Datagrunnlaget for denne rapporten består primært av dokumentstudier og intervjuer.
Dokumentstudier
Pr. august 2024 gjenstår det fremdeles regelverkstekniske endringer før forordningen formelt kan vedtas av EU. Rapportens kapittel 2: KI-forordningen og Vedlegg 2: Beskrivelse og analyse av forordningen er i hovedsak skrevet på grunnlag av et juridisk dokumentstudium av forordningens foreløpig siste versjon av 2.2.2024.40 Andre nye rettsakter fra EU med grenseflate mot KI-forordningen har videre vært viktig for å forstå konteksten og helheten i EUs regulering av det digitale området. I tillegg baserer disse delen av rapporten seg på andre notater og dokumenter skrevet i forbindelse med og som supplement til forordningens versjoner.
Rapporten baserer seg også på dokumenter og rapporter om organiseringen av tilsyn og særtrekkene ved ulike typer tilsyn, akkrediteringsordninger og klagebehandling. Både nasjonale og internasjonale dokumenter som kartlegger hensyn som skal ivaretas i forbindelse med regulering av KI spesielt, er også gjennomgått.
Intervjuer
Det har vært viktig for prosjektet å få frem synspunkter og vurderinger om håndhevingen av KI-forordningen fra sentrale interessenter. Vi har sendt ut vel 37 intervjuhenvendelser og gjennomført til sammen 24 intervjuer med representanter fra ulike interessentgrupper; rammesettere, ulike typer tilsyn, KI-produsenter og -brukere.
Vi har sendt ut vel 37 intervjuhenvendelser og gjennomført til sammen 24 intervjuer med representanter fra ulike interessentgrupper; rammesettere, ulike typer tilsyn, KI-produsenter og -brukere. Tabell 2 under viser hvilke organisasjoner vi har intervjuet.
| Gruppe | Organisasjon |
| Rammesettere | Digitaliserings- og forvaltningsdepartementet |
| Helse- og omsorgsdepartementet | |
| Energidepartementet | |
| Helsedirektoratet | |
| Kunnskapsdepartementet | |
| Kulturdepartementet | |
| Tilsyn og andre forvaltningsorganer | Forbrukertilsynet |
| Datatilsynet | |
| Finanstilsynet | |
| Havindustritilsynet* | |
| Direktoratet for medisinske produkter | |
| Digitaliseringsdirektoratet | |
| Helsedirektoratet | |
| Utdanningsdirektoratet | |
| Nasjonal kommunikasjonsmyndighet | |
| Norsk akkreditering | |
| Likestillings- og diskrimineringsombudet | |
| DNV** | |
| Digitaliseringsministeriet i Danmark | |
| Brukergrupper | KS |
| Abelia | |
| IKT-Norge | |
| Oslo Origo | |
| Produsenter | Microsoft Norge |
*Havindustritilsynet har besvart spørsmålene skriftlig
**DNV er plassert her i gruppen berørte myndigheter i kraft av å være aktuell tredjeparts kontrollorgan
Intervjuene har vært semistrukturerte i formen og tatt utgangspunkt i en overordnet intervjuguide.
Intervjuer gir oss mulighet til å innhente synspunkter og erfaringer fra interessenter med ulike ståsteder. Funn og synspunkter som kommer fram i intervjuene er viktig som grunnlag i en drøfting av de ulike alternativene. Samtidig er det viktig å være klar over at de vi intervjuer representerer ulike interesser og ståsteder. Det gjør at undertemaene i intervjuene nødvendigvis har variert, og at informasjonen fra intervjuene må analyseres og ses i sammenheng med interessentenes ulike mål og ståsteder.
Andre datakilder
I tillegg til dokumentstudier og intervjuer har prosjektet deltatt på to internasjonale møter der KI-forordningen og organiseringen av forvaltningsapparat for håndheving av den har vært tema. Ett møte var i regi av den Nordisk-Baltiske arbeidsgruppen for reguleringssaker (Nobareg) og ett i regi av en europeisk arbeidsgruppe for kompetente myndigheter på KI. Disse møtene har vært viktig for å høre om arbeidet som foregår med etableringen av forvaltningsstruktur for håndheving av KI-forordningen i Norden, Baltikum og andre steder i Europa og hvilke hensyn som trekkes frem som viktige å ivareta i vurderingene.
