Kapittel

4. Tilsyn med KI-forordningen

Drøftingene i dette kapittelet tar utgangspunkt i analyse av KI-forordningen og tilgrensende regelverk, jf. kapittel 2-3 og vedlegg 2, synspunkter fra intervjuene og DFØs kunnskap om organisering i norsk forvaltning.

Drøftingene er basert på hvordan de ulike forvaltningsstrukturene og organisasjonene fungerer i dag med nåværende mandater og oppgavesammensetning. Nye roller og oppgaver vil selvsagt forutsette endringer, uten at vi p.t. kan si hvilke og hvor store endringer det kan være snakk om. Det kan blant annet være behov for å flytte eller skille ut oppgaver for å samle relativt like oppgaver eller unngå større rollekonflikter knyttet til vektlegging av ulike hensyn.

4.1 Tilsyn som forvaltningsfunksjon

Generelt om organisering av forvaltningsoppgaver

Ved enhver forvaltningsorganisering kan det skjelnes mellom en horisontal og en vertikal dimensjon.

Den horisontale dimensjonen viser til arbeids- og ansvarsdelingen mellom ulike sideordnede etater, der organiseringen er kjennetegnet ved grad av spesialisering.  Høy grad av spesialisering innebærer at bestemte formål og oppgavetyper i stor grad er skilt ut i egne forvaltningsorganer. Lav grad av spesialisering betyr store, gjerne sammenslåtte forvaltningsorganer som dekker en rekke formål og oppgavetyper.

Den vertikale dimensjonen viser til styringslinjer og ansvarsforhold mellom hierarkiske nivåer innenfor samme forvaltningsområde. Organiseringen er primært kjennetegnet ved grad av faglig autonomi og budsjettmessig handlefrihet i forholdet til overordnet organ.  Full faglig autonomi forutsetter at departementet formelt er avskåret fra å instruere/omgjøre etatens faglig baserte avgjørelser. Hvis etaten derimot er underlagt løpende instruksjon, både formelt og reelt, er det svært lite faglig autonomi.

Tilsyn kan sees som en av statsforvaltningens hovedfunksjoner

Kjernen i tilsynsrollen er den konkrete kontrollen av pliktsubjektenes etterlevelse av en norm som allerede er fastsatt ved lov, forskrift eller enkeltvedtak, samt reaksjoner ved avvik.

Tilsynsbegrepet kan i vid forstand forstås som et fellesbegrep for all aktivitet eller virkemiddelbruk som iverksettes for å følge opp et regelverks intensjoner (St.meld. nr. 17 (2002-2003). I dette ligger ofte informasjons- og veiledningsaktiviteter, områdeovervåkning og ansvar for å bidra til utvikling av sektorpolitikken på området.

For å sikre tilsynsorganenes legitimitet som fag- og lovstyrte organer har det vært argumentert for å gi slike organer økt formell uavhengighet, særlig ved å avskjære departementenes instruksjonsmyndighet, jf. blant annet St.meld. nr. 17 (2002-2003). Dette imøtegås ved å henvise til at tilsynenes uavhengighet ikke må gå på bekostning av behov for politisk styring. Ifølge forvaltningslovutvalget bør spørsmål om uavhengighet vurderes fra tilsynsområde til tilsynsområde og ut fra de enkelte oppgaver tilsynsorganet har, heller enn for organet sett under ett (NOU 2019, s.525).

I norsk forvaltning har det vært vanlig at et forvaltningsorgan både gir tillatelser og fører tilsyn med at vilkårene for tillatelsene overholdes. Forvaltningslovutvalget drøftet om dette er en uheldig rolleblanding: Bør kontrolloppgavene rendyrkes i et eget uavhengig forvaltningsorgan? Utvalget så imidlertid flere ulemper ved dette og ville ikke tilrå en slik rendyrking av roller. For å ha et klarere skille mellom de ulike rollene, har likevel flere forvaltningsorganer, med et visst omfang av kontroll og tilsyn, organisert dette arbeidet i en egen enhet/avdeling.

Det har vært gjort flere forsøk på å kategorisere ulike typer tilsynsfunksjoner, som regel ut fra hvilke hensyn de primært er satt til å ivareta, se f.eks. tilsynsmeldingen (St.meld. nr. 17 2002-03) og Statskonsult-notat 2000:8. For vårt formål kan det være tilstrekkelig å markere forskjellen mellom det som kalles markedsovervåkings- eller produktsikkerhetstilsyn på den ene siden og det som kalles rettighetstilsyn på den andre siden.

Markedsovervåkings-/produktsikkerhetstilsyn er innrettet mot å se til at markeder fungerer som tilsiktet og/eller at produkter som (skal) omsettes på et marked, overholder bestemte krav til sikkerhet, f.eks. mot brann. Eksempler på tilsynsorganer der slike hensyn står sentralt er Konkurransetilsynet, DSB (brannvern, elsikkerhet) og Nkom. 

Rettighetstilsyn skal se til at brukere og borgere får sine rettigheter ivaretatt. Eksempler på tilsynsorganer der slike hensyn står sentralt er Datatilsynet (personvern) og Forbrukertilsynet (forbrukervern).

4.2 Spesielt om premisser i KI-forordningen

I dette avsnittet drøftes ulike typer premisser i KI-forordningen, kompetanse- og oppgavemessig, og hvilke krav og utfordringer disse kan medføre for norsk forvaltning.

4.2.1 Ulike typer KI-kompetanse er en utfordring

KI-forordningen stiller krav til hvilken kompetanse markedsovervåkningsmyndighetene må ha, jf. kapittel 2.3. Det ligger krav om ekspertise på KI, databehandling, personvern, cybersikkerhet, grunnleggende rettigheter, risikoer knyttet til helse og sikkerhet, samt produkttilsyn, forståelse av relevante standarder og av rettslige krav. Kompetansen skal videre vurderes årlig og oppdateres ved behov.

Verdens Økonomiske Forum (WEF) anslår i sin «Future of jobs report» for 2023 at fremveksten av KI og ny teknologi vil skape betydelige omveltninger i arbeidsplasser og kompetansesammensetninger. Anslagsvis vil etterspørsel etter kompetanse på KI og maskinlæring – som utgjør den raskest voksende arbeidsområde – øke med 40 prosent i perioden 2023-2027. Sammen med en forventet økning i etterspørsel etter stordata- og informasjonssikkerhetsanalytikere på henholdsvis 30-35 prosent og 31 prosent, vil kompetansebehovet være betydelig.14

Flere undersøkelser og kartlegginger viser at tilgangen på kunnskap om kunstig intelligens er en utfordring både for privat og offentlig sektor i Norge. NHOs kompetansebarometer for 2023 viser at én av tre bedrifter har utfordringer med å dekke sitt kompetansebehov innenfor IKT generelt, mens én av fire bedrifter svarer at de har utfordringer med rekruttering av nødvendig kompetanse innenfor KI spesielt. Også Rambølls IT i praksis 2023viser at det fra stadig flere hold meldes om mangel på digital kompetanse. At utfordringen er økende understøttes også av Abelias Omstillingsbarometer for 2023. Det viser at Norge faller tilbake både for bredde- og spisskompetanse innenfor IKT.

Også for offentlig sektor er det utfordrende å rekruttere IKT-kompetanse. Ifølge Arbeidsgiverbarometeret for 2023 er IKT- kompetanse den kompetansen flest arbeidsgivere oppgir som meget utfordrende å rekruttere. 2023-tall fra SSB viser at 9 av 10 statlige virksomheter som har forsøkt å rekruttere IKT-spesialister, opplevde problemer med dette.15 Mens forholdene ligger til rette når det kommer til tilkoblingsmuligheter, digitalisering av offentlige tjenester og teknologi i befolkningen og bedriftene, skorter det ofte på tilgangen til, og utdanningen av teknologi- og IKT-spisskompetanse.16 Også i kommune-Norge er det strekk i laget. De minste kommunene opplever mindre tilgang på teknisk kompetanse enn de største.17 Gitt utviklingen på området siden 2019, er det grunn til å tro at disse konklusjonene gjør seg gjeldende i enda større grad i 2024.

DFØ har i flere rapporter skrevet om den generelle mangelen på IKT-kompetanse og offentlige virksomheters ønske om mer kompetanseutveksling. Offentlige virksomheter oppleves å konkurrere med hverandre om nødvendig kompetanse på IKT-området. Broomfield og Reutters Kartlegging av status, utfordringer og behov i norsk offentlig sektor (2019) viste at det gjennomgående var behov for både kompetanseheving og kompetansedeling mellom offentlige virksomhetene. Undersøkelsen viste imidlertid også at de største virksomhetene som regel var i stand til å rekruttere gode kandidater på KI-feltet, inklusive programmerings-, juridisk og fagkompetanse. Rekrutteringsutfordringene har i tillegg en geografisk dimensjon ved at det gjennomgående er mer utfordrende å rekruttere viktig kompetanse utenfor de største byene. Dette gjelder særlig juridisk kompetanse.18

Det store bildet viser at statlige virksomheter har et betydelig udekket kompetansebehov. Behovet oppleves størst for kompetanse som er særlig relevant på KI-området: teknologisk, juridisk, teknisk og ingeniørkompetanse.19 I Prop 1 S (2023-2024) foreslår Regjeringen derfor å øke bevilgningen til forskning på konsekvenser av KI, digital sikkerhet, innovasjon og nytte med minst én milliard kroner.20 Samordna opptak rapporterer samtidig om at det planlegges størst økning i studieplasser innen informasjonsteknologi. Teknologiske fag følger på plassen etter.

4.2.2 Mulige oppgaver for rollen som kontaktpunkt og koordinerende markedsovervåkningsmyndighet

I KI-forordningen er det lagt til grunn en del premisser for hvordan forvaltningsstrukturen på KI-området skal organiseres i det enkelte medlemsland, jf. kapittel 2.1. Et sentralt tema er hva som skal være oppgavene for en koordinerende markedsovervåkningsmyndighet for KI-forordningen, jf. kapittel 2.2. Den koordinerende markedsovervåkningsmyndigheten skal eller vil kunne ha ansvar for følgende oppgaver:

  • Være kontaktpunkt opp mot EU og delta i fora i tilknytning til KI-forordningen. Koordinering og formidling av informasjon til og fra EU vil være en sentral oppgave, herunder eksempelvis å bidra til EUs database for høyrisikosystemer.
  • Koordinere og legge til rette for en samordnet rolle overfor offentligheten gjennom samarbeid mellom de ulike kompetente tilsynsmyndighetene, mellom fagmyndigheter og tilsyn og mellom ulike brukerkategorier, med spesiell vekt på kommunesektoren, og tilsyn
  • Ha et spesielt ansvar for å ivareta tilsyn etter KI-forordningen, eventuelt henvise til relevant markedsovervåkningsmyndighet, på områder der ansvarlig myndighet ikke kan, ønsker eller har kompetanse til å gjennomføre tilsyn
  • Ha en informasjons- og veiledningsrolle mht. tilsyn med KI overfor andre markedsovervåkningsmyndigheter
  • Ha en generell informasjons- og veiledningsfunksjon om KI og muligheter og barrierer knyttet til KI, jf. blant annet Digdirs veiledning og KS-rapport.21
  • Sikre etablering og drift av en regulatorisk sandkasse for KI-forordningen som gir utvidet veiledning og utprøving av regelverk etter standarder utviklet på EU-nivå, eller bidra til å sikre at en slik sandkasse oppfyller kravene.

Den koordinerende myndigheten må ikke nødvendigvis drifte den regulatoriske sandkassen, men det er naturlig at kontaktpunktet og den koordinerende markedsovervåkningsmyndig-heten har en rolle her, for å sikre lik og omforent veiledning og informasjon og en omforent og felles forståelse av forordningen, jf. kapittel 4.4.2.

