1. Nasjonale kompetente myndigheter

1.1 Hva er nasjonale kompetente myndigheter?

Det følger av KI-forordningens artikkel 70 nr. 1 at «Each Member State shall establish or designate as national competent authorities at least one notifying authority and at least one market surveillance authority for the purposes of this Regulation. “

I KI-forordningens liste med definisjoner i artikkel 3 er «national competent authorities» definert i nr. 48 slik: “‘national competent authority’ means a notifying authority or a market surveillance authority” Som det fremgår av definisjonen, er alle markedsovervåkningsmyndighetene og «notifying authorities» nasjonale kompetente myndigheter. Det er altså ikke en særlig rolle som skal gis/utpekes til enkelte markedsovervåkningsmyndigheter og «notifying authorities». Dette understøttes av at artikkel 70 nr. 4 og 5 lister opp krav til de kompetente myndighetene, som det er naturlig at gjelder for alle kompetente myndigheter og ikke kun noen særlig utpekte. En av markedsovervåkningsmyndighetene skal imidlertid utpekes til å være et såkalt «single point of contact», jf. artikkel 70 nr. 2 og omtalen av dette i punkt vedlegg 2 punkt 1.2.3.

1.2 Nærmere om markedsovervåkningsmyndigheter

1.2.1 Organisering

Utgangspunktet etter artikkel 70 nr. 1 er at det skal opprettes minst en markedsovervåkningsmyndighet. Artikkel 74 nr. 3 flg. peker imidlertid på en rekke områder hvor eksisterende myndigheter skal fungere som markedsovervåkningsmyndigheter.

Av artikkel 74 nr. 3 fremgår det at myndighetene som har ansvar for markedsovervåkning for områdene som reguleres av EU-rettsaktene opplistet i Annex I seksjon A, også skal være markedsovervåkningsmyndigheter for disse områdene knyttet til KI-forordningen. Dette er blant annet:

• Havindustritilsynet
• Direktoratet for samfunnssikkerhet og beredskap
• Miljødirektoratet
• Sjøfartsdirektoratet
• Tolletaten
• Direktoratet for byggkvalitet
• Nasjonal kommunikasjonsmyndighet
• Statens Jernbanetilsyn
• Arbeidstilsynet
• Direktoratet for medisinske produkter

Av artikkel 74 nr. 6 fremgår det videre at for høyrisiko-KI-systemer som plasseres på markedet, tas i bruk eller brukes av finansinstitusjoner som reguleres av EU-regelverk for finansielle tjenester, skal markedsovervåkningsmyndigheten etter KI-forordningen være den relevante nasjonale myndigheten som har ansvar for tilsyn med disse institusjonene i henhold til dette regelverket. En forutsetning er imidlertid at plasseringen på markedet eller bruken er i direkte sammenheng med levering av de regulerte finansielle tjenestene. For Norge kan det legges til grunn at dette vil være Finanstilsynet.

Av artikkel 74 nr. 8, jf. Annex III fremgår det at markedsovervåkningsmyndigheten for høyrisiko KI-systemer for biometri som skal brukes til rettshåndhevelse, grensekontroll, justis og demokrati, samt systemer som nevnt i Annex III nr. 6, 7 og 8 skal være tilsynsmyndigheten for forordning 2016/679 («personvernforordningen») eller direktiv  2016/680 («personverndirektivet for politi og påtalemyndighet») eller en annen myndighet så lenge denne er underlagt samme kravene i artikkel 41 til 44 i personverndirektivet for politi og påtalemyndighet. Det er kun personvernforordningen som er gjennomført som en del av EØS-avtalen. Personverndirektivet for politi og påtalemyndighet er i Norge gjennomført som en del av Schengen-avtalen. I Norge er Datatilsynet tilsynsmyndighet for begge disse regelverkene. Av artikkel 74 nr. 8 følger det at Datatilsynet eller annen myndighet kan utpekes, såfremt den andre myndigheten er underlagt vilkårene i personverndirektivet for politi- og påtalemyndighet artikkel 41 til 44. Dette tilsier at KI-forordningen anser systemer knyttet til rettshåndhevelse, grensekontroll og domstoler, som systemer hvor det er særlig viktig å oppfylle spesifikke vilkår, herunder krav til uavhengighet, jf. artikkel 42 i personverndirektivet for politi og påtalemyndighet Uavhengig av hvorvidt det er Datatilsynet eller annen myndighet underlagt kravene i personverndirektivet artikkel 41 til 44 som utpekes, er den nøyaktige rekkevidden av hvilke systemer myndigheten skal ha tilsyn med etter KI-forordningen noe uklart ettersom KI-forordningen ikke gjelder for systemer knyttet til nasjonal sikkerhet⁴⁰

eller for områder som ikke er omfattet av EØS-avtalen. Denne myndighetens ansvarsområde i henhold til KI-forordningen i Norge vil derfor i utgangspunktet være de utpekte områdene angitt i artikkel 74 nr. 8, jf. Annex III så fremt dette er systemer som faller innenfor KI-forordningen og EØS-avtalen. Gitt systemene som listes i disse bestemmelsene, kan det her tenkes flere vanskelige grensedragninger. Hvorvidt den respektive myndigheten også skal være tilsynsmyndighet for områder utover EØS-avtalen vil være et nasjonalt anliggende som ikke ligger innenfor dette prosjektets mandat å vurdere.