DFØ, tidligere Difi og Statskonsult, har gjennom mange år bygd opp kompetanse på og gitt råd om forvaltningens organisering og virkemåte, jf. blant annet oversikt over rapporter og notater på DFØs hjemmesider (https://dfo.no/rapporter). Denne typen erfaringsbasert forvaltningskunnskap er særlig viktig i drøfting av ulike organisatoriske styrker og svakheter.
Svakheter og begrensinger i datagrunnlaget
Flere aspekter setter begrensninger for nytten i datagrunnlaget for denne rapporten. For det første avdekket intervjuene at store deler norsk forvaltning må karakteriseres som umodne mht. KI og KI-forordningen. Selv om vi har intervjuet representanter for ulike interessentgrupper, kan vi heller ikke si at de utgjør et representativt utvalg. Dette gjør at de innsamlede dataene gir prosjektet få veloverveide vurderinger av hvilke hensyn interessentgruppene mener er viktig i etableringen av forvaltningsstrukturen på området. Det blir også vanskelig å veie de ulike interessentgruppenes vurderinger opp mot hverandre. Intervjumaterialet er derfor primært brukt for å kartlegge interessentenes tidligere erfaringer med tilsyn, overordnede synspunkter på regulering av KI og nåsituasjonen med tanke på kompetanse og ressurser. Der det henvises til intervjudata, gjøres det kun på et aggregert nivå.
For det andre foreligger det lite dokumentasjon av reelle alternativer for etablering av forvaltningsstruktur for håndheving av KI-forordningen internasjonalt. Dette handler trolig om at den samme umodenheten som er å spore i norsk forvaltning, også er til stede internasjonalt. Foruten eksemplene i rapportens kapittel 3: Hva tenker og gjør andre land?, er det vår erfaring at andre land ikke har kommet mye lenger enn Norge i tenkningen om hvilke myndigheter som burde få en sentral rolle i forvaltningsstrukturen.
Fotnoter
DFØ-rapport 2024:9 Forvaltningsstruktur for KI-ordningen
Forord
2. KI-forordningen og håndhevingsstruktur
2.1 Kort om KI-forordningen
2.2 Håndheving av KI-forordningen
Den første delen gjelder utvikling av KI-produkter som skal slippes på EUs indremarked
Den andre delen gjelder overvåking av KI-produkter på markedet
2.3 Krav med betydning for utpekingen av myndigheter som skal håndheve KI-forordningen
Krav til uavhengighet
Krav til kompetanse
Krav om sandkasse
«Notifying authority» og markedsovervåkningsmyndighet kan plasseres i samme organ
«Notified bodies» som direkte utpekes i KI-forordningen og «notifying authorities» kan ikke plasseres i samme organ
Fotnoter
3. Organisering av KI-forvaltnings-apparatet i andre EU-/EØS-land
Fotnoter
4. Tilsyn med KI-forordningen
4.1 Tilsyn som forvaltningsfunksjon
Generelt om organisering av forvaltningsoppgaver
Tilsyn kan sees som en av statsforvaltningens hovedfunksjoner
4.2 Spesielt om premisser i KI-forordningen
4.2.1 Ulike typer KI-kompetanse er en utfordring
4.2.2 Mulige oppgaver for rollen som kontaktpunkt og koordinerende markedsovervåkningsmyndighet
4.2.3 Mange av dagens tilsynsorganer vil få utvidet ansvar
Minst 12 av dagens tilsyn vil få utvidet ansvar etter KI-forordningen
Både tilsynsorganer og tilsynsobjekter vil ha stort behov for støtte og veiledning
Er det behov for et uavhengig fagråd?