I tillegg til kontaktpunktrollen opp mot EU, vil en stor del av de antatte oppgavene være å koordinere markedsovervåkningen slik at sektorvise tilsynsmyndighetene er koordinerte i sin forståelse og bruk av KI-forordningen, og at KI-forordningen ivaretas i tråd med formålet.22 Dette vil blant annet medføre å:

  • fordele KI-forordningssaker som ikke naturlig tilhører eksisterende myndigheter på produktsikkerhetsregelverket og /eller der det er tvil om sektortilhørighet, eventuelt selv ta ansvar for tilsyn med dem («catch all»-funksjon)
  • bistå øvrige markedsovervåkningsmyndigheter med avklaring av særlig vanskelige tekniske og/eller juridiske spørsmål.
  • veilede øvrig markedsovervåkningsmyndigheter om innretning på og gjennomføring av KI-tilsyn, eventuelt også bistå og «låne ut» kompetanse i forbindelse med gjennomføring av tilsyn  

4.2.3 Mange av dagens tilsynsorganer vil få utvidet ansvar

Minst 12 av dagens tilsyn vil få utvidet ansvar etter KI-forordningen

Gitt at eksisterende sektortilsyn også får ansvar for tilsyn med KI, vil minst 12 ulike sektortilsyn få ansvar for tilsyn etter KI-forordningen, jf. vedlegg 2, punkt 1.2.1. Av forordningen følger det blant annet at følgende myndigheter skal fungere som markedsovervåkningsmyndigheter på sine respektive områder:

  • Havindustritilsynet
  • Direktoratet for samfunnssikkerhet og beredskap
  • Miljødirektoratet
  • Sjøfartsdirektoratet
  • Tolletaten
  • Direktoratet for byggkvalitet
  • Nasjonal kommunikasjonsmyndighet
  • Statens Jernbanetilsyn
  • Arbeidstilsynet
  • Direktoratet for medisinske produkter

I tillegg skal Finanstilsynet være markedsovervåkningsmyndighet for høyrisiko-KI-systemer som plasseres på markedet, tas i bruk eller brukes av finansinstitusjoner som reguleres av EU-regelverk for finansielle tjenester. For høyrisikosystemer under Annex III angir forordningen ikke noen markedsovervåkningsmyndigheter unntatt for visse biometriske systemer. Dette er nærmere drøftet i punkt 2.2 og vedlegg 2 punkt 1.2.1. For områder i Annex III vil markedsovervåkningsmyndigheten måtte være en av følgende:

  • Den koordinerende markedsovervåkningsmyndigheten
  • Eksisterende markedsovervåkningsmyndigheter, eksempelvis Arbeidstilsynet for høyrisiko KI knyttet til arbeidslivet, jf. Annex III nr. 4.
  • Andre myndigheter, eksempelvis Utdanningsdirektoratet for høyrisiko KI knyttet til utdanning, jf. Annex III nr. 3.

Alle disse vil eller kan være markedsovervåkningsmyndigheter på KI-området og må over tid bygge opp, eventuelt fremskaffe på annen måte, relevant KI-kompetanse og kapasitet.

Inntrykket fra intervjuene er at noen av sektortilsynene som enten får tildelt spesielle ansvarsområder i forordningen eller som må antas å ha/få mange høyrisikosystemer, allerede har noe KI-kompetanse eller er i ferd med å skaffe seg dette. Andre har kommet relativt kort i tenkningen om dette eller antar at KI og KI-forordningen vil få relativt liten innvirkning på deres tilsynspraksis, i hvert fall på kort sikt.

Både tilsynsorganer og tilsynsobjekter vil ha stort behov for støtte og veiledning

Et gjennomgående inntrykk fra intervjuene er at både tilsynsorganer og tilsynsobjekter har stort behov for støtte og veiledning – både for å forstå og fortolke regelverket og for å skjønne hvordan regelverket skal etterleves. Alle markedsovervåkningsmyndighetene skal i prinsippet kunne svare på spørsmål og veilede om regelverket samt føre tilsyn med at standardene etterleves.

Sett fra et brukerperspektiv er det positivt at leverandørsiden får et utvidet ansvar etter forordningen. Det gis samtidig uttrykk for at brukersiden må få medvirke i prosesser for å sikre at veiledning og informasjon er målrettet og tilpasset deres behov. Det gjelder særlig kommunene. Kommunesiden viser blant annet til at markedsovervåkning på KI-området bør være mest mulig samordnet og ha en så lik tilnærming og praksis som mulig.

I intervjuene viser noen tilsyn som håndhever såkalte teknologinøytrale lovverk til at KI-forordningen er mindre relevant for dem, i hvert fall på kort sikt, og at det er lite hensiktsmessig for dem å bygge opp spesialisert KI-kompetanse. Hvis de relevante markedsovervåkningsmyndighetene ikke har tilstrekkelig kompetanse eller ressurser til å kunne dekke behov for støtte og veiledning, eller hvis de selv har spørsmål, må de ha et sted å henvende seg for råd og veiledning, eventuelt for å få bistand til å gjennomføre tilsyn. Spørsmålet er om denne oppgaven kan/bør legges til den koordinerende markedsovervåkningsmyndigheten eller om den bør organiseres på en annen måte.

En mulighet er at eventuelle henvendelser om veiledning eller bistand knyttet til slike mer eller mindre «udekkede» områder dekkes av den koordinerende markedsovervåkings-myndigheten, jf. kapittel 4.2.2. Den kan da vurdere om noen av markedsovervåknings-myndighetene med KI-kompetanse kan gjennomføre et tilsyn fordi de har erfaring med lignende problemstillinger/standarder, eventuelt at den koordinerende markedsovervåkingsmyndigheten selv gjennomfører tilsynet. På sikt kan det eventuelt være aktuelt å bygge opp en kompetansepool i den koordinerende markedsovervåkningsmyndig-heten som kan bistå andre markedsovervåkningsmyndigheter med KI-tilsynskompetanse – mot kostnadsdekning.

En annen mulighet kan være at den berørte myndigheten kjøper tilsynstjenester og kompetanse på vurdering opp mot standardene, for så å bruke dette som grunnlag for vedtak. Her bør i tilfellet den koordinerende markedsovervåkningsmyndigheten kunne bistå med en oversikt over uavhengige tjenesteleverandører, kanskje særlig på teknologisiden, eventuelt inngå rammeavtaler for denne typen tjenester. En slik ordning kan for øvrig være nyttig også for de øvrige markedsovervåkingsmyndighetene hvis de i perioder har utfordringer knyttet til å rekruttere og beholde nødvendig kompetanse.

Er det behov for et uavhengig fagråd?

I intervjuene kom det fram ønsker om etablering av et fagråd/organ bestående av representanter fra de fremste forskningsmiljøene, teknologiselskaper, forvaltningsaktører mv. Også Teknologirådet anbefaler etablering av en arbeidsgruppe i regi av topplederforumet Skate for felles og løpende håndtering av problemstillinger knyttet til KI i offentlig sektor i sin rapport om generativ KI.23 Rådet skulle eventuelt ha som oppgave å følge utviklingen på KI-feltet. Det skulle gi råd til regjeringen om hvordan offentlig sektor kan ta KI i bruk på en sikker og kostnadseffektiv måte, og hvordan den kan regulere ut fra risiko og utfordringene som oppstår. Ett alternativ kan eventuelt være å etablere et nytt råd og legge sekretariatsfunksjonen til for eksempel Digdir.  Et annet alternativ kan være å etablere endre/utvide Digitaliseringsrådets mandat, og sørge for at medlemmer der har særlig kompetanse på KI-feltet. 

4.3 Drøfting av mulig koordinerende markedsovervåkningsmyndighet

Inntrykket er at andre land primært vurderer å legge rollen som kontaktpunkt og koordinerende markedsovervåkningsorgan til det som i Norge i stort tilsvarer Datatilsynet, Digdir eller Nkom, eventuelt å etablere et nytt organ som Spania har gjort, jf. kapittel 3. Dette er gjenkjennelig ut fra vårt kjennskap til forvaltningen. I oppstarten vurderte vi flere andre alternativ, men erfarte at de aktuelle alternativene ville ha en relativ perifer tilknytning til KI-relatert tilsyn og/eller ikke ønsket en koordinerende rolle på dette området. Det tillegges også vekt at det ikke kom fram andre reelle alternativer i intervjuene våre med ulike interessenter.

På bakgrunn av dette har vi valgt å drøfte følgende fire organisasjonsalternativer som koordinerende markedsovervåkingsmyndighet, herunder rollen som nasjonalt kontaktpunkt:

  1. Etablering av et nytt organ
  2. Datatilsynet
  3. Digitaliseringsdirektoratet (Digdir)
  4. Nasjonal kommunikasjonsmyndighet (Nkom)

Det er viktig å understreke at vi har valgt å avgrense drøftingen til fire mer eller mindre «rendyrkede» alternativ. I praksis finnes det selvsagt mange varianter og kombinasjoner av roller og oppgaver som også kunne vært diskutert. Vi håper imidlertid drøftingen av disse alternativene kan gi et relevant beslutningsgrunnlag også for alternative løsninger.

I drøftingene av de ulike alternativene tar vi utgangspunkt i følgende kriterier:

  • Formålseffektivitet: I hvilken grad ivaretar alternativet formålet med forordningen, dvs. markedsregulering/overvåking, tilsyn/kontroll, innovasjon og trygghet?
  • Uavhengighet fra politisk styring: Hvordan sikre god balanse mellom uavhengighet og styrbarhet?
  • Rolleklarhet: I hvilken grad kan rollen som kontaktpunkt og koordinerende myndighet komme i konflikt med andre roller og oppgaver som organisasjonsalternativet har?
  • Kompetanse – sammensetning og tilgang: Hvilken kompetanse har de ulike alternativene p.t., og hva vil de trenge for å ivareta oppgavene knyttet til rollen som kontaktpunkt og koordinerende myndighet?
  • Kostnadseffektivitet: Hvilke kostnader vil en ny/utvidet rolle medføre for den enkelte virksomhet?
  • Gjennomførbarhet og fleksibilitet: Hvilke forutsetninger må være på plass for at alternativet lar seg gjennomføre, og hvor fleksibelt er det mht. endringer over tid?

Avslutningsvis gir vi en samlet vurdering av styrker, svakheter og det enkelte alternativets egnethet for rollen som kontaktpunkt og koordinerende myndighet.  

4.3.1 Nytt organ som koordinerende markedsovervåkningsmyndighet

Etablering av et nytt organ åpner for skreddersøm

Etablering av et nytt nasjonalt koordinerende markedsovervåkningsorgan vil være formålseffektivt i den forstand at det kan skreddersys i tråd med formålene i forordningen. I styringen av organet vil samordning og koordinering og tilsyn på «udekkede» områder være hovedoppgaver, ikke en bioppgaver på siden av en rekke andre.

Grad av uavhengighet kan tilpasses kravene i forordningen – og etablert praksis

Også når det gjelder uavhengighet av politisk styring vil grad av uavhengighet kunne skreddersys. Som beskrevet under punkt 2.2.2 virker det nærliggende å legge opp til en moderat grad av uavhengighet. Det skyldes ikke bare at det synes hensiktsmessig at det nye organets uavhengighet ikke skiller seg vesentlig fra uavhengigheten til de andre definerte sektortilsynene på KI-området, men også for at overordnede myndigheter skal ha mulighet for styring, gitt utviklingen på KI-området. Stadig utvikling av teknologier og anvendelsesområder for KI kan skape et behov for kontinuerlig faglig oppdatering og tilpasning av regelverk og det nye organets øvrige rolle. Dette vil kreve dialog med departementet, og avskjæring av statsrådens instruksjonsrett kan da være lite formålstjenlig.

Et nytt organ vil kunne få en klar og entydig rolle

Med mindre et nytt organ ikke får andre mer eller mindre motstridende oppgaver, vil et nytt organ få en relativt klar og entydig rolle knyttet til markedsovervåkning av KI. Generelt kan det imidlertid ligge noen innebygde motsetninger i henholdsvis tilsyns- og samordningsrollene.

For tilsynsrollen handler det om nødvendigheten av å balansere informasjons- og veiledningsrollen opp mot tilsyns- og kontrollrollen.  For å unngå å måtte føre tilsyn med egne råd og anbefalinger må tilsynet primært veilede om regelverket, ikke gi råd om hvordan den enkelte bør innrette seg for å overholde reglene. Dette vil alltid være en balansegang som krever høy rollebevissthet.