Medlemsstatene har anledning til å fravike KI-forordningens løsning for markedsovervåkningsmyndigheter og tilpasse dette til nasjonale behov, jf. blant annet artikkel 70 nr. 1, jf. artikkel 74 nr. 4,7 og nr. 8. I denne sammenhengen er det grunn til å understreke at KI-forordningen har litt ulike tilnærminger for valgfrihet:

• Markedsovervåkning knyttet til eksisterende produktsikkerhetsregelverk og finansområdet, jf. artikkel 74 nr. 3, artikkel 74 nr. 6, jf. artikkel 74 nr. 7: For disse områdene oppstiller KI-forordningen en spesifikk modell og utpeker spesifikke myndigheter. Deretter gir den uttrykk for at denne kan fravikes. Utgangspunktet er altså at disse velges, med mindre noe annet skal velges i stedet. Dette tilsier at KI-forordningen har en foretrukket løsning.
• Markedsovervåkning knyttet til “law enforcement purposes, border management and justice and democracy”, jf. artikkel 74 nr. 8: I motsetning til situasjonen for markedsovervåkning knyttet til produktsikkerhetsregelverk og finans, oppstilles det ikke et utgangspunkt som deretter kan fravikes. For dette området oppstilles det flere alternativer forutsatt at de oppfyller visse vilkår. Dette tilsier at det er større valgfrihet og at KI-forordningen i mindre grad har en foretrukket løsning.

Annex III beskriver flere KI-systemer som skal anses som høyrisiko. Med unntak av KI-systemer for biometri som skal brukes til rettshåndhevelse, grensekontroll, justis og demokrati, samt systemer som nevnt i Annex III nr. 6, 7 og 8 (se drøftelsen over), utpeker forordningen ikke direkte noen markedsovervåkningsmyndighet. Enkelte kategorier har grenseflater til områder som omfattes av eksisterende markedsovervåkningsmyndigheter. For eksempel vil systemer under Annex III nr. 4, som omhandler arbeid, arbeidshåndtering og tilgang til selvstendig næringsvirksomhet, trolig i noen grad overlappe med områder under Arbeidstilsynets myndighet.

Samtidig finnes det kategorier som eksempelvis Annex III nr. 5 bokstav a, som omhandler KI-systemer som brukes til å vurdere om individer har rett til offentlige stønader og tjenester, som ikke naturlig dekkes av markedsovervåkningsmyndighetene utpekt i forordningens Annex I seksjon A, jf. artikkel 74 nr. 3. Dersom forordningens struktur følges, vil hver medlemsstat måtte foreta en konkret vurdering hvor markedsovervåkningsmyndighetene utpekt i henhold til Annex I seksjon A, jf. artikkel 74 nr. 3 vurderes opp mot områdene beskrevet i Annex III for å avklare om det finnes områder som ikke dekkes av forordningens utpeking. Deretter må det foretas en vurdering basert på medlemsstatenes organisering for å avgjøre hvordan disse udekkede områdene skal håndteres.

1.2.2 Oppgaver

Markedsovervåkningsmyndighetens oppgaver

Markedsovervåkningsmyndigheten er definert i artikkel 3 nr. 26 som den nasjonale myndigheten som utfører aktiviteter og iverksetter tiltak i tråd med forordning 2019/1020 («Markedstilsynsforordningen»). I markedstilsynsforordningen er markedsovervåkning definert i artikkel 3 nr. 3 som aktiviteter og tiltak utført av markedsovervåkningsmyndigheten for å sikre at produkter samsvarer med kravene i gjeldende regelverk, og for å beskytte samfunnsmessige interesser dekket av regelverket.

Hvordan markedsovervåkningen skal gjennomføres er beskrevet både i KI-forordningen og i markedstilsynsforordningen, men nøyaktige prosedyrer for gjennomføring er ikke spesifisert noe sted. I markedstilsynsforordningen, artikkel 11 nr. 1 og 3, er det imidlertid spesifisert at markedsovervåkningsmyndighetene skal utføre tilstrekkelig tilsyn med produkter som plasseres på markedet. I vurderingen av hva som er tilstrekkelig og hvilke typer tilsyn som skal gjennomføres skal de følge en risikobasert tilnærming som tar hensyn til følgende faktorer:

• Mulige farer og ikke-overholdelse knyttet til produktene
• Aktiviteter og operasjoner som er under den økonomiske aktørens kontroll  
• Den økonomiske aktørens historikk med manglende overholdelse  
• Om relevant, risikoprofilering utført av tollmyndighetene utpekt etter markedstilsynsforordningen artikkel 25 nr. 1
• Klager fra forbrukere og annen informasjon mottatt fra andre myndigheter, økonomiske aktører, medier eller andre kilder som kan tyde på ikke-overholdelse.  

I tillegg til tilsyn skal markedsovervåkningsmyndigheten legge til rette for at fysiske eller juridiske personer som har grunn til å tro at forordningen har blitt brutt, kan sende inn klager i henhold til KI-forordningen artikkel 85 og markedstilsynsforordningen artikkel 11 nr. 7 bokstav a. Markedsovervåkningsmyndighetene skal derfor utvikle prosedyrer for å følge opp slike klager og avviksrapporter.

For å bidra til overholdelse av forordningen kan markedsovervåkningsmyndighetene, i henhold til KI-forordningen art. 70 nr. 8, tilby veiledning om kravene i forordningen, med et særlig vekt på små og mellomstore bedrifter samt oppstartsbedrifter. I dette arbeidet skal de involvere andre relevante myndigheter ved behov, jf. KI-forordningen art. 70 nr. 8. Denne veiledningen bør fungere som et supplement til standardene, for eksempel ved å utfylle eventuelle mangler eller ved å bidra til å avklare hvordan virksomheter skal navigere blant ulike aktører, som markedsovervåkningsmyndigheter, kontrollorganer og lignende.

Hvordan skal markedsovervåkningsmyndighetene forholde seg til standarder?

Ifølge KI-forordningens struktur vil kravene i forordningen hovedsakelig bli møtt gjennom anvendelsen av harmoniserte standarder som det henvises til i Artikkel 40 og i fortalepunkt 117. Det spesifiseres i Artikkel 40 at når høyrisikosystemer eller modeller med flere bruksområder (GPAI) samsvarer med disse standardene, antas det at de oppfyller forordningens krav.

