det bør etableres et brukerråd knyttet til informasjons- og veiledningsfunksjonen

De tre virksomhetene bør få i oppgave å foreslå hvordan det konkrete samarbeidet bør organiseres, koordineres og ressurssettes

Fotnoter

5. Akkrediteringsfunksjonen

5. Akkrediteringsfunksjonen

5.1 Generelt om akkreditering

5.2 Spesielt om akkreditering etter KI-forordningen

5.3 Anbefalt organisering - akkreditering

Fotnoter

6. Klagebehandling

6. Klagebehandling

6.1 Krav til organisering

Krav om totrinnsbehandling legger føringer for organisering av klagebehandling

Implementering av nye EU-regelverk tilsier ofte etablering av klagenemnd

Horisontalt: Klagebehandling sentralt eller desentralt

Vertikalt: overordnet organ eller klagenemnd

6.2 Anbefalt organisering - klagebehandling

7. Kostnader med budsjettvirkning

7. Kostnader med budsjettvirkning

7.1 Kostnader for forvaltningsapparatet på kort og lang sikt

7.2 Vurdering av økonomiske og administrative konsekvenser

Fotnoter

Litteraturliste

Litteraturliste

Vedlegg 1: Datainnsamling og metode

Vedlegg 1: Datainnsamling og metode

Dokumentstudier

Intervjuer

Andre datakilder

Svakheter og begrensinger i datagrunnlaget

Fotnoter

Vedlegg 2: Beskrivelse og analyse av utvalgte deler av KI-forordningen

Vedlegg 2: Beskrivelse og analyse av utvalgte deler av KI-forordningen

1. Nasjonale kompetente myndigheter

1.1 Hva er nasjonale kompetente myndigheter?

1.2 Nærmere om markedsovervåkningsmyndigheter

1.2.1 Organisering

1.2.2 Oppgaver

Markedsovervåkningsmyndighetens oppgaver
Hvordan skal markedsovervåkningsmyndighetene forholde seg til standarder?
Markedsovervåkningsmyndighetenes fullmakter

1.2.3 Utpeking av "single point of contact"

1.3 Nærmere om "notifying authority"

1.3.1 KI-forordningens krav til oppgaver og organisering

1.3.2 Organisering av "notifying authority" etter eksisterende produktsikkerhetsregelverk

1.4 Krav til uavhengighet for nasjonale kompetente myndigheter

1.4.1 Omfanget av uavhengigskravet

1.4.2 Hvilke bindinger skal det sikres uavhengighet fra?

1.4.3 Et praktisk utgangspunkt for uavhengighet

1.5 Særlige spørsmål i forholdet mellom markedsovervåkingsmyndigheter og "notifying authority"

1.5.1 Kan samme myndighet være både markedsoverføringsmyndighet og "notifying authority"?

1.5.2 Særlig om forholdet mellom "notifying authority" og "notified bodies" som er direkte utpekt i KI-forordningen

2 Myndigheter for beskyttelsen av fundamentale rettigheter

Fotnoter

Fant du det du lette etter?

Nei

Det beklager vi!

Tilbakemeldingen din er anonym og vil ikke bli besvart. Vi bruker den til å forbedre nettsidene. Hvis du vil ha svar fra oss, ta kontakt på telefon, e-post eller kundesenter på nett.