For samordningsrollen handler det om å være bevisst på likebehandling av ulike saksfelt og mellom koordineringsrollen og eventuelle tilsynsoppgaver. Egne saker kan ikke prioriteres på bekostning av en større helhet. I utgangspunktet ligger en skjevhet i dagens styringssystem – der «egne» sektoroppgaver ofte vektlegges sterkere enn koordineringsoppgaver. Etablerte interesser og innarbeidet praksis kan også medføre skjeve prioriteringer når ulike fagfelt skal samordnes. Et nytt organ vil lettere kunne håndtere utfordringer knyttet til samordning, tverrgående samarbeid og rollekonflikter enn eksisterende organer som må prioritere mellom eksisterende og de nye oppgaver – og mellom tilsynsoppgaver og koordinerende oppgaver.

Svært utfordrende å rekruttere nødvendig kompetanse på kort sikt, gitt stor usikkerhet om behov og omfang

Det er fortsatt stor usikkerhet om omfang og vektleggingen av ulike typer kompetanse i et nytt organ. Hva er viktig på kort sikt? Hva er viktig på lengre sikt? Det vil medføre stor risiko og være svært krevende å skulle etablere en ny virksomhet under så usikre forhold.

I tillegg kommer usikkerhet om markedsovervåkning på områder som ikke er forhåndsdefinert i forordningen. Hvis dette skal samles i én ny markedsovervåkings-myndighet, vil det enten kreve et stort spenn av ekspertise i én og samme virksomhet, kjøp av tjenester i markedet eller et tett samarbeid med relevant fagkompetanse.

En variant av å bygge et helt nytt organ kan eventuelt være å overføre noe kompetanse fra eksisterende tilsynsorganer, eksempelvis informasjons- og veiledningsoppgaver/-kompetanse fra Digdir, kanskje også UU-tilsynet, og i tillegg gradvis bygge opp og rekruttere nødvendig kompetanse etter hvert som forordningen finner sin form. Som omtalt over, vil også kjøp/innleie av tilsynstjenester og kompetanse på vurdering opp mot standardene, være aktuelle tiltak ved knapphet på kompetanse.

Det tar tid og er kostnadskrevende å etablere og bygge opp en helt ny virksomhet

Det er foreløpig stor usikkerhet knyttet til implementering av KI-forordningen – mht. kompetansekrav, kapasitetsbehov, samordningsbehov, organisering osv. Vi kan imidlertid gå ut fra at en koordinerende markedsovervåkningsmyndighet innledningsvis vil ha en beskjeden størrelse. Da vil det være det lite kostnadseffektivt å bygge opp en egen administrasjon for dette.  Et alternativ kan eventuelt være å etablere en ny enhet i tilknytning til et allerede eksisterende tilsynsorgan med en fungerende administrasjon som kan sørge for lokaler og administrative tjenester for den nye enheten.

En slik løsning behøver ikke bety at den nye enheten organiseres som en integrert del av det utvalgte tilsynsorganet. Med tanke på mulige rollemotsetninger kan det være aktuelt med en relativt løs tilknytning til tilsynsorganet, der den nye enheten i noen grad kan trekke på vertsorganisasjonens fagmiljø og kompetanse, eventuelt at oppgaver og kompetanse overføres fra denne og andre relevante virksomheter.  I en senere fase, når det er gjort erfaringer med den valgte løsningen, kan det så vurderes om den nye enheten bør skilles ut som et eget organ.

Stor usikkerhet om oppgaveomfang og kompetansesammensetning gjør alternativet krevende å gjennomføre, men det vil være fleksibelt mht. nye oppgaver

Som omtalt vil det være krevende å etablere et nytt organ så lenge usikkerheten om innretning, oppgaveomfang, kompetansesammensetning – og eventuell lokalisering - er så stor. Samtidig vil sannsynligvis et nytt reguleringsorgan, skreddersydd for kontaktpunkts-, koordinerings- og tilsyns-/markedsovervåkningsoppgaver, være fleksibelt mht. å ta opp i seg oppgaver knyttet til nye rettsakter EU har vedtatt eller skal vedta på det digitale området.

En beslutning om å opprette et nytt organ vil utløse en ny beslutningsprosess om hvor det nye organet skal lokaliseres. Slike prosesser er erfaringsvis krevende, blant annet fordi det er vanskelig å skape enighet om stedsvalg.

Oppsummert: Et nytt organ er en formålseffektiv løsning, men det er knyttet stor usikkerhet til kompetansesammensetning, tidsløp og kostnader

Et nytt organ åpner for skreddersøm, men det vil være krevende å etablere så lenge usikkerheten om innretning, oppgaveomfang, kompetansesammensetning – og eventuell lokalisering - er så stor.

4.3.2 Datatilsynet som koordinerende markedsovervåkningsmyndighet

Datatilsynet er et ordinært bruttofinansiert forvaltningsorgan under Digitaliserings- og forvaltningsdepartementet (DFD). Det omfatter både offentlig og privat sektor, og fører tilsyn med behandling av personopplysninger i medhold av blant annet personopplysningsloven, politiregisterloven, helseregisterloven, pasientjournalloven, helseforskningsloven, helseforsikringsloven og SIS-loven med tilhørende forskrifter. Forskrifter om kamera-overvåkning og arbeidsgivers innsyn i elektronisk lagret materiale er også omfattet av Datatilsynets kompetanse. Vedtak fattet av Datatilsynet med hjemmel i disse lovene kan klages inn for Personvernnemnda.

Sentrale oppgaver for Datatilsynet er:

  • Saksbehandling av tips og klagesaker
  • Tilsyns- og kontrollvirksomhet
  • Informasjons- og veiledningsvirksomhet
  • Aktiv deltakelse i den offentlige debatten om spørsmål knyttet til personvern, blant annet gjennom høringsuttalelser til lovforslag og utredningsarbeid

Datatilsynet vil kunne erfare motsetning mellom formålet knyttet til personvern-lovgivningen og formålet med KI-forordningen

Datatilsynet er en utpreget tilsyns- og kontrollvirksomhet, men er primært et rettighetstilsyn og har begrenset erfaring med markedsovervåkning-/produktsikkerhetstilsyn. Som vi kommer tilbake til under drøfting av rolleklarhet, vil Datatilsynet måtte forholde seg til å balansere to litt ulike formål dersom de både får ansvar for personvernforordningen (GDPR) og KI-forordningen.

Datatilsynet har en lovfestet uavhengighet i personvernsaker, men må ikke ha det i KI-sammenheng

Datatilsynet har en lovfestet uavhengighet og kan ikke instrueres om behandling av enkeltsaker eller om den faglige virksomheten etter personopplysningsloven §20 og personvernforordningen artikkel 52. Hvis Datatilsynet skulle få ansvaret som markedsovervåkingsorgan, vil det sannsynligvis være ønskelig med mindre autonomi enn etter personvernlovgivningen. Selv om departementet verken skal eller ønsker å overprøve tilsynsorganet i enkeltsaker, kan det ha behov for å endre innretning på tilsynsutøvelsen, prioritere spesielle tilsynsområder, sektorer el. Hvis Datatilsynet pekes ut som koordinerende markedsovervåkningsorgan, må det i tilfellet fremgå av lov og forskrift hvilken autonomi Datatilsynet skal ha etter KI-forordningen.

Vedtak fattet av Datatilsynet knyttet til behandling av personopplysninger kan klages inn for Personvernnemnda. Kongen og departementene kan ikke omgjøre Datatilsynets vedtak (personopplysningsloven §20). Sett ut fra drøftingen av krav til uavhengighet, jf. kapittel kapittel 2.2 og vedlegg 2, punkt 1.4, går dette lengre enn forordningens krav. Som omtalt over kan dette eventuelt løses ved egne klageregler i lov og forskrift.

Flere er skeptiske til Datatilsynet som koordinerende markedsovervåkningsmyndighet

Datatilsynet er ikke leverandør av produkter og tjenester som konkurrerer i et marked eller som vil være gjenstand for et markedsovervåkningstilsyn på KI-området.

Sentrale hensyn med KI-forordningen er å fremme innovasjon, konkurranse på like vilkår mv., jf. kapittel 2.1. Hensyn som personvern og datasikkerhet vil måtte balanseres opp mot flere og mer likeverdige hensyn enn tilfellet er med bare å vurdere opp mot kravene i personvernforordningen (GDPR). Også personopplysningsloven angir imidlertid tilfeller hvor det kan gjøres unntak fra personlovgivningen. Datatilsynet må derfor også i dag måtte veie ulike hensyn opp mot hverandre.

I intervjuene våre, særlig med representanter fra næringslivs- og leverandørsiden, men også fra helsesiden og andre deler av offentlig sektor, stilles det spørsmål om Datatilsynets tydelige og synlige rolle som rettighetstilsyn på personvernområdet er forenlig med en produkttilsynsrolle på KI-området. Det gis uttrykk for at tilsynets mandat, jf. DFDs hovedinstruks for Datatilsynet24, der det står at tilsynet har en ombudsrolle og skal delta i offentlig ordskifte om personvern, kan bidra til at personvern settes i en særstilling sammenlignet med andre hensyn (innovasjon, folkehelse, diskriminering mv.).

Datatilsynet selv er tilbakeholdne med å bruke ombudsbegrepet fordi de opplever at det gir feil signaler om rollen Datatilsynet spiller. Så lenge ombudsbegrepet fortsatt hefter ved Datatilsynet, underbygger dette likevel en mer eller mindre berettiget tvil om hvor balanserte tilsynets vurderinger vil være. En slik tvil vil kunne bidra til svekket tillit og legitimitet blant tilsynsobjektene.

I denne sammenheng er det relevant at KI-forordningen peker på nasjonale datatilsyn som mulig markedsovervåkningsmyndighet for systemer for biometri knyttet til rettshåndheving, grensekontroll, justis og demokrati, samt systemer som nevnt i KI-forordningens Annex III nr. 6, 7 og 8.  KI-forordningen anser derfor tydeligvis ikke spenningsforholdet mellom personvern og innovasjon som problematisk for disse områdene. Det er også relevant at enkelte EU-land vurderer å legge den nasjonale markedsovervåkningsfunksjonen til sine nasjonale datatilsyn, jf. kapittel 3.

I noen intervjuer vises det også til at Datatilsynets kombinerte veilednings- og tilsynsrolle kan være utfordrende. For å unngå tilsyn med egne anbefalinger gir Datatilsynet primært generell og overordnet veiledning om hva regelverket sier. Det er viktig å understreke at denne problemstillingen gjelder alle tilsyn og all tilsynsvirksomhet. Det kan derfor ikke være et argument mot å legge den nasjonale markedsovervåkningsfunksjonen til Datatilsynet.

Datatilsynet har mye juridisk kompetanse og tilsynserfaring, spesielt på personvern og databehandling, men mer begrenset KI-kompetanse og erfaring med produkttilsyn

Fra 2018 har Datatilsynet hatt ansvar for å føre tilsyn med GDPR-forordningen. Det har gitt dem mye innsikt og kompetanse på EU-lovgivning og EU-prosesser, noe som er nødvendig og nyttig for en eventuell rolle som nasjonalt kontaktpunkt og samordningsorgan. Det har også mye erfaring med kombinasjonen veilednings- og informasjonsarbeid og tilsyn. Datatilsynet har også et IKT-/KI-miljø, blant annet tilknyttet tilsynets sandkasse, men miljøet er ikke så stort. Produktsikkerhetstilsyn vil også kreve standardiseringskompetanse, noe som tilsynet i dag har begrenset erfaring med.

Som omtalt over er nasjonale datatilsyn ett av KI-forordningens alternativ for markedsovervåkning knyttet til rettshåndheving, grensekontroll, justis og demokrati, jf. vedlegg 2, punkt 1.2.1. Det vil i tilfellet måtte bygge opp produktsikkerhetskompetanse for å ivareta disse oppgavene. Datatilsynet har erfaring med å føre tilsyn på ulike fag- og forvaltningsområder, men de har ikke spesifikk fagkompetanse på annet enn egne områder (personvern, datasikkerhet mv.). Det vil i noen tilfeller medføre behov for samarbeid med relevante fagmyndigheter. Her vil imidlertid erfaring fra blant annet GDPR og sandkassepraksisen være nyttig.