For leverandører innebærer dette i praksis å legge hovedvekt på korrekt forståelse og bruk av de harmoniserte standardene, snarere enn å fortolke selve KI-forordningen. Markedsovervåkningsmyndighetene vil på sin side måtte gjennomføre vurderinger basert på om systemene er i tråd med de standardene som leverandørene oppgir i sine samsvarsvurderinger. Dette vil ofte være tekniske vurderinger som går utover ren teksttolkning av regelverket og omfatter en analyse av ulike testparametre, benchmarking prosesser og andre tekniske rammer relevante for evaluering av et KI-system som anvendes i standardene. 

I situasjoner der leverandører ikke anvender harmoniserte standarder kan det være nødvendig med en mer inngående juridisk tolkning. Gitt at det utvikles robuste harmoniserte standarder, forventes det imidlertid at de fleste leverandører vil foretrekke disse fremfor å selv tolke forordningen direkte, ettersom standardene er utviklet med den hensikt å konkretisere og gjøre det praktisk å oppfylle forordningens krav.

Markedsovervåkningsmyndighetenes fullmakter

Markedsovervåkningsmyndighetene har omfattende fullmakter til å innhente informasjon for å utføre sine oppgaver. Disse fullmaktene er hovedsakelig beskrevet i markedstilsynsforordningen artikkel 14. I henhold til denne kan markedsovervåkningsmyndighetene blant annet kreve relevante dokumenter, tekniske spesifikasjoner, informasjon om verdikjeder og tilgang til uannonserte fysiske inspeksjoner av produkter og virksomheter. Videre kan de, ifølge KI-forordningen artikkel 74 nr.13, kreve tilgang til systemers kildekode, forutsatt at vilkårene i artikkelen er oppfylt.

Dersom et produkt eller en tjeneste ikke er i samsvar med kravene i KI-forordningen, kan markedsovervåkningsmyndighetene ifølge artikkel 16 og 41 i markedstilsynsforordningen pålegge leverandøren å gjennomføre korrigerende tiltak eller ilegge bøter. Summen av bøtene er spesifisert i KI-forordningens artikkel 99 nr. 3, som gir markedsovervåkningsmyndighetene rett til å ilegge bøter på opptil 35 millioner euro eller 7 % av den globale omsetningen, avhengig av hvilket beløp som er høyest.

1.2.3 Utpeking av "single point of contact"

Av artikkel 70 nr. 2 følger det at «Member States shall designate a market surveillance authority to act as the single point of contact for this Regulation”. Det fremgår dermed at myndigheten som utpekes skal være et «market surveillance authority.»

Utover å fastsette at det er en markedsovervåkningsmyndighet som skal fungere som «single point of contact» gir selve teksten i KI-forordningen liten veiledning om krav til, organisering av og oppgaver for «single point of contact». Fortalen gir litt veiledning og i punkt 153 følger det at “In order to increase organisation efficiency on the side of Member States and to set a single point of contact vis-à-vis the public and other counterparts at Member State and Union levels, each Member State should designate a market surveillance authority to act as a single point of contact.” Fortalen gir dermed uttrykk for at en samordnende rolle overfor offentligheten, andre medlemsland og EU-organene er sentralt for «single point of contact».

Markedstilsynsforordningen har ikke operert med et «single point of contact», men med en «single liaison office» (SLO), jf. artikkel 10 nr. 3. Oppgavene til et «singe liaison office» fremgår av artikkel 10 nr. 4 som sier: «The single liaison office shall at least be responsible for representing the coordinated position of the market surveillance authorities and the authorities designated under Article 25(1) and for communicating the national strategies as set out in Article 13. The single liaison office shall also assist in the cooperation between market surveillance authorities in different Member States, as set out in Chapter VI.”

Et viktig poeng i denne sammenheng er at «single point of contact» ikke skal erstatte «singel liaison office» og at markedsovervåkningsmyndighetene for KI-forordningen også vil være underlagt «single liaison office». Disse rollene skal sameksistere. Markedstilsynsforordningen gir derfor begrenset overføringsverdi til «single point of contact» etter KI-forordningen. Single liaison office vil ha ansvaret for generell koordinering etter markedstilsynsforordningen, og oppgavene for single point of contact vil være spesifikke for kunstig intelligens. Den nærmere fordelingen av oppgaver vil trolig måtte vurderes konkret mellom «single point of contact» og «single liaison office».

På EU-nivå skal det opprettes et «European Artificial Intelligence Board», og en oppgave det kan være naturlig at tilligger «single point of contact» er medlemsstatenes representasjon i EAIB. Hver medlemsstat skal ha en representant i «boardet», men KI-forordningen sier ikke spesifikt hvilke myndigheter som skal representere medlemsstatene. Sett i lys av artikkel 65 nr. 4 og 70 nr. 2, er det mye som taler for at dette vil være representanter fra «single point of contact».

KI-forordningens artikkel 74 peker til en rekke myndigheter som skal være markedsovervåkningsmyndigheter for sine respektive områder i henhold til Annex I seksjon A. For Annex III utpekes det i mindre grad aktuelle myndigheter. Dette er nærmere behandlet i vedlegg 2 punkt 1.2.1. Det fremgår ikke hvorvidt «single point of contact» skal ha oppgaver og ansvar for områdene hvor forordningen ikke utpeker en markedsovervåkningsmyndighet. En tilnærming kan være at «single point og contact» får en rolle som en «catch all» og sørger for markedsovervåkning på områder som ikke er dekket i dag. En annen tilnærming er at «single point of contact» sammen med relevante aktører avklarer ansvaret for markedsovervåkning på disse områdene. Fordi KI-forordningen ikke utdyper dette nærmere, vil dette være en konkret vurdering på nasjonalt nivå.