4.3 Drøfting av mulig koordinerende markedsovervåkningsmyndighet
4.3.1 Nytt organ som koordinerende markedsovervåkningsmyndighet
Etablering av et nytt organ åpner for skreddersøm
Grad av uavhengighet kan tilpasses kravene i forordningen – og etablert praksis
Et nytt organ vil kunne få en klar og entydig rolle
Svært utfordrende å rekruttere nødvendig kompetanse på kort sikt, gitt stor usikkerhet om behov og omfang
Det tar tid og er kostnadskrevende å etablere og bygge opp en helt ny virksomhet
Stor usikkerhet om oppgaveomfang og kompetansesammensetning gjør alternativet krevende å gjennomføre, men det vil være fleksibelt mht. nye oppgaver
Oppsummert: Et nytt organ er en formålseffektiv løsning, men det er knyttet stor usikkerhet til kompetansesammensetning, tidsløp og kostnader
4.3.2 Datatilsynet som koordinerende markedsovervåkningsmyndighet
Datatilsynet vil kunne erfare motsetning mellom formålet knyttet til personvern-lovgivningen og formålet med KI-forordningen
Datatilsynet har en lovfestet uavhengighet i personvernsaker, men må ikke ha det i KI-sammenheng
Flere er skeptiske til Datatilsynet som koordinerende markedsovervåkningsmyndighet
Datatilsynet har mye juridisk kompetanse og tilsynserfaring, spesielt på personvern og databehandling, men mer begrenset KI-kompetanse og erfaring med produkttilsyn
For en relativt liten organisasjon med begrensede ressurser vil KI-oppgaver kreve tilleggsressurser
Oppsummert: Til tross for mye og god kompetanse vil Datatilsynets personvernrolle utfordre tilliten til tilsynet som en nøytral markedsovervåkningsmyndighet
4.3.3 Digdir som koordinerende markedsovervåkningsmyndighet
Digdirs pådriverrolle knyttet til digitalisering, innovasjon og effektivitet er i overensstemmelse med hovedformålet for KI-forordningen
Digdir er underlagt politisk styring
Digdirs rolle som felleskomponentleverandør kan komme i konflikt med rollen som et sterkt og troverdig tilsynsorgan
Digdir har mye informasjons- og veiledningskompetanse, men lite praktisk tilsynskompetanse – med noen unntak
Nye oppgaver vil kreve ekstra ressurser
Digdir har en fleksibel organisering som gjør det mulig å flytte kompetanse på relativt kort varsel
Oppsummert: Digdir har mye relevant KI-kompetanse, men det er ikke en tilsynsetat, og noen av Digdirs øvrige roller kan medføre interessekonflikt
4.3.4 Nkom som koordinerende markedsovervåkingsmyndighet
Nkoms primære formål er å sikre innovasjon og god konkurranse på ekom-området, inklusive trygg og sikker bruk av internett
Nkom er underlagt politisk styring
Nkom har ulike roller uten at de synes å medføre større rollekonflikter
Nkom er et produktsikkerhetstilsyn med mye teknologisk, juridisk og standardiserings-kompetanse, men med mindre tverrsektoriell og veiledningskompetanse
Gebyrfinansiering av KI-tilsyn kan utfordre likebehandling
Mange nye oppgaver parallelt kan utfordre Nkoms kapasitet
Oppsummert: Nkoms store styrke er deres erfaring med og kompetanse på produkttilsyn med digitale tjenester og produkter
4.4 Anbefalt organisering - koordinerende markedsovervåkningsmyndighet
4.4.1 Valgt løsning bør vurderes på nytt når det er høstet mer erfaring
Umodenhet og usikkerhet gjør det vanskelig å gi klare anbefalinger
I våre anbefalinger ser vi tilsynsfunksjonen som den mest sentrale oppgaven
Lokalisering av nye statlige arbeidsplasser må utredes og vurderes
4.4.2 Etablering av et nytt organ frarådes
4.4.3 Kontaktpunkt- og koordineringsrollen bør legges til Nkom
4.4.4 Veiledning og informasjon om KI-forordningen er særlig viktig de første årene
Nkom, Digdir og Datatilsynet bør få i oppgave å samarbeide om informasjon og veiledning om KI og KI-forordningen
Samarbeidet bør omfatte etablering og drift av en regulatorisk sandkasse
Det bør etableres et brukerråd knyttet til informasjons- og veiledningsfunksjonen
De tre virksomhetene bør få i oppgave å foreslå hvordan det konkrete samarbeidet bør organiseres, koordineres og ressurssettes
Fotnoter
6. Klagebehandling
6.1 Krav til organisering
Krav om totrinnsbehandling legger føringer for organisering av klagebehandling
Implementering av nye EU-regelverk tilsier ofte etablering av klagenemnd
Horisontalt: Klagebehandling sentralt eller desentralt
Vertikalt: overordnet organ eller klagenemnd
6.2 Anbefalt organisering - klagebehandling
7. Kostnader med budsjettvirkning
7.1 Kostnader for forvaltningsapparatet på kort og lang sikt
7.2 Vurdering av økonomiske og administrative konsekvenser
Fotnoter
Litteraturliste
Vedlegg 1: Datainnsamling og metode
Dokumentstudier
Intervjuer
Andre datakilder
Svakheter og begrensinger i datagrunnlaget
Fotnoter
Vedlegg 2: Beskrivelse og analyse av utvalgte deler av KI-forordningen