Fra 2021 har DT bygget opp mye kompetanse på bruk av sandkasser og på sandkasse-metodikk Datatilsynets regulatoriske sandkasse for KI ble etablert som et tiltak under regjeringen Solbergs Nasjonal strategi for kunstig intelligens som kom i 2020. Det opprinnelige oppdraget og målet med Datatilsynets sandkasse var å stimulere til innovasjon av etisk og ansvarlig kunstig intelligens (KI) fra et personvernperspektiv. Fra 2023 ble mandatet utvidet til også å omfatte annen personvernvennlig innovasjon og digitalisering. Sandkassen bistår enkeltaktører i deres innovasjons- og digitaliseringsprosjekter med dialogbasert veiledning. For å skalere effekten av sandkassen formidles de konkrete vurderingene fra prosjektene i en så generisk form som mulig slik at andre virksomheter kan hente inspirasjon og læring.

En evaluering av sandkassen fra 2023 utført av Agenda Kaupang viser til gode resultater med sandkassen, men også at dette har vært en utviklingsprosess over tid.25 Evalueringen viser til at sandkassen først og fremst er innrettet mot juridiske aspekter ved bruk av kunstig intelligens og at Datatilsynet har begrenset teknologisk kompetanse. Det har blant annet medført at Datatilsynet ikke kunne stille opp på de mer tekniske sidene ved kunstig intelligens i prosjektene. Evalueringen anbefaler derfor at Datatilsynet bør styrke den tekniske kompetansen for å kunne gi et mer helhetlig perspektiv på bruken av digital teknologi.

Selv om KI-sandkassen vil ha et annet og bredere perspektiv, er vår vurdering at Datatilsynet likevel vil ha mye på plass med hensyn til metodikk og kompetanse til å gjennomføre sandkasseprosesser.

Det følger av Datatilsynets mandat at de primært har et brukerperspektiv. Som nasjonalt markedsovervåkingsorgan må den delen av Datatilsynet som jobber med KI, eventuelt også ledelsen i Datatilsynet, i større grad ha et produsent- og leverandørperspektiv. Som det framgår av kapittel 2, vil tilsynsobjektene finnes langs hele verdikjeden, men med særlig vekt på produsent-/leverandørsiden. Det vil sannsynligvis medføre behov for en annen kompetansesammensetning enn det tilsynet har i dag.

For en relativt liten organisasjon med begrensede ressurser vil KI-oppgaver kreve tilleggsressurser

I likhet med de fleste andre vi har intervjuet, gir Datatilsynet uttrykk for at det er krevende å anslå hvor mye ressurser en ny rolle og utvidet tilsynsansvar vil medføre. Det er vanskelig å anslå både hvor mye tilsyn som vil følge med markedsovervåkingsfunksjonen og hvor stort omfang arbeidet med det praktiske tilsynet vil få.

Per i dag er Datatilsynet en relativt liten organisasjon målt i antall årsverk – om lag 60 årsverk ifølge årsrapporten for 2023 – sammenlignet med de to andre etatene. Det gir sannsynligvis mindre handlingsrom og fleksibilitet med hensyn til å dedikere ressurser og kompetanse til nye KI-oppgaver, i hvert fall på kort sikt. I årsrapporten for 2023 vises det blant annet til at dagens ressurser ikke er tilstrekkelige og at det er behov for en betydelig styrking av Datatilsynet for å kunne møte eksisterende oppgaver og utfordringer.26 Relativt lange saksbehandlingstider sammenlignet med land som Sverige og Danmark underbygger dette.  Eventuelle nye oppgaver knyttet til en utvidet tilsynsrolle vil derfor kreve ekstra ressurser, uavhengig av om kontaktpunkt- og samordningsfunksjonene legges til Datatilsynet eller ikke. Siden det allerede erfares knapphet på ressurser, gitt dagens oppgaveportefølje, vil det sannsynligvis også være utfordrende å overføre ressurser og kompetanse fra eksisterende oppgaveområder på kort sikt.

Sandkassen er finansiert gjennom et departementalt samarbeid. I 2023 bidro Kommunal- og distriktsdepartementet med tre millioner kroner, mens Nærings- og fiskeridepartementet, Arbeids- og inkluderingsdepartementet, Kunnskapsdepartementet og Helse- og omsorgsdepartementet bidro med én million kroner hver.  Ressursene er brukt på lønnsutgifter, gjennomføring av prosjekter, utarbeiding av veiledningsmateriell og kommunikasjonsvirksomhet.

Oppsummert: Til tross for mye og god kompetanse vil Datatilsynets personvernrolle utfordre tilliten til tilsynet som en nøytral markedsovervåkningsmyndighet

Selv om den ikke er direkte innrettet mot KI-forordningen og produkttilsyn, har Datatilsynet mye kompetanse på og erfaring med oppgaver knyttet til informasjon, veiledning og (rettighets)tilsyn. Det har imidlertid lite ressurser å avse til nye oppgaver og er avhengig av nye, friske ressurser for å kunne ivareta en eventuell koordinerende markedsovervåknings-funksjon i henhold til forordningen. Det vil eventuelt også måtte bruke ressurser på å «bevise» overfor næringslivs- og leverandørsiden at de evner å håndtere KI-markeds-overvåkning på en objektiv måte.

4.3.3 Digdir som koordinerende markedsovervåkningsmyndighet

Digitaliseringsdirektoratet (Digdir) er et ordinært bruttofinansiert forvaltningsorgan underlagt Digitaliserings- og forvaltningsdepartementet (DFD) som har en rekke ulike oppgaver, jf. instruksen fra DFD.27 Det skal blant annet:

  • Bidra til utvikling og gjennomføring av regjeringens ikt-politikk
  • Være premissgiver for digitalisering og helhetlig informasjonsforvaltning
  • Bidra til utvikling av digitale tjenester for innbyggere, kommuner og næringsliv
  • Drifte og forvalte felleskomponenter og fellesløsninger.
  • Føre tilsyn med universell utforming av ikt (UU-tilsynet)

UU-tilsynet er et produkttilsyn som fører tilsyn med at kravene i forskrift om universell utforming av informasjons- og kommunikasjonsteknologiske (ikt)-løsninger av 21.juni 2013 følges i offentlig og privat sektor. Tilsynet er organisert som en selvstendig enhet under Digdirs direktør.

Med unntak av UU-tilsynet – og fellestjenestene - forholder Digdir seg primært til offentlig sektor.

Per i dag er det kun som UU-tilsyn at Digdir fatter vedtak som kan påklages. Da er overordnet departement (DFD) klageinstans.

Digdirs pådriverrolle knyttet til digitalisering, innovasjon og effektivitet er i overensstemmelse med hovedformålet for KI-forordningen

Ifølge Digdirs virksomhetsinstruks skal direktoratet bidra til digitalisering, effektivisering og modernisering, herunder innovasjon av og i forvaltningen. Dette må sies å stemme godt overens med hovedformålet med KI-forordningen. Digdir har en rådgivnings- og veiledningsrolle knyttet til kunstig intelligens og EU-regelverk, jf. blant annet  Veiledning for ansvarlig bruk og utvikling av kunstig intelligens og EU-regelverk om deling og bruk av data.

Digdir er underlagt politisk styring

Som et ordinært forvaltningsorgan er Digdir underlagt statsrådens instruksjonsrett og er derfor ikke uavhengig av politisk styring. Når det gjelder UU-tilsynet, er det nedfelt i Digdirs instruks at denne rollen skal utøves uavhengig av direktoratets øvrige oppgaver, men uavhengigheten er ikke nedfelt i lov eller i UU-forskriften. Siden overordnet departement er klageinstans for eventuelle vedtak fattet av UU-tilsynet, er derfor også UU-tilsynet per i dag underlagt politisk styring fullt ut.

Digdirs rolle som felleskomponentleverandør kan komme i konflikt med rollen som et sterkt og troverdig tilsynsorgan

Digdir utvikler og drifter sentrale felleskomponenter og -tjenester der KI sannsynligvis vil bli viktig framover for å kunne levere gode og kostnadseffektive tjenester. Digdir har en leverandørrolle på dette området og fellestjenestene utgjør en vesentlig andel av Digdirs virksomhet, men de konkurrerer i hovedsak ikke i et marked. En leverandørrolle i kombinasjon med en koordinerende markedsovervåkningsrolle representerer likevel et spenningsforhold, særlig fordi KI-løsninger og -systemer over tid vil utvikles og være en integrert del av fellesløsningene, jf. drøfting av uavhengighet i kapittel 2.3 og vedlegg 2, punkt 1.4.

Myndigheter som fører tilsyn med et regelverk, vil ofte selv måtte ivareta dette regelverket i sin egen virksomhet. Arkivverket må eksempelvis ivareta arkivloven for sine oppgaver, Arbeidstilsynet med arbeidsmiljølovgivningen mv. Det er også grunn til å tro at alle offentlige virksomheter, herunder markedsovervåkningsmyndigheter, i større grad vil ta i bruk KI-løsninger i tiden fremover og dermed måtte ivareta KI-forordningens plikter for bruk av KI-systemer. KI-forordningens primære pliktsubjekt er imidlertid den som utvikler KI-løsninger. Dette treffer derfor Digdir (på grunn av leverandørrollen) i større grad enn andre myndigheter.

Et argument for en kombinert tilsyns- og leverandørrolle er at dette kan gi bedre kunnskapsgrunnlag og tilgang på kompetanse i rollen som markedsovervåkningsmyndighet. I forlengelsen av dette er det også relevant at Danmark har besluttet å legge den koordinerende markedsovervåkningsfunksjonen til Digitaliseringsstyrelsen, som riktignok har et tyngre tilsynsansvar fra før enn Digdir, men som også leverer ulike fellesløsninger/app-tjenester. Fordelene med slike kombinerte roller må imidlertid veies opp mot ulempene knyttet til mulig rolleblanding og eventuelt mistillit fra andre tilsynsobjekter.

Tilsynet med Digdirs produkter og tjenester vil eventuelt måtte legges til en av de andre markedsovervåkningsmyndighetene, f.eks. Nkom. Dette kan likevel undergrave Digdirs eventuelle koordinerende myndighetsrolle hvis/når det utsettes for tilsyn pga. henvendelser fra næringsliv, kommuner eller andre aktører som har henvendt seg til den relevante markedsovervåkningsmyndigheten fordi de er misfornøyde med tjenestene som Digdir leverer. Det kan også være utfordrende for samarbeidsforholdet mellom den aktuelle markedsovervåkningsmyndigheten og Digdir som koordinerende myndighet.

Norske myndigheter har tidligere vært opptatt av å rendyrke tilsynsrollen, og i noen tilfeller har det ført til en utskilling av tilsynsvirksomheten. Det gjelder blant annet utskillingen av Petroleumstilsynet (nå Havindustritilsynet) og Luftfartstilsynet. I begge disse tilfellene var faren for rolleblanding en sentral begrunnelse for oppsplittingen. Et mer drastisk alternativ kunne ut fra dette være å skille fellestjenestene ut av Digdir. Det ble vurdert så sent som i 2018-2019, men ble da besluttet opprettholdt fordi fellestjenestene også oppleves som et kraftig samordningsvirkemiddel.

Digdirs rolle som pådriver for digitalisering og innovasjon kan oppleves å stå i motstrid til en nøytral markedsovervåkningsrolle

En pådriverrolle medfører å arbeide på systemnivå for å få til endringer knyttet til tjenester, kvalitet, kostnadseffektivitet mv. Det er positivt, men en pådriverrolle vil også kunne utfordre nøytralitet på ulike områder, jf. drøfting av uavhengighet i kapittel 2.3 og vedlegg 2, punkt 1.4. Det kan medføre uenighet med andre aktører om vurderinger og prioriteringer. Etter DFØs vurdering kan det stilles spørsmål om Digdirs rolle som aktiv pådriver og premissgiver for digitalisering, innovasjon, og nå KI, vil kunne oppfattes å være forenlig med en nøytral markedsovervåkningsrolle der hensynet til innovasjon skal avveies mot andre hensyn. Slike potensielle interessekonflikter må vurderes opp mot hensynet til tilsynsorganets legitimitet. Det hjelper lite å framholde at tilsynet er upartisk og nøytralt hvis omgivelsene oppfatter det annerledes. Her er det også verdt å merke seg at det i noen av intervjuene pekes det på at Digdir allerede har mange ulike roller og at det neppe er hensiktsmessig med ytterlige roller.   