1.3 Nærmere om "notifying authority"

1.3.1 KI-forordningens krav til oppgaver og organisering

Det fremgår av KI-forordningens artikkel 28 nr. 1 at medlemslandene skal opprette eller utpeke minst en «notifying authority». Tilsvarende følger også av artikkel 70 nr. 1.

«Notifying authority» skal være ansvarlig for å sette opp og gjennomføre nødvendige prosedyrer for «the assessment, designation and notification of conformity assessment bodies and for their monitoring», jf. artikkel 28 nr. 1, jf. artikkel 3 nr. 19. Prosedyrene skal utvikles i fellesskap mellom alle «notifying authorities» i medlemslandene.

Hvordan søknadsprosessen fra «conformity assessment bodies» og til «notifying authority» skjer og hvilke kriterier «notifying authority» kan vektlegge, følger av KI-forordningens artikkel 29 flg. Særlig relevant er artikkel 31 som setter kravene som en «conformity assessment body» må oppfylle for å kunne være en «notified body».

Det fremgår av artikkel 28 nr. 2 at medlemslandene kan velge å legge oppgavene «assessment» og «monitoring» til nasjonale akkrediteringsmyndigheter i henhold til forordning 765/2008 artikkel 30 nr. 2.  I Norge er dette Norsk akkreditering. KI-forordningen peker kun på «assessment» og «monitoring» som kan tillegges den nasjonale akkrediteringsmyndigheten, og ikke på oppgavene «designation» og «notification». Dette kan tilsi at disse oppgavene ikke kan tillegges en nasjonal akkrediteringsmyndighet. Dette understøttes av forordningens artikkel 28 nr. 4 hvor det fremgår det at oppgaven «notification of conformity assessment bodies» og «the assessment of those bodies» skal gjøres av ulike personer. Fordi kravet ligger på personnivå, tilsier det ikke at rollene må legges til forskjellige myndigheter. Bestemmelsen antyder imidlertid at det ligger en potensiell rollekonflikt i å gjøre begge oppgavene samtidig.

Ettersom ikke alle oppgavene som påligger en «notifying authority» kan gis til en nasjonal akkrediteringsmyndighet, vil utpekingen av «notifying authority» kunne skje gjennom to følgende organiseringer:

1. En nasjonal akkrediteringsmyndighet som Norsk akkreditering gis oppgavene «assessment og monitoring», og en annen myndighet blir «notifying authority» med ansvar for oppgavene «designation» og «notification». Det må opprettes eller utpekes minimum en «notifying authority». Dette innebærer at det også vil være mulig å opprette flere, eksempelvis ved å fordele denne rollen på hver sektor og tillegge den de myndighetene som i dag fungerer som «notifying authority» eller tilsvarende for denne sektoren.
2. En myndighet blir «notifying authority» og ivaretar alle oppgavene som følger av artikkel 28 nr. 1, altså «the assessment, designation and notification of conformity assessment bodies and for their monitoring». Denne myndigheten vil i så fall også måtte fordele oppgavene på ulike personer internt i henhold til artikkel 28 nr. 4.  Det må opprettes eller utpekes minimum en slik myndighet. Dette innebærer at det også vil være mulig å opprette flere, eksempelvis ved å fordele denne rollen på hver sektor og tillegge den de myndighetene som i dag fungerer som «notifying authority» eller tilsvarende for denne sektoren.

Det oppstilles spesifikke krav til uavhengighet mellom «notifying authority» og «notified body» i artikkel i artikkel 28 nr. 5. Disse henger sammen med, men kommer i tillegg til uavhengighet for de nasjonale kompetente myndighetene etter KI-forordningen artikkel 70 nr. 1 som drøftet i vedlegg 2 punkt 1.4.

1.3.2 Organisering av "notifying authority" etter eksisterende produktsikkerhetsregelverk

Fordi KI-forordningen er et produktsikkerhetsregelverk, vil organisering av «notifying authority» etter eksisterende produktsikkerhetsregelverk kunne gi en viss veiledning. Et eksempel er Direktoratet for samfunnssikkerhet og beredskap som er en myndighet som følger opp flere produktsikkerhetsregelverk, herunder direktiv 2014/68 («direktivet om trykkpåkjent utstyr»). For direktivet om trykkpåkjent utstyr ligger det formelle ansvaret for «to designate and notify conformity assessment bodies» hos Justisdepartementet. Dette ansvaret er delegert til Direktoratet for samfunnssikkerhet og beredskap. Nærings- og fiskeridepartementet «notifies designated conformity assessment bodies to the EU commission and NANDO base” på vegne av Direktoratet for samfunnssikkerhet og beredskap.⁴¹ Om ansvarsfordelingen skriver DSB følgende:

«DSB is the designating authority and The Ministry of Trade, Industry and Fisheries is the notifying authority. DSB is responsible to inform The Ministry of Trade, Industry and Fisheries about every new designated conformity assessment body which needs to be notified further to the EU Commission. The designation is DSBs decision, which means that the body is then formally designated in Norway. Designation as it is, cannot be used without notification and a designated body cannot perform any kind of conformity assessment activities before they are notified and registered in the NANDO base.”

I tillegg skriver DSB at «Designation of conformity assessment bodies according to the Pressure Equipment Directive 2014/68/EU is subject to accreditation. Norwegian accreditation (NA) is responsible for accreditation in Norway.»

Med utgangspunkt organiseringen slik den er gjort for direktivet for trykkpåkjent utstyr synes det altså å være særlig tre roller på nivået for «notifying authority»:

• «Designating authority»: For direktivet for trykkpåkjent utstyr synes denne myndigheten å i utgangspunktet tilligge Justisdepartementet, men er delegert til DSB.
• «Notifying authority»: For direktoratet for trykkpåkjent utstyr er denne myndigheten plassert hos Nærings- og fiskeridepartementet. I henhold til KI-forordningens artikkel 28 nr. 1 kan denne myndigheten kan ligge til samme organ som «designating authority».
• «Accreditation»: Denne myndigheten er Norsk akkreditering. I henhold til KI-forordningens artikkel 28. nr. 2 få en myndighet som Norsk akkreditering tillagt oppgavene «assessment and monitoring», men ikke «designation» og «notifying».

1.4 Krav til uavhengighet for nasjonale kompetente myndigheter

1.4.1 Omfanget av uavhengigskravet

De nasjonale kompetente myndighetene omfatter både markedsovervåkningsmyndigheter og «notifying authorities». Artikkel 70 er den sentrale bestemmelsen for de nasjonale kompetente myndighetene og stiller krav til uavhengighet. For «notifying authority» er det nærmere spesifiserte krav i artikkel 28. Markedsovervåkningsmyndighetene har ikke en bestemmelse i KI-forordningen som utdyper kravene tilsvarende artikkel 28 for «notifying authority». Det fremgår imidlertid av blant annet artikkel 74 nr. 1 at markedstilsynsforordningen gjelder for KI-systemer som er dekket av KI-forordningen. For markedsovervåkningsmyndighetene vil dermed føringene følge av artikkel 70 og eventuelt av markedstilsynsforordningen der den gir nærmere spesifiserte krav.

Det framgår av KI-forordningens artikkel 70 at nasjonale kompetente myndigheter skal utøve sin myndighet «independently, impartially and without bias so as to safeguard the objectivity of their activities and tasks, and to ensure the application and implementation of this Regulation.” Relativt likelydende bestemmelser finnes i markedstilsynsforordningen artikkel 11, samt annet regelverk knyttet til produktsikkerhet.⁴²

Formulering i artikkel 70, jf. markedstilsynsforordningens artikkel 11 har flere elementer knyttet til uavhengighet. Ordet «independently» vil kunne oversettes til «uavhengighet, ordet «impartially» kan trolig oversettes til «upartisk», og «bias» kan oversettes med «forutinntatthet». Verken fortalen i KI-forordningen eller markedstilsynsforordningen utdyper nærmere innholdet i vilkårene.

Det følger av ordlyden i artikkel 70 at målet er å sikre at myndigheten er objektiv i sine oppgaver og anvendelse og implementeringen av regelverket. Myndigheten må derfor ikke være utsatt for instruksjoner eller press som gjør at den ikke kan være objektiv i sine oppgaver. En naturlig språklig forståelse av vilkåret «bias» tilsier at det ikke bare er formelle roller og bindinger som kan være problematiske, men også ulike holdninger. Vilkåret vil nok særlig kunne komme på spissen for ulike roller som ikke formelt sett er en binding, men som kan tenkes å påvirke standpunktene til en nasjonal kompetent myndighet.

Ordlyden i artikkel 70 har ingen tilleggsvilkår som tilsier særlig grad av uavhengighet. Her skiller KI-forordningen seg fra flere andre EU-regelverk som setter mer kvalifiserte krav til uavhengighet, eksempelvis personvernforordningens artikkel 52 og «Digital Services Act» artikkel 50 som benytter begreper som «complete indepence». KI-forordningens krav til uavhengighet i artikkel 70 er til sammenlikning mindre omfattende. Ordlyden tilsier dermed en mer moderat grad av uavhengighet sammenliknet med regelverk som tydeliggjør en stor grad av uavhengighet.

Også innad i KI-forordningen er det bestemmelser som har krav til «uavhengighet» som går lengre enn det som følger av artikkel 70.

Av artikkel 74 nr. 8 følger det at markedsovervåkningsmyndigheten for høyrisiko KI-systemer for biometri som skal brukes til rettshåndhevelse, grensekontroll, justis og demokrati, samt systemer som nevnt i Annex III nr. 6, 7 og 8 enten vil være underlagt kravene i personvernforordningen eller artikkel 41 til 44 i personverndirektivet for politi- og påtalemyndighet. Dette tilsier at KI-forordningen anser systemer knyttet til rettshåndhevelse, grensekontroll og domstoler, som systemer hvor det er særlig viktig å oppfylle spesifikke krav. Dette omfatter blant annet krav til uavhengighet, jf. artikkel 42 i personverndirektivet for politi og påtalemyndighet og artikkel 52 i personvernforordningen, som etter sin ordlyd går lengre enn uavhengighetskravet i artikkel 70 i KI-forordningen.

For «notifying authorities» er det ytterligere krav til uavhengighet i artikkel 28 nr. 3. Av denne følger det at «notifying authorities» skal etableres, organiseres og operere på en slik måte at ikke «no conflict of interest arises» med kontrollorganene. En naturlig språklig forståelse ordlyden, særlig med bruken av «no», tilsier at kravet til uavhengighet er noe strengere for «notifying authorities» overfor kontrollorganene enn det som følger av det generelle kravet til uavhengighet i artikkel 70 nr. 1.

Artikkel 31 nr. 5 har særlige krav til uavhengighet for “notified bodies” overfor markedsaktører for KI-systemer.  Det fremgår av denne at “notified bodies” «shall [not] be directly involved in the design, development, marketing or use of high-risk AI systems, nor shall they represent the parties engaged in those activities» (vår tilpasning). Tilsvarende spesifisering følger ikke etter artikkel 70. EU-domstolen har flere ganger vurdert krav til uavhengighet. For tilsynsmyndighetene på personvernområdet er uavhengighetskravet i det tidligere personverndirektivet tolket strengt.⁴³

I dommen C-518/07 uttales det i avsnitt 18 at “In relation to a public body, the term ‘independence’ normally means a status which ensures that the body concerned can act completely freely, without taking any instructions or being put under any pressure.” Videre fremgår det av dommen i avsnitt 19 at tillegget «complete» i personverndirektivet tilsier «a decision-making power independent of any direct or indirect external influence on the supervisory authority”. Tillegget “complete” tilsier altså enda høyere krav til uavhengighet. EU-domstolen har hatt liknende uttalelser om uavhengighet knyttet til Directive 2009/72 og Directive 2004/49. Her har EU-domstolen uttalt at uavhengighet normalt innebærer «a status that ensures that the body in question is able to act completely freely in relation to those bodies in respect of which its independence is to be ensured, shielded from any instructions or external influence"⁴⁴.