Digdir har mye informasjons- og veiledningskompetanse, men lite praktisk tilsynskompetanse – med noen unntak

Som regjeringens sentrale digitaliseringsmiljø har Digdir en helhetlig breddekompetanse på digitaliseringsområdet. Informasjon og veiledning knyttet til digitalisering generelt og KI spesielt har vært og er en viktig oppgave for direktoratet.

Med tanke på Digdirs ulike oppgaver med digitalisering og helhetlig informasjonsforvaltning sier det seg selv at de har mye teknologikompetanse, sannsynligvis også mer spesialisert KI-kompetanse – både teknologisk og juridisk - enn mange andre statlige virksomheter. Direktoratet har de senere årene bygd opp kompetanse på innovasjon, informasjons-sikkerhet og utvikling knyttet KI. I juni 2023 publiserte de, på oppdrag fra KMD, nå DFD, blant annet første versjon av Veiledning for ansvarlig bruk og utvikling av kunstig intelligens. Direktoratet har i tillegg erfaring med samordning på tvers av sektorer, jf. blant annet SKATE-samarbeidet. I tillegg er de kjent med og deltar i utvikling av standarder og annet utviklingsarbeid i EU-regi.

Selv om Digdir har god teknologisk og juridisk kompetanse, er likevel denne primært innrettet på informasjon, veiledning og eventuelt regelverksarbeid til offentlig forvaltning. Digdir er i hovedsak ikke en tilsynsorganisasjon og har lite praktisk tilsynskompetanse28, verken rettighets- eller produkttilsynskompetanse. Den finnes i UU-tilsynet, men siden UU-tilsynet i henhold til instruksen er en «selvstendig enhet», er dette kompetanse som i svært liten grad tilflyter andre deler av organisasjonen. Det samme gjelder sannsynligvis den andre veien. UU-tilsynet trekker ikke mer på Digdirs brede informasjons- og veiledningskompetanse knyttet til digitalisering og KI enn andre tilsynsvirksomheter gjør. Det er heller ikke gitt at Digdir/UU-tilsynet blir en markedsovervåkningsmyndighet etter KI-forordningen.

Nye oppgaver vil kreve ekstra ressurser

Digdir kan ikke gi noe presist anslag på hva en utvidet rolle for direktoratet vil medføre av ekstra ressursbruk. Det vil avhenge både av hvilke oppgaver og funksjoner som legges til Digdir og hvor omfattende og ressurskrevende oppgavene faktisk blir.

På lengre sikt og avhengig av hvor omfattende tilsynsoppgaver som legges til den koordinerende markedsovervåkingsmyndigheten, vil Digdir ha behov for å bygge opp spesifikk tilsyns- og standardiseringskompetanse. Det kan gjøres som en del av det eksisterende UU-tilsynet, som en ny KI markedsovervåkningsenhet på lik linje med UU-tilsynet, eller integrert med Digdirs øvrige oppgaveportefølje. Uansett vil dette kreve ekstra ressurser.

Digdir har en fleksibel organisering som gjør det mulig å flytte kompetanse på relativt kort varsel

Digdir er en relativt stor virksomhet og har en ikke-stedbunden organisasjonsstruktur med om lag 380 ansatte fordelt på tre lokasjoner. Det betyr at de i noen grad kan flytte på eksisterende kompetanse til en ny KI-enhet, eventuelt en utvidet UU-enhet, relativt raskt. Med mindre de tilføres ekstra ressurser, vil det imidlertid måtte gå ut over andre oppgaver, i hvert fall over tid. Siden omfanget av tilsynsfunksjonen fortsatt er så usikker, er det også en fordel at de har en viktig veiledningsfunksjon og andre oppgaver på digitaliseringsområdet, uavhengig av KI-forordningen. Det vil gjøre det relativt enkelt å flytte ressurser til andre deler av organisasjonen ved behov, i hvert fall i en overgangsfase.

Oppsummert: Digdir har mye relevant KI-kompetanse, men det er ikke en tilsynsetat, og noen av Digdirs øvrige roller kan medføre interessekonflikt

Digdir skårer høyt på relevant kompetanse på digitalisering, og har øremerkede ressurser som jobber med informasjon og veiledning om KI generelt og KI-forordningen spesielt. De største utfordringene er manglende tilsynskompetanse og Digdirs eventuelle rolle som nøytral markedsovervåkningsmyndighet opp mot rollene leverandør av viktige fellestjenester, der KI etter hvert vil kunne spille en sentral rolle, og som «spydspiss» for digitalisering og bruk av KI i offentlig forvaltning.

4.3.4 Nkom som koordinerende markedsovervåkingsmyndighet

Nasjonal kommunikasjonsmyndighet (Nkom) er et ordinært bruttobudsjettert forvaltnings-organ underlagt Digitaliserings- og forvaltningsdepartementet (DFD). Samferdsels-departementet (SD) har ansvaret for saker på postområdet. Nkom skal være selv-finansierende. Bransjeaktørene betaler derfor sektoravgifter og gebyr i medhold av forskrift av 17. januar 2024. Summen som Nkom kan kreve inn i avgifter og gebyr, fastsettes i statsbudsjettet hvert år.

Ifølge DFDs hovedinstruks for styringen av Nkom, er Nkom «det sentrale, utøvende tilsyns- og kontrollorgan på områdene for post, elektronisk kommunikasjon og elektroniske tillitstjenester i Norge.» Nkom skal legge til rette for innovasjon og bruk av ny teknologi og forvalter og tildeler frekvenser for mobil, radio og fjernsyn og, etter søknad, telefonnummerressursene til operatører.

Nkom er et produktsikkerhetstilsyn og har blant annet følgende oppgaver:

  • Forvalte og tildele frekvenser for mobil, radio, fjernsyn og (etter søknad) telefonnummerressursene til operatører
  • Føre tilsyn med omsetning av radio-, teleterminal- og nettutstyr for å sjekke at produktene samsvarer med regelverket og med priser og tilbud fra ekombransjen til forbrukere
  • Tilsynsansvar for norsk domeneforvaltning og toppdomenet «.no».

Dette innebærer at Nkom er en markedskontrollmyndighet som har erfaring med og rutiner for å føre tilsyn med at ekomutstyr som plasseres på markedet, er samsvarsvurdert, dokumentert og merket i henhold til gjeldende prosedyrer og tilfredsstiller de krav som er satt til produktene i EØS-regelverket.

Nkom har hovedkontor i Lillesand og regionkontor i Lødingen, Trondheim, Bergen og Oslo. Vel 90 prosent av de vel 170 ansatte jobber ved hovedkontoret.

Nkoms primære formål er å sikre innovasjon og god konkurranse på ekom-området, inklusive trygg og sikker bruk av internett

Nkom har løpende måttet forholde seg til innovasjon og utvikling av ny teknologi, som KI, og er opptatt av både muligheter (innovasjon, konkurranse, effektivitet, tjenestekvalitet mv.) og utfordringer (markedssvikt, sluttbrukerinteresser og sikkerhet knyttet til kritisk infrastruktur). I sitt skriftlige svar på spørsmål om fordeler og ulemper ved KI-forordninger sett fra deres ståsted, skriver Nkom blant annet at de ser KI-forordningen som en mulighet for «... tryggere og mer ansvarlig innovasjon».

Nkom har nylig fått ansvar for tilsyn med datalagre og datalagring i Norge, og er aktuell som koordineringsorgan for EUs digitale tjenesteforordning (DSA). Dette vil bidra til at ulike deler av datalagring og -deling kan ses i sammenheng. Sett fra et brukerperspektiv vil dette være  en fordel.

Nkom er underlagt politisk styring

Nkom er, med ett unntak, underlagt politisk styring. I hovedinstruksen til Nkom heter det likevel at «Det følger av lov når Nasjonal kommunikasjons-myndighet er unntatt fra instruksjon.» (pkt. 3.2.1). I praksis gjelder det kun på markedsreguleringsområdet.

Klager på Nkoms vedtak går p.t. til overordnet departement (DFD). I forslag til ny ekom-lov, som ligger til behandling i Stortinget, foreslås det blant annet å opprette en egen klagenemnd for vedtak fattet av Nkom (jf. Prop. 93 LS (2023-24), se også kap. 6 om vårt forslag til klageordning.

Nkom har ulike roller uten at de synes å medføre større rollekonflikter

Som omtalt under kapittel 4.3.1 vil alle tilsyn ha en mulig konflikt mellom organets kontrollrolle og behovet hos tilsynsobjektene for informasjon og veiledning. De fleste tilsynsvirksomhetene finner måter å håndtere dette på. Noen velger blant annet å innføre organisatoriske skiller mellom de to funksjonene. Det kan imidlertid også være en utfordring fordi god informasjon og veiledning som regel blir bedre når regelverksinformasjon underbygges av praktisk erfaring og eksempler.

Det kan også ligge en rollekonflikt i Nkoms rolle knyttet til å tildele frekvenser – som de så i etterkant fører tilsyn med. Ifølge Nkom er dette vanlig praksis i de fleste andre land og noe det i liten grad stilles spørsmål ved.  

Nkom er et produktsikkerhetstilsyn med mye teknologisk, juridisk og standardiserings-kompetanse, men med mindre tverrsektoriell og veiledningskompetanse

Nkom har allerede omfattende fagkompetanse og ekspertise innen flere av områdene som fremheves i KI-forordningens artikkel 70 (4), herunder forståelse av KI-teknologier, data- og internetteknologi, produkt-/utstyrsregulering, og cybersikkerhet. Det gjør at de kan ivareta tilsyn etter KI-forordningen når det er behov innenfor egen sektor, sannsynligvis også tilsyn med teknologisk avanserte systemer og løsninger innenfor andre sektorer. Nkoms tilsyn på ekom-feltet hører inn under EUs harmoniserte rammeverk «New Legislative Framework» (NFL), som KI-forordningen også henviser til. Gjennom harmoniseringen har Nkom erfaring med regelverksutvikling og rapportering av tilsyn på det digitale område på EU-nivå.

Nkom opplever at de har god og stabil kompetanse på områdene som KI-forordningen vektlegger. Gitt at det kan ta noe lenger tid å rekruttere ny kompetanse, kan det være en kompetanse- og rekrutteringsutfordring hvis Nkom får en koordineringsrolle knyttet til både DSA og KI-forordningen – i tillegg til at de har fått utvidet rolle og ansvar i forbindelse med datasentre i Norge. Hvis det tar lengre tid å rekruttere nødvendig og relevant kompetanse i Lillesand enn i mer sentrale deler av landet, kan det medføre kapasitetsutfordringer hvis Nkom tildeles flere nye oppgaver samtidig.

Nkom har lang erfaring med produktsikkerhetstilsyn gjennom ansvaret de har for tilsyn med produkter som kommuniserer via radiogrensesnitt eller via kabel/fiber. De har blant annet deltatt i EU- og internasjonalt arbeid i komiteer og i forbindelse med regelverksutvikling og standardiseringsarbeid. Innenfor sine fagområder har de erfaring med ulike reaksjonsmidler ved brudd på krav.

Nkom er først og fremst en sektormyndighet. Nkom forholder seg primært til ekom-aktører, dvs. tilbydere, leverandører, operatører og produsenter av ekom-tjenester og -produkter, men er også i kontakt med fylker, kommuner, offentlige myndigheter og interesse-organisasjoner/forbrukere for å bygge opp større forståelse for tjenestene ekom-aktørene tilbyr. Sammenlignet med de to andre virksomhetene har de imidlertid begrenset erfaring med brukere av KI.

Sektoren de er myndighet for, gjør at Nkom har noe kompetanse om mange sektorer. Denne kompetansen vil imidlertid være knyttet til ekom-tjenester og -produkter. Hvis Nkom utpekes som nasjonal markedsovervåkningsmyndighet, vil de være avhengig av godt samarbeid med relevante sektormyndigheter, og også av å bygge opp egen sektorkompetanse på andre sektorer hvor de selv får et utvidet tilsynsansvar.