Et viktig poeng i uttalelsen viktig poeng er at uavhengighetskravet må knyttes til en aktør/binding som en skal det skal sikres uavhengighet fra. De aktuelle bestemmelsene i direktiv 95/46, direktiv 2009/72 og direktiv 2004/49 som EU-domstolens uttalelser er knyttet til, har enten tillegg som «complete» eller har mer omfattende og spesifikke krav til uavhengighet enn det som følger av KI-forordningens artikkel 70.⁴⁴ Dette gjør at det er noe usikkert om uttalelsene helt generelt kan legges til grunn for KI-forordningen. Samtidig er uttalelsen fra EU-domstolen i seg selv nokså generelle. EU-domstolen tolker «uavhengighet» i fraværet av en definisjon og vurderer hvordan «uavhengighet» normalt skal forstås. Dette tilsier at de vil kunne gjelde for KI-forordningens artikkel 70.

Formålsbetraktninger kan tilsi at «uavhengighetskravet» i KI-forordningens artikkel 70 ikke skal tolkes for strengt. Som et produktsikkerhetsregelverk vil KI-forordningen utfylles med standarder med spesifikke krav. For de nasjonale kompetente myndighetene vil det først og fremst være mange tekniske vurderinger av hvorvidt noe oppfylles eller ikke. Denne typen tekniske vurderinger vil trolig være mindre sensitive for bindinger slik som eksempelvis politisk styring. Dette skiller seg fra tilsyn og institusjoner som skal påse ivaretakelse av grunnleggende rettigheter i rettighetsbaserte lover. Når personvernforordningens artikkel 52 har så klare krav til uavhengighet, henger dette trolig sammen med deres ivaretakelse av grunnleggende rettigheter etter et rettighetsbasert regelverk hvor det ofte er store skjønnsmessige vurderinger som kan tenkes sårbare for den typen instrukser.

Samlet sett tilsier kravet til uavhengighet at markedsovervåkningsmyndighetene må være så uavhengige at de kan handle helt fritt og vil være objektive i deres vurderinger og oppgaver. De innebærer at de må være skjermet fra instruksjoner og ekstern påvirkning. Tillegget «bias» i artikkel 70 tilsier at det ikke bare er formelle roller og bindinger, men også mer uformelle bindinger som kan lede til at myndigheten ikke er tilstrekkelig objektiv. Artikkel 70 har ingen tilleggsbegreper som «complete» eller mer utfyllende krav til uavhengighet. Dette tilsier at uavhengigheten er mer moderat enn for regelverk som har dette, eksempelvis personvernforordningen og DSA.

EU-domstolens uttalelser om uavhengighet knyttet til Directive 2009/72 og Directive 2004/49 viser at uavhengighet må vurderes i relasjon til hvilken aktør det skal sikres uavhengighet fra. Dette drøftes i neste punkt.

Fordi uavhengighetskravet i KI-forordningen i stor grad samsvarer med uavhengighetskravet i markedstilsynsforordningen, gir dagens innretning av markedsovervåkningsmyndigheter etter eksisterende produktsikkerhetsregelverk god veiledning for hva som er nødvendig i praksis. Dette drøftes nærmere i vedlegg 2 punkt 1.4.3.

1.4.2 Hvilke bindinger skal det sikres uavhengighet fra?

Av artikkel 28 nr. 3 følger det at «notifying authorities» skal etableres, organiseres og opereres på en slik måte at det ikke oppstår interessekonflikter med kontrollorganene. Det pekes altså særlig på upartiskhet i relasjonen til kontrollorganene. Fortalen gir ikke bakgrunn for skillet, men det må antas at det henger sammen med at kontrollorganene konkurrerer om å tilby tredjepartssertifisering. Artikkel 28 nr. 5 understreker skillet ved å si at «notfifying authorties» ikke skal tilby eller gjennomføre aktiviteter som kontrollorganene tilbyr, og ikke gi rådgivningstjenester på en kommersiell basis.

I motsetning til situasjonen for «notifying authorities» er det for markedsovervåkningsmyndighetene ikke særlig pekt på noen roller som kan være problematiske. KI-forordningen artikkel 70 ikke nærmere veiledning, og det følger ikke noe ytterligere fra markedstilsynsforordningens artikkel 11. Heller ikke fortalen gir veiledning. For markedsovervåkningsmyndighetene kan en tilnærming med utgangspunkt i EU-domstolens uttalelse «any instructions or external influence» være å vurdere hvilke aktører som vil kunne utøve press på de markedsovervåkningsmyndighetene. I det følgende pekes det på tre mulige bindinger som er særlig aktuelle å vurdere.

En form for uavhengighet knytter seg til leverandørene i et marked. Dersom markedsovervåkningsmyndighetene har sterke bindinger til leverandører i et marked, vil dette kunne skape en risiko for forskjellsbehandling av aktører og dette vil det kunne påvirke konkurransen. Dette ville være i strid med grunnleggende forutsetninger for et fritt marked og for EU/EØS-samarbeidet. Det er dermed grunn til å anta at kravet til uavhengighet hos de kompetente myndighetene og da særlig for markedsovervåkningsmyndighetene knytter seg til uavhengighet fra leverandører i et marked. Dette understøttes også av bruken av «upartisk» som tilsier at aktører ikke skal forskjellsbehandles. Risikoen for bindingen synes imidlertid å være noe mindre for de kompetente myndighetene enn for «notifying bodies». I artikkel 31 nr. 5 adresseres dette for “notifying bodies” med formuleringen «shall [not] be directly involved in the design, development, marketing or use of high-risk AI systems, nor shall they represent the parties engaged in those activities» (vår tilpasning). Tilsvarende spesifisering følger ikke for etter artikkel 70.