Et slikt utvidet tilsynsansvar vil særlig gjelde på områder/sektorer der KI-kompetanse ikke er bygd opp som en del av tilsynskompetansen, jf. forordningens Annex III. Kommunale ansvarsområder, som utdannings- og velferdssektoren, er eksempler på områder dette kan omfatte. Selv om Nkom har kontaktflater både mot statsforvalterne og fylkenes beredskapsråd, særlig på sikkerhets- og beredskapsområdet, og også en egen bevilgning som går til veiledning til fylkeskommunene om bredbåndtilskudd, har Nkom likevel begrenset erfaring med informasjon og veiledning til kommunal sektor.

Inntrykket er også at Nkom foreløpig har begrenset erfaring med sandkassemetodikk, men at de her har et utviklingsprosjekt på gang i samarbeid med ekom-myndighetene i andre nordiske land og en privat aktør. Dette vil være en form for sandkasse på ekom-området med bruk av «trafikklys».

Nkoms hovedkontor ligger i Lillesand. Det bidrar til spredning av statlige (kompetanse)arbeidsplasser, men kan gjøre det mer krevende å rekruttere nødvendig kompetanse. Med tanke på nyrekruttering er det samtidig en fordel å ha Universitetet i Agder i nærheten med deres satsing på teknologi og KI-utdanning og nå også rettsvitenskap.29

Gebyrfinansiering av KI-tilsyn kan utfordre likebehandling

Til forskjell fra DT og Digdir er størstedelen av Nkoms virksomhet avgifts- og gebyrfinansiert. Hvis dette gjør det lettere å gebyrfinansiere også tilsyn med KI, kan det være en fordel sett fra et budsjettståsted. Det kan imidlertid også by på utfordringer knyttet til likebehandling av tilsynsobjekter. I dag fører Nkom primært tilsyn med relativt store profesjonelle aktører på produsent-, leverandør- og importørsiden. Dette er aktører som er vant til å måtte bære kostnader knyttet til kontroll og tilsyn. Det er sannsynligvis ikke uproblematisk å innføre gebyr/avgift for alle typer tilsyn etter KI-forordningen. Det vil igjen kunne reise spørsmål om likebehandling av tilsynsobjekter. Finansieringsordninger omtales imidlertid ikke i forordningen. 

Avhengig av omfang og innretning vil Nkom trenge ekstra ressurser for å bygge opp og ivareta samordnings- og veiledningsrollene som følger med rollen som nasjonalt markedsovervåkingsorgan.

Mange nye oppgaver parallelt kan utfordre Nkoms kapasitet

Nkom har nettopp fått ansvar for å føre tilsyn med datalagre i Norge. Samtidig som det bidrar til en samordning av ansvar og oppgaver, vil flere nye oppgaver på én gang også utfordre kompetanse og kapasitet i Nkom. Det kan bli en utfordring, i hvert fall på kort sikt.

Oppsummert: Nkoms store styrke er deres erfaring med og kompetanse på produkttilsyn med digitale tjenester og produkter

Nkom har mye produkttilsynskompetanse som danner et godt utgangspunkt for veiledning og eventuell støtte til andre markedsovervåkningsorganer som ikke selv har bygd opp – eller ser behovet for å bygge opp – omfattende KI-tilsynskompetanse. Samtidig vil Nkom ha behov for å bygge opp kompetanse knyttet til informasjon og veiledning om KI-forordningen rettet ut mot forvaltningen og samfunnet i stort.

4.4 Anbefalt organisering - koordinerende markedsovervåkningsmyndighet

4.4.1 Valgt løsning bør vurderes på nytt når det er høstet mer erfaring

Umodenhet og usikkerhet gjør det vanskelig å gi klare anbefalinger

Umodenheten, både i norsk forvaltning og i mange av EU/EØS-landene, gjør det vanskelig å lande på en klar anbefaling. Både omfang av tilsynsoppgaver og kostnader er svært usikre.  Våre anbefalinger bør ses i lys av dette. Det er viktig å ikke velge en modell nå som det blir krevende å tilpasse eller endre etter hvert som vi ser hvordan forordningen virker og praktiseres både i resten av EU/EØS og i norsk forvaltning.

Fra intervjuene våre er inntrykket at de ulike aktørene vektlegger hensynene som forordningen skal ivareta forskjellig. Noen er opptatt av at KI-forordningen først og fremst skal fremme innovasjon og kostnadseffektive løsninger på en så trygg og sikker måte som mulig. Andre er mest opptatt av å sikre personvern, jf. også Datatilsynets siste personvernundersøkelse. Der mener 69 prosent at kunstig intelligens vil utfordre personvernet ved at for store mengder personopplysninger samles inn og brukes på måter man ikke er enig i. 84 prosent mener myndighetene bør ta en aktiv rolle i reguleringen av kunstig intelligens – samtidig med at kun 33 prosent tror myndighetene er i stand til dette.30 Atter andre er mest opptatt av ulike etiske problemstillinger og utfordringer som forordningen i liten grad tar inn over seg, eksempelvis likestillings- og diskrimineringshensyn samt bærekraft og energiforbruk. Dette medfører ulike risikovurderinger og ulike forventninger til markedsovervåkningsmyndighetenes rolle.

Også erfaringene fra andre land er interessant å trekke fram. De fleste har ikke bestemt seg for forvaltningsmodell ennå. Etter drøftinger mellom ministeriene har Danmark som omtalt i kap. 3 valgt Digitaliseringsstyrelsen som markedsovervåkingsmyndighet og bestemt at det danske Datatilsynet og Digitaliseringsstyrelsen skal samarbeide om den regulatoriske sandkassen. Den videre prosessen mellom virksomhetene som vil få oppgaver etter forordningen, skal avklare nærmere oppgave- og ansvarsplasseringen. 

På bakgrunn av den store usikkerheten mener vi det vil være hensiktsmessig å vurdere rolle- og ansvarsplassering på nytt etter en viss periode. Vi tenker at det bør gjøres når det er mer praksis på feltet, f.eks. etter tre-fem år. Det er interessant å merke seg at en svensk utredning31 av forordningen om digitale tjenester (DSA), som har mange av de samme rollene som KI-forordningen, også viser til at det er stor usikkerhet og at ansvarsfordelingen bør vurderes på nytt etter en periode, etter at også andre EU-rettsakter er iverksatt.

De store usikkerhetene er årsak til at vi særlig vektlegger fleksibilitet og kostnadseffektivitet i våre anbefalinger. Vi anbefaler derfor en forvaltningsmodell som i størst mulig grad bygger på eksisterende forvaltningsapparats ulike styrker og kompetansesammensetning, og som vi tror vil fungere uten at det hindrer andre og kanskje mer hensiktsmessige løsninger på noe sikt.

I våre anbefalinger ser vi tilsynsfunksjonen som den mest sentrale oppgaven

I valget mellom hvem som bør tillegges rollen som koordinerende markedsovervåkings-myndighet er det nærliggende å vurdere hvilke oppgaver (jf. pkt. 4.3) som får størst omfang og/eller som bør tillegges størst betydning, for så å velge det organet som har best forutsetninger for å ivareta disse oppgavene. 

Hva som vil utgjøre hovedtyngden av oppgavene, er foreløpig svært usikkert. Kanskje kan det bli ressurskrevende å gjennomføre tilsyn på de områdene som ikke er dekket av andre markedsovervåkningsmyndigheter, kanskje kan det bli en omfattende oppgave å koordinere forståelsen av KI-forordningen med de andre tilsynsmyndighetene. Dette er imidlertid lite sannsynlig på kort sikt. De første par årene kan det heller være at hovedtyngden av oppgavene vil ligge på koordinering og veiledning i forbindelse med at KI-forordningen innlemmes i norsk rett.

Slike vurderinger av oppgavenes skiftende omfang er usikre og gir liten veiledning i valget mellom kandidatene. Vi vil i stedet vektlegge hvor sentrale oppgavene vil være over tid i rollen som koordinerende markedsovervåkingsmyndighet. Det leder oss til å fokusere på selve tilsynsfunksjonen med tilhørende koordinering overfor de andre tilsynsmyndighetene. Vi ser denne oppgaven som kjernen i rollen som koordinerende markedsovervåkningsmyndighet, en oppgave som mer enn de andre definerer denne rollen. De andre oppgavene kan enten betraktes som en del av tilsynsfunksjonen eller er oppgaver som er sekundære sammenliknet med tilsynsfunksjonen.

Som omtalt innledningsvis i rapporten (kapittel 1.3) tas det utgangspunkt i en to-nivå-modell, og KI-forordningens forslag til forvaltningsstruktur som følger av Annex I legges til grunn. Vi tar ikke stilling til hvordan ansvaret for høyrisiko-områdene/-systemene som beskrives i Annex III bør fordeles på enkeltvirksomheter. Dette bør utredes nærmere når overordnet organisering er besluttet og de ulike aktørene har fått mer kunnskap om, og dermed bedre forutsetninger for å kunne vurdere, den mest hensiktsmessige organiseringen.

Lokalisering av nye statlige arbeidsplasser må utredes og vurderes

Retningslinjer for lokalisering av statlege arbeidsplassar og statleg tenesteproduksjon skal medvirke til robuste arbeidsmarkeder i andre deler av landet enn Oslo, sentrale kommuner i Oslo-området eller andre av de største byene, og kommer i tillegg til kravene i utredningsinstruksen. Den gjelder blant annet for oppretting av nye virksomheter, ved etablering av nye enheter og ved utvidelser som følge av nye oppgaver i eksisterende virksomheter. Mindre endringer og justeringer i egen virksomhet er unntatt. Ved større endringer skal det vurderes ulike vilkår som behov for fysisk nærhet til brukere, tilgang på kvalifisert arbeidskraft og krav til fysisk og digital infrastruktur. Ved prosesser som omfattes av retningslinjene, skal en skriftlig vurdering legges til grunn for valg av lokalisering.

Retningslinjene skal etterleves dersom det etableres et nytt organ – med eller uten overføring av oppgaver og ressurser fra eksisterende virksomheter. Hvis oppgavene legges til en eksisterende virksomhet vil det sannsynligvis avhenge av omfang/størrelse, i form av nye statlige arbeidsplasser, om organiseringen kan karakteriseres som en ny «enhet» eller ikke, og hvordan tilgangen på kompetanse – teknologisk og juridisk – er. I dag er Datatilsynet lokalisert i Oslo, Digdir i Oslo, Leikanger og Brønnøysund og Nkom med hovedkontor i Lillesand og små regionkontor i Lødingen, Trondheim, Bergen og Oslo.

4.4.2 Etablering av et nytt organ frarådes

Ingen av de fire alternativene i kap. 4.2 er etter DFØs vurdering ideelle p.t. for å kunne ivareta en nasjonal markedsovervåkningsrolle.

Vi fraråder i utgangspunktet å etablere et nytt organ – både fordi det er så stor usikkerhet om omfang og innhold i det nasjonale tilsynet, fordi det vil være krevende å rekruttere nødvendig kompetanse, i hvert fall på kort sikt, og fordi det vil bli svært kostbart. Det gjelder særlig hvis det viser seg at en har «bommet» på omfang eller kompetansesammensetning. En voksende oppmerksomhet på KIs inntog i forvaltningen og samfunnet for øvrig gjør at kompetanseheving på området allerede er i gang mange steder – med tilhørende kapasitetsutfordringer.

Med mye usikkerhet rundt organisering, ansvar, omfang og oppgaver vil det sannsynligvis være mer fleksibelt å knytte seg til eksisterende fagmiljøer enn å bygge opp noe helt nytt. Det kan her tilføyes at den tverrdepartementale arbeidsgruppa hadde en tilsvarende vurdering, dvs. de rådet til å bygge på et eksisterende organ (Arbeidsgrupperapport 2023, s. 20).

Det er også ofte både kostbart og krevende å flytte ansvarsområder fra eksisterende tilsyn til et nytt organ, særlig hvis dette medfører geografisk flytting av arbeidssted, jf. blant annet Asplan Viaks evaluering av utflytting av tilsyn fra 2009.32 Vi anbefaler derfor at de nye KI-funksjonene i utgangspunktet legges til et eksisterende organ, men som omtalt i kapittel 4.4.1, at organiseringen tas opp til en ny vurdering etter noen års erfaring. Blant annet bør det vurderes om det er mer hensiktsmessig å skille ut og i større grad samle tilsyn med KI, eventuelt også andre EU-tilsynsfunksjoner, på ett sted.