En annen form for uavhengighet er politisk uavhengighet. En myndighet kan vanskelig sies å være «uavhengig» dersom den kan styres politisk. Som det fremgår av drøftelsen under vedlegg 2 punkt 1.4.1 vil dette innebære myndigheten ikke kan få instruksjoner eller usettes for press som gjør at myndigheten ikke er objektiv i sine vurderinger.

En tredje form for uavhengighet være der hvor en myndighet har en særinteresse som bidra til en spenning ved ivaretakelsen av formålene bak KI-forordningen. En slik type uavhengighet er i mindre grad en formell uavhengighet, men treffes muligens av vilkåret «bias». Et eksempel på dette kan være fordi markedsovervåkningsmyndighetene er underlagt det samme regelverket de fører tilsyn med. Dette er imidlertid ikke unikt for KI-forordningen og samme spenning oppstår for blant annet for myndigheter som Arbeidstilsynet som i tillegg til å være tilsyn for arbeidsmiljøloven også skal etterleve arbeidsmiljøloven. Et annet eksempel på dette er ombudsroller eller liknende som innebærer et særlig ansvar for å ivareta et regelverk og hensyn. En slik rolle kan påvirke hvordan en myndighet tilnærmer seg et regelverk og om det medfører en uforholdsmessig stor vekting av visse hensyn som vil kunne gjøre det usikkert hvorvidt myndigheten er objektiv.

For markedsovervåkningsmyndighetene kan det legges til grunn at bindinger til leverandører i et marked, politisk styring og andre særinteresser alle er mulige bindinger som kan treffes av KI-forordningens krav til uavhengighet i artikkel 70, jf. markedstilsynsforordningens artikkel 11. Hvorvidt disse bindingene er problematiske og hva som er nødvendig for å sikre uavhengigheten er vil være en konkret vurdering av den aktuelle myndigheten. Videre er drøftelsen under dette punktet ikke uttømmende, og det kan også tenkes andre bindinger som dekkes av bestemmelsene.

1.4.3 Et praktisk utgangspunkt for uavhengighet

Hva som i praksis vil være nødvendig for å sikre kravene til uavhengighet i artikkel 70 vil i utgangspunktet være en konkret vurdering hvor en vurderer om den aktuelle myndigheten er tilstrekkelig uavhengig i relasjon til de aktørene og bindingene det skal sikres uavhengighet fra. Fordi kravene til uavhengighet i KI-forordningen i stor grad tilsvarer kravene i eksisterende produktsikkerhetsregelverk, vil organiseringen og uavhengigheten som eksisterende markedsovervåkningsmyndigheter har, gi god veiledning for hva som i praksis er nødvendig for de kompetente myndighetene etter KI-forordningen. Et utgangspunkt i denne sammenhengen kan være at markedstilsynsforordningen artikkel 11 i stor grad tilsvarer uavhengighetskravet i KI-forordningen artikkel 70. For markedstilsynsforordningen er Direktoratet for samfunnssikkerhet og beredskap «nasjonalt samordningspunkt for markedstilsyn» (en såkalt «single liaison office» eller SLO) med ansvar for å koordinere 17 myndigheter i Norge. Blant disse virksomhetene er det flere ulike forvaltningsorganer, slik som direktorater, tilsyn og etater. Det synes dermed å være lagt til grunn en nokså stor fleksibilitet for innretning av kompetente myndigheter etter eksisterende markedstilsynsregelverk. På Direktoratet for samfunnssikkerhet og beredskap nettside⁴⁶ fremgår følgende aktører:

• Arbeidstilsynet
• Direktoratet for byggkvalitet
• Direktoratet for samfunnssikkerhet og beredskap
• Forbrukertilsynet
• Helsedirektoratet
• Justervesenet
• Mattilsynet
• Miljødirektoratet
• Nasjonal kommunikasjonsmyndighet
• Norges vassdrags- og energidirektorat
• Petroleumstilsynet
• Sjøfartsdirektoratet
• Statens jernbanetilsyn
• Statens legemiddelverk
• Statens vegvesen
• Tolletaten
• Luftfartstilsynet

Flere av myndighetene som har roller etter markedstilsynsforordningen vil også få roller etter KI-forordningen og dermed også være underlagt kravet til uavhengighet i KI-forordningens artikkel 70. Fordi kravene er relativt likelydende, vil dette rent juridisk få begrenset betydning. Rent praktisk innebærer det at dersom disse myndighetene er ansett som tilstrekkelig uavhengighet etter markedstilsynsforordningen vil det også kunne legges til grunn at de også oppfyller kravene i KI-forordningen. Fordi kravet til uavhengighet i markedstilsynsforordningen artikkel 11 og KI-forordningens artikkel 70 nr. 1 er nokså like, betyr dette også at hvis en legger til grunn en streng tolkning av uavhengighetskravene i KI-forordningen vil dette også måtte gjelde tilsvarende for alle myndighetene som skal være underlagt markedstilsynsforordningens artikkel 11. Dette åpner for en bredere vurdering hvor formål som effektivitet og gjennomførbarhet trolig også vil være viktig momenter.

1.5 Særlige spørsmål i forholdet mellom markedsovervåkingsmyndigheter og "notifying authority"

1.5.1 Kan samme myndighet være både markedsoverføringsmyndighet og "notifying authority"?

Et spørsmål knyttet til organiseringen av de nasjonale kompetente myndighetene er hvorvidt medlemslandene kan plassere rollen som «notifying authority» og rollen som markedsovervåkningsmyndighet i samme organ. Av artikkel 70 nr. 1 fremgår det at medlemslandene skal «establish or designate as national competent authorities at least one notifying authority and at least one market surveillance authority”.