Gitt denne anbefalingen vil de organisatoriske løsningene vi anbefaler, slik vi ser det, ikke medføre omfattende strukturelle endringer. Det kan gjøre det lettere å innføre eventuelle endringer på et senere tidspunkt når vi vet mer om hvordan alternative organisatoriske løsninger fungerer.

4.4.3 Kontaktpunkt- og koordineringsrollen bør legges til Nkom

Vi anbefaler at rollen som kontaktpunkt og markedsovervåkingsorgan legges til Nkom, og at Nkom gjennom dette får ansvaret for oppgavene som er beskrevet i kapittel 4.2.1. I tillegg til kontaktpunktrollen og koordineringsfunksjonen, får Nkom, med mindre noe annet ikke besluttes av overordnede myndigheter, ansvar for ivaretakelse av tilsyn som ikke tilligger andre markedsovervåkingsmyndigheter, jf. forordningens Annex I og III, samt veiledning og informasjon om forordningen til andre interessentgrupper.

Nkom er et sektortilsyn som har erfaring med produktsikkerhetstilsyn på områder tilknyttet digitale kommunikasjons- og internettløsninger og systemer. De vil, slik vi forstår det, i utgangspunktet kunne være operative i tilsynsfunksjon fra etableringstidspunktet. Selv om det er usikkert hvor mange og hvor omfattende tilsyn det er snakk om i første omgang, er dette en fordel sammenlignet med Digdir og Datatilsynet. Nkom har mulighet til å utnytte eksisterende kapasitet og kompetanse, mens både Datatilsynet og Digdir i større grad må bygge opp eller få tilført kompetanse knyttet til tilsyn med produktsikkerhet.

Nkoms utvidede rolle på datalagringsområdet og eventuelt et ansvar for å koordinere EUs digitale tjenesteforordning (DSA), vil sannsynligvis bidra til å styrke Nkoms tverrsektorielle og samordningskompetanse. Ny ekomlov fremhever at det blir en styrking både av markedsreguleringen og forbrukerrettighetene.

Datatilsynet og Digdir har begge betydelig juridisk kompetanse og mye erfaring med informasjons- og veiledningsarbeid. I tillegg har Datatilsynet omfattende erfaring med tilsynsarbeid, mens Digdir utmerker seg med mye teknologisk kompetanse. Selv om Digdir har ansvar for tilsyn på UU-området, kan de likevel ikke karakteriseres som en tilsynsorganisasjon. Både Digdir og Datatilsynet har begrenset erfaring med produktsikkerhetstilsyn knyttet til digitale systemer og løsninger. Særlig Digdir har også begrenset erfaring med og kunnskap om leverandørsiden og -markedet. Det er heller ikke sikkert at Datatilsynet og/eller Digdir pekes ut som markedsovervåkningsmyndighet etter KI-forordningen, jf. føringene som er gitt i forordningens Annex I og III.

Hvis Digdir velges som markedsovervåknings- og koordineringsorgan, vil det etter vår vurdering være en konflikt mellom rollen som tilsynsorgan og rollen som leverandør av fellestjenester og -komponenter. Dette taler mot Digdir, særlig fordi Digdirs portefølje som leverandør av felleskomponenter utgjør en betydelig del av Digdirs totale virksomhet, og fordi Digdir vil være et pliktsubjekt dersom de utvikler egne KI-løsninger på felleskomponentområdene. Som det fremgår av kap. 4.3.3, synes det lite aktuelt å skille ut arbeidet med felleskomponenter. Det forsterker vår vurdering av at Digdirs ulike roller vil kunne utgjøre en interessekonflikt.

Et annet forhold som bør tas med i vurderingen dersom tilsynsfunksjonen skulle legges til Digdir, er hva det vil si for utviklingen av Digdir på sikt – hvilken rolle og profil bør Digdir ha i digitaliseringsarbeidet? Hvis et hovedformål med Digdir er å være en premissgiver for digitalisering og helhetlig informasjonsforvaltning, og å være en tydelig stemme både opp til departementet, ut mot forvaltningen og i allmennheten, kan det stilles spørsmål om det er hensiktsmessig for organisasjonen å legge økt vekt på tilsyn og kontroll. Det vil i større grad føre til at virksomheten får en mer kritisk profil utad, jf. de tilbakemeldingene vi har fått om Datatilsynets rolle og posisjon.

Datatilsynet er en tilsynsorganisasjon, men har lite erfaring med produktsikkerhetstilsyn. Dette er kompetanse tilsynet må bygge opp hvis de får ansvar for tilsyn etter KI-forordningen på områder hvor uavhengighet er særlig viktig, dvs. for biometriske systemer knyttet til rettshåndheving, grensekontroll og domstoler, men så langt er det ikke besluttet at/om Datatilsynet vil få en slik rolle.

Så lenge Datatilsynet har en så sterk og tydelig rolle på personvernområdet, vil det etter vår vurdering være krevende for dem å oppnå tilstrekkelig troverdighet i rollen som en balansert markedsovervåkningsmyndighet på KI-området. Dette gjelder uavhengig av at Datatilsynet de siste årene har tonet ned ombudsrollen de tidligere har hatt. Over tid kan likevel endringer i KI-forordningen og/eller personvernlovgivningen medføre at dette endrer seg.

4.4.4 Veiledning og informasjon om KI-forordningen er særlig viktig de første årene

Nkom, Digdir og Datatilsynet bør få i oppgave å samarbeide om informasjon og veiledning om KI og KI-forordningen

Som kontaktpunkt og koordinerende markedsovervåkningsorgan vil Nkom ha et overordnet ansvar for informasjon og veiledning om KI-forordningen. Opplistingen av mulige oppgaver i pkt. 4.2.1 viser at informasjon og veiledning består av ulike oppgaveområder. En sentral oppgave vil være å koordinere og legge til rette for samarbeid med de andre tilsyns-myndighetene, herunder veilede og bistå mindre erfarne markedsovervåkningsmyndigheter i den praktiske gjennomføringen av tilsyn med produktsikkerhetsregelverk. Informasjon og veiledning om KI, veiledning til operatører/leverandører, og drifting av en regulatorisk sandkasse er andre viktige veiledningsoppgaver.

De ulike informasjons- og veiledningsoppgavene antas å være mest tid- og ressurskrevende de første årene. Selve tilsynsfunksjonen vil trolig ha tilsvarende lite omfang de første årene, for deretter å øke i omfang og betydning. Dette sammenfaller godt med erfaringene Datatilsynet gjorde seg ved innføringen av personvernforordningen i 2018. De prioriterte da veiledning om regelverket de første årene.

Nkom har en veiledningsrolle ved at de gir råd og veiledning innenfor sine ansvarsområder og samarbeider bredt med andre myndigheter både nasjonalt og internasjonalt, særlig på risiko- og beredskapsområdet. Nkom vil etter vår vurdering ha gode forutsetninger for informasjon og veiledning knyttet til koordineringsrollen overfor de øvrige markeds-overvåkningsorganene, sannsynligvis også informasjon og veiledning til operatører/-leverandører om standarder og kravene som følger av disse. Nkom har imidlertid langt mindre erfaring med tverrsektoriell informasjon og veiledning overfor brukere/interessenter som omfattes av KI-forordningen, og/eller som ikke er direkte knyttet til gjennomføring av tilsyn.

Nkom har mye veiledningskompetanse på produktsikkerhetstilsyn og tilsyn med digitale produkter og tjenester. Datatilsynet har mye kompetanse på informasjon og veiledning knyttet til innføring av EU-regelverk rettet både mot offentlig og privat sektor, samt erfaringer med drift og organisering av sandkasse med flere KI-prosjekter. Digdir har mye kompetanse på digitalisering og innovasjon generelt og på KI og KI-forordningen spesielt. Selv om Digdirs informasjonsvirksomhet primært har vært rettet mot offentlig sektor, er mye av kompetansen og veiledningsmaterialet sannsynligvis også relevant for næringslivet og allmennheten.

Det er viktig at informasjon og veiledning på KI-området er godt samordnet og at det etableres systemer for informasjonsflyt og -samarbeid. For å sikre dette, særlig de første årene, mener vi det er viktig å bygge på og utnytte eksisterende kompetansemiljøer og deres komparative fortrinn. Vi anbefaler derfor at Nkom, Digdir og Datatilsynet får i oppgave å samarbeide om informasjon og veiledning om KI. De må i fellesskap finne fram til en hensiktsmessig oppgavedeling.

Et sentralt mål med den foreslåtte organisering er å sikre en omforent og samordnet veilednings- og rådgivningstjeneste. Etter vår vurdering vil det ha stor effekt dersom sentrale aktører på digitaliseringsområdet etablerer gode og konstruktive samarbeidsrelasjoner. Et pålagt samarbeid mellom virksomheter med ulikt ståsted vil etter vårt syn kunne bidra til mer omforente veilednings- og rådgivningstjenester.

Samarbeidet bør omfatte etablering og drift av en regulatorisk sandkasse

Også den regulatoriske sandkassen bør etter vår vurdering være et samarbeidsprosjekt, jf. Danmark der den regulatoriske sandkassen for KI-forordningen og GDPR skal administreres av Digitaliseringsstyrelsen og Datatilsynet i fellesskap.33 Tilsvarende har Sverige besluttet å etablere en pilot for en KI-regulatorisk sandkasse som et samarbeidsprosjekt mellom Bolagsverket, Skatteverket, Arbetsförmedlingen og Integritetsskyddsmyndigheten (tilsvarende Datatilsynet).34 Selv om en sandkasse etter KI-forordningen har et annet formål og andre krav enn sandkassen etter personvernforordningen, bør erfaringen med å etablere og drifte en sandkasse utnyttes også her. Det vil i tillegg være naturlig å involvere den koordinerende markedsovervåkningsmyndigheten (Nkom) i en sandkasse, slik at deres erfaringer kan brukes aktivt inn i sandkassearbeidet og omvendt.

Vi vet fra intervjuene at det er sannsynlig at det kan oppstå spenninger mellom ulike hensyn og regelverk, eksempelvis mellom KI-regelverket og annet, mer rettighetsbasert, regelverk – som personvernforordningen. Et sandkassesamarbeid kan bidra til felles kompetanse om muligheter og begrensninger som følger av KI-regelverket - og personvernregelverket - og gjennom det også til bedre og mer samordnet informasjon og veiledning ut mot produsenter, leverandører og ulike brukergrupper.

Det bør etableres et brukerråd knyttet til informasjons- og veiledningsfunksjonen

Vi anbefaler også at det som en del av denne felles informasjons- og veiledningsfunksjonen etableres et brukerråd der representanter for de ulike interessentene kan diskutere veilednings- og informasjonsbehov og behov knyttet til implementering og etterlevelse av KI-forordningen. Vi vil særlig understreke behovet for å trekke inn kommunene, men også representanter for forbrukere, næringsliv / små og mellomstore bedrifter, likestillings- og diskrimineringsinteresser m.fl. bør inngå i et slikt råd.

De tre virksomhetene bør få i oppgave å foreslå hvordan det konkrete samarbeidet bør organiseres, koordineres og ressurssettes

Det må utredes nærmere hvordan et slikt samarbeid bør organiseres og ressurssettes, jf. igjen Danmark der Digitaliseringsstyrelsen og Datatilsynet har fått i oppgave å finne fram til en egnet organisering. Vi anbefaler i utgangspunktet at de tre samarbeidspartnerne i fellesskap får i oppgave å finne gode løsninger på dette, inklusive hva dette vil kreve av ressursbruk hos de ulike virksomhetene. Siden alle de tre virksomhetene hører inn under DFD, kan det være hensiktsmessig å legge inn en felles og lik føring om dette i tildelingsbrevene til de tre virksomhetene. 

Hvis en slik løsning ikke lar seg gjennomføre, kan et alternativ være at Nkom rekrutterer/kjøper/låner kompetanse som gjør dem i stand til å ivareta informasjons- og veiledningsfunksjonen alene. Et annet alternativ kan være å overføre pemanent informasjons- og breddekompetanse fra andre statlige virksomheter og miljøer som har denne typen kompetanse i dag.

Det vil uansett være krevende å fastsette en entydig og klar rolle- og ansvarsdeling mellom de ulike virksomhetenes veilednings- og informasjonsansvar så lenge de alle vil ha oppgaver og ansvar i tilknytning til digitalisering og dermed også KI. Rolle- og ansvarsdeling på dette området må derfor måtte vurderes nærmere når den overordnede rolle- og ansvars-fordelingen er på plass, og det er høstet erfaring med nye roller og funksjoner.

Fotnoter

14https://www3.weforum.org/docs/WEF_Future_of_Jobs_2023.pdf

15https://www.ssb.no/teknologi-og-innovasjon/informasjons-og-kommunikasjonsteknologi-ikt/statistikk/digitalisering-og-ikt-i-offentlig-sektor

17https://www.vestforsk.no/sites/default/files/2023-03/VFrapport7_2022_KI_i_offentlig_sektor.pdf

18DFØ-rapport 2022:5 Færre og bedre – en evaluering av statsforvalterstrukturen

19https://nifu.brage.unit.no/nifu-xmlui/bitstream/handle/11250/2646485/NIFUrapport2019-30.pdf?sequence=1&isAllowed=y

20Prop. 1 S. (2023-2024)

21KS/Sopra Steria: Barrierer og muligheter i kommunal sektors arbeid med KI

22Samordningspunkt for markedstilsyn (SLO) i henhold til EUs markedstilsynsforordningen ligger hos Direktoratet for samfunnssikkerhet og beredskap (DSB). SLO skal bidra til erfarings- og kunnskaps-deling på tvers av myndigheter om generelt markedstilsyn, nasjonalt og internasjonalt. SLO skiller seg fra koordineringen av markedstilsyn i henhold til KI-forordningen, som utelukkende skal koordinere tilsyn av produkter som benytter kunstig intelligens.

23Generativ kunstig intelligens i Norge - Teknologirådet (teknologiradet.no)

24Hovedinstruks for datatilsynet

25Rapport Datatilsynet: Evaluering av sandkassa

26Datatilsynets årsrapport for 2023

27Hovedinstruks digitaliseringsdirektoratet

28På eID-området samarbeider Digdir med Nkom om krav til leverandører av markedsbaserte eID og har en formell rolle knyttet til notifisering av eID til EU. Dette innebærer et slags teknisk tilsyn med eID-leverandørene.

29NOKUT akkrediterer master i rettsvitskap ved UiA og UiS | Nokut

30Personvernundersøkelsen 2024 - tall og trender | Datatilsynet

31En inre marknad för digitala tjänster – ansvarsfördelning mellan myndigheter, SOU 2023:2

32Tilsynsevaluering_komparativ.pdf

33Regulatorisk sandkasse (datatilsynet.dk)

34https://www.imy.se/nyheter/imy-deltar-i-pilotprojekt-for-ai-regulatorisk-sandlada/

Oppdatert: 22. august 2024

DFØ-rapport 2024:9 Forvaltningsstruktur for KI-ordningen

Skriv ut / lag PDF

Forord

Sammendrag

Våre anbefalinger kan oppsummeres som følger:

1. Innledning

1.1 Bakgrunn

1.2 Mål og mandat

1.3 Innfallsvinkel og avgrensninger

Organisering av tilsynsfunksjonen:

Organisering av akkrediteringsfunksjonen

Organisering av klageordningen:

Finansieringsmodeller

1.4 Metode

1.5 Leseveiledning

Ordliste

Fotnoter

2. KI-forordningen og håndhevingsstruktur

2.1 Kort om KI-forordningen

2.2 Håndheving av KI-forordningen

Den første delen gjelder utvikling av KI-produkter som skal slippes på EUs indremarked

Den andre delen gjelder overvåking av KI-produkter på markedet

2.3 Krav med betydning for utpekingen av myndigheter som skal håndheve KI-forordningen

Krav til uavhengighet

Krav til kompetanse

Krav om sandkasse

«Notifying authority» og markedsovervåkningsmyndighet kan plasseres i samme organ

«Notified bodies» som direkte utpekes i KI-forordningen og «notifying authorities» kan ikke plasseres i samme organ

Fotnoter

3. Organisering av KI-forvaltnings-apparatet i andre EU-/EØS-land

Fotnoter

4. Tilsyn med KI-forordningen

4.1 Tilsyn som forvaltningsfunksjon

Generelt om organisering av forvaltningsoppgaver

Tilsyn kan sees som en av statsforvaltningens hovedfunksjoner

4.2 Spesielt om premisser i KI-forordningen

4.2.1 Ulike typer KI-kompetanse er en utfordring

4.2.2 Mulige oppgaver for rollen som kontaktpunkt og koordinerende markedsovervåkningsmyndighet

4.2.3 Mange av dagens tilsynsorganer vil få utvidet ansvar

Minst 12 av dagens tilsyn vil få utvidet ansvar etter KI-forordningen

Både tilsynsorganer og tilsynsobjekter vil ha stort behov for støtte og veiledning

Er det behov for et uavhengig fagråd?

4.3 Drøfting av mulig koordinerende markedsovervåkningsmyndighet

4.3.1 Nytt organ som koordinerende markedsovervåkningsmyndighet

Etablering av et nytt organ åpner for skreddersøm

Grad av uavhengighet kan tilpasses kravene i forordningen – og etablert praksis

Et nytt organ vil kunne få en klar og entydig rolle

Svært utfordrende å rekruttere nødvendig kompetanse på kort sikt, gitt stor usikkerhet om behov og omfang

Det tar tid og er kostnadskrevende å etablere og bygge opp en helt ny virksomhet

Stor usikkerhet om oppgaveomfang og kompetansesammensetning gjør alternativet krevende å gjennomføre, men det vil være fleksibelt mht. nye oppgaver

Oppsummert: Et nytt organ er en formålseffektiv løsning, men det er knyttet stor usikkerhet til kompetansesammensetning, tidsløp og kostnader

4.3.2 Datatilsynet som koordinerende markedsovervåkningsmyndighet

Datatilsynet vil kunne erfare motsetning mellom formålet knyttet til personvern-lovgivningen og formålet med KI-forordningen

Datatilsynet har en lovfestet uavhengighet i personvernsaker, men må ikke ha det i KI-sammenheng

Flere er skeptiske til Datatilsynet som koordinerende markedsovervåkningsmyndighet

Datatilsynet har mye juridisk kompetanse og tilsynserfaring, spesielt på personvern og databehandling, men mer begrenset KI-kompetanse og erfaring med produkttilsyn

For en relativt liten organisasjon med begrensede ressurser vil KI-oppgaver kreve tilleggsressurser

Oppsummert: Til tross for mye og god kompetanse vil Datatilsynets personvernrolle utfordre tilliten til tilsynet som en nøytral markedsovervåkningsmyndighet

4.3.3 Digdir som koordinerende markedsovervåkningsmyndighet

Digdirs pådriverrolle knyttet til digitalisering, innovasjon og effektivitet er i overensstemmelse med hovedformålet for KI-forordningen

Digdir er underlagt politisk styring

Digdirs rolle som felleskomponentleverandør kan komme i konflikt med rollen som et sterkt og troverdig tilsynsorgan

Digdir har mye informasjons- og veiledningskompetanse, men lite praktisk tilsynskompetanse – med noen unntak

Nye oppgaver vil kreve ekstra ressurser

Digdir har en fleksibel organisering som gjør det mulig å flytte kompetanse på relativt kort varsel

Oppsummert: Digdir har mye relevant KI-kompetanse, men det er ikke en tilsynsetat, og noen av Digdirs øvrige roller kan medføre interessekonflikt

4.3.4 Nkom som koordinerende markedsovervåkingsmyndighet

Nkoms primære formål er å sikre innovasjon og god konkurranse på ekom-området, inklusive trygg og sikker bruk av internett

Nkom er underlagt politisk styring

Nkom har ulike roller uten at de synes å medføre større rollekonflikter

Nkom er et produktsikkerhetstilsyn med mye teknologisk, juridisk og standardiserings-kompetanse, men med mindre tverrsektoriell og veiledningskompetanse

Gebyrfinansiering av KI-tilsyn kan utfordre likebehandling

Mange nye oppgaver parallelt kan utfordre Nkoms kapasitet

Oppsummert: Nkoms store styrke er deres erfaring med og kompetanse på produkttilsyn med digitale tjenester og produkter

4.4 Anbefalt organisering - koordinerende markedsovervåkningsmyndighet

4.4.1 Valgt løsning bør vurderes på nytt når det er høstet mer erfaring

Umodenhet og usikkerhet gjør det vanskelig å gi klare anbefalinger

I våre anbefalinger ser vi tilsynsfunksjonen som den mest sentrale oppgaven

Lokalisering av nye statlige arbeidsplasser må utredes og vurderes

4.4.2 Etablering av et nytt organ frarådes

4.4.3 Kontaktpunkt- og koordineringsrollen bør legges til Nkom

4.4.4 Veiledning og informasjon om KI-forordningen er særlig viktig de første årene

Nkom, Digdir og Datatilsynet bør få i oppgave å samarbeide om informasjon og veiledning om KI og KI-forordningen

Samarbeidet bør omfatte etablering og drift av en regulatorisk sandkasse

Det bør etableres et brukerråd knyttet til informasjons- og veiledningsfunksjonen

De tre virksomhetene bør få i oppgave å foreslå hvordan det konkrete samarbeidet bør organiseres, koordineres og ressurssettes

Fotnoter

5. Akkrediteringsfunksjonen

5.1 Generelt om akkreditering

5.2 Spesielt om akkreditering etter KI-forordningen

5.3 Anbefalt organisering - akkreditering

Fotnoter

6. Klagebehandling

6.1 Krav til organisering

Krav om totrinnsbehandling legger føringer for organisering av klagebehandling

Implementering av nye EU-regelverk tilsier ofte etablering av klagenemnd

Horisontalt: Klagebehandling sentralt eller desentralt

Vertikalt: overordnet organ eller klagenemnd

6.2 Anbefalt organisering - klagebehandling

7. Kostnader med budsjettvirkning

7.1 Kostnader for forvaltningsapparatet på kort og lang sikt

7.2 Vurdering av økonomiske og administrative konsekvenser

Fotnoter

Litteraturliste

Vedlegg 1: Datainnsamling og metode

Dokumentstudier

Intervjuer

Andre datakilder

Svakheter og begrensinger i datagrunnlaget

Fotnoter

Vedlegg 2: Beskrivelse og analyse av utvalgte deler av KI-forordningen

1. Nasjonale kompetente myndigheter

1.1 Hva er nasjonale kompetente myndigheter?

1.2 Nærmere om markedsovervåkningsmyndigheter

1.2.1 Organisering

1.2.2 Oppgaver

Markedsovervåkningsmyndighetens oppgaver
Hvordan skal markedsovervåkningsmyndighetene forholde seg til standarder?
Markedsovervåkningsmyndighetenes fullmakter

1.2.3 Utpeking av "single point of contact"

1.3 Nærmere om "notifying authority"

1.3.1 KI-forordningens krav til oppgaver og organisering

1.3.2 Organisering av "notifying authority" etter eksisterende produktsikkerhetsregelverk

1.4 Krav til uavhengighet for nasjonale kompetente myndigheter

1.4.1 Omfanget av uavhengigskravet

1.4.2 Hvilke bindinger skal det sikres uavhengighet fra?

1.4.3 Et praktisk utgangspunkt for uavhengighet

1.5 Særlige spørsmål i forholdet mellom markedsovervåkingsmyndigheter og "notifying authority"

1.5.1 Kan samme myndighet være både markedsoverføringsmyndighet og "notifying authority"?

1.5.2 Særlig om forholdet mellom "notifying authority" og "notified bodies" som er direkte utpekt i KI-forordningen

2 Myndigheter for beskyttelsen av fundamentale rettigheter

Fotnoter

Fant du det du lette etter?

Nei

Det beklager vi!

Tilbakemeldingen din er anonym og vil ikke bli besvart. Vi bruker den til å forbedre nettsidene. Hvis du vil ha svar fra oss, ta kontakt på telefon, e-post eller kundesenter på nett.