Bruken av begrepet «and» i artikkel 70 nr. 1 sammen med flertall for «national competent authorites» kan tilsi at dette er to roller som må opprettes hos forskjellige myndigheter. Det følger imidlertid av siste artikkel 70 nr. 1 siste punktum at “Provided that those principles are observed, such activities and tasks may be performed by one or more designated authorities, in accordance with the organisational needs of the Member State.” Det følger av denne formuleringen at såfremt kravet til uavhengighet i annet og tredje punktum, så er medlemslandene frie til å legge både rollen som «notifying authority» og rollen som markedsovervåkningsmyndighet til samme myndighet.

1.5.2 Særlig om forholdet mellom "notifying authority" og "notified bodies" som er direkte utpekt i KI-forordningen

Dersom markedsovervåkningsmyndigheter og «notifying authorities» plasseres hos samme myndighet, oppstår spørsmålet om markedsovervåkningsmyndighetene som etter KI-forordning skal fungere som «notified body» for visse typer tredjepartssertifisering også kan ha rollen som «notifying authority».

Artikkel 43 nr. 1 tredje ledd fastsetter at utgangspunktet er at leverandørene kan velge hvilken «notified body» de skal benytte, men for systemer knyttet til rettshåndhevelse, innvandring og asyl, skal markedsovervåknings-myndigheten som referert til i artikkel 74 nr. 8 eller 9 fungere som notified body. Denne myndigheten er nærmere omtalt i punkt vedlegg 2 punkt 1.2.1.

Det oppstilles krav til skillet mellom «notifying authority» og «notified body» i artikkel i artikkel 28 nr. 5. Av denne følger det at «Notifying authorities shall offer or provide neither any activities that conformity assessment bodies perform, nor any consultancy services on a commercial or competitive basis”. En naturlig språklig forståelse av ordlyden tilsier et klart skille mellom «notifying authorities» og «notified bodies». Særlig «any activities» tilsier at disse rollene skal holdes adskilt. Konsekvensen av dette er at myndigheten referert til i artikkel 74 nr. 8 og 9 ikke også kan være «notifying authority».

2 Myndigheter for beskyttelsen av fundamentale rettigheter

Nasjonale offentlige myndigheter eller organer som fører tilsyn med eller håndhever forpliktelser under EU-lovgivning som beskytter grunnleggende rettigheter vil under KI-forordningen få fullmakter og myndighet til å innhente informasjon og iverksette tiltak for å sikre at KI-systemer ivaretar grunnleggende rettigheter, jf. KI-forordningens artikkel 77. Hver medlemsstat skal innen tre måneder etter ikrafttredelse av forordningen identifisere og offentliggjøre en liste over disse myndighetene jf. artikkel 77 nr. 2. Nedenfor følger en beskrivelse av disse myndighetenes roller og myndighet. Disse myndighetene vil i det følgende bli omtalt som rettighetstilsyn.

Det følger av artikkel 77 nr. 1 at rettighetstilsyn har rett til å be om og få tilgang til all dokumentasjon som er opprettet eller vedlikeholdt under KI-forordningen, når tilgang til denne dokumentasjonen er nødvendig for å effektivt kunne utføre sine oppgaver.  Rettighetstilsynet skal informere markedsovervåkningsmyndigheten i det aktuelle medlemslandet om slike forespørsler. Dersom dokumentasjonen ikke er tilstrekkelig for å avgjøre om det har skjedd et brudd på EU-lovgivning kan rettighetstilsynet be markedsovervåkningsmyndigheten om å organisere tekniske tester at KI-systemet jf. artikkel 77 nr. 3.

Ifølge artikkel 79 nr. 2 skal markedsovervåkningsmyndighetene informere og samarbeide med rettighetstilsynene når de identifiserer risikoer for grunnleggende rettigheter i vurderingen av et KI-system. Rettighetstilsynet skal da involveres i vurderingene av systemet. Heretter skal organene sammen vurdere om ytterligere tekniske tester er nødvendige og deretter beslutte hvilke korrigerende tiltak som må iverksettes for å adressere risikoene.

Rettighetstilsynene vil altså få en viktig rolle og fullmakter for å sikre at bruken av KI-systemer respekterer individers grunnleggende rettigheter. Dette vil skje gjennom deres eget arbeid, men også i nært samarbeid med markedsovervåkningsmyndighetene.

Fotnoter

⁴⁰jf.  blant annet TEU artikkel 4 nr. 2, jf. KI-forordningens artikkel 3

⁴¹designation-and-notification-of-conformity-assessment-bodies.pdf (dsb.no)

⁴²Se blant annet også REGULATION (EC) No 765/2008

⁴³Se jf. C-518/07 (EUR-Lex - 62007CJ0518 - EN - EUR-Lex (europa.eu)), C‑614/10 (EUR-Lex - 62010CJ0614 - EN - EUR-Lex (europa.eu)), C‑288/12 EUR-Lex - 62012CJ0288 - EN - EUR-Lex (europa.eu)

⁴⁴Case C‑718/18 avsnitt 118 - EUR-Lex - 62018CJ0718 - EN - EUR-Lex (europa.eu), Case C-378/19 EUR-Lex - 62019CJ0378 - EN - EUR-Lex (europa.eu) avsnitt 32, case C‑530/16 62016CJ0530  (europa.eu) avsnitt 67

⁴⁵DIRECTIVE 2004/49 artikkel 21 og Directive 2009/72 artikkel 35.

⁴⁶Nasjonalt samordningspunkt for markedstilsyn | Direktoratet for samfunnssikkerhet og beredskap (dsb.no)