Kunstig intelligens er allerede en del av hverdagen i kommunene. Mange ansatte bruker KI-løsninger som ChatGPT eller funksjoner som plutselig dukker opp i programvaren de allerede jobber i. De gjør det fordi de ser nytten, men ofte uten at kommunen har gitt dem tydelige rammer for hvordan teknologien skal brukes. Resultatet kan minne om en flokk med ville hester: enorme krefter, men uten gjerdet som skal sørge for at energien brukes riktig.
For å få kontroll på denne utviklingen trenger kommunene ikke et forbud, men en styringsmodell som gjør det mulig å bruke KI på en trygg, lovlig og effektiv måte. Det første steget er å erkjenne at faren ikke ligger i teknologien i seg selv, men i mangel på styring.
Når styringen mangler
Uten tydelige rammer oppstår det en rekke utfordringer. Personopplysninger og saksopplysninger kan havne i usikre verktøy og i skyen uten kontroll. KI kan produsere feilaktige eller manipulerende svar uten at brukeren er klar over det. Kommunen mister muligheten til å se hvem som har brukt KI til hva, og ansatte blir alene om å avgjøre hvilke verktøy som er trygge.
Mangel på retningslinjer, eller kun overordnede retningslinjer, skaper store forskjeller mellom tjenesteområdene. Det som er uproblematisk i teknisk drift, kan være direkte ulovlig i barnevernet. Dermed oppstår en situasjon der risiko håndteres ulikt fra plass til plass – og det er sjelden risikoen som styrer praksisen, men tilfeldigheter.
Løsningen: To nivåer av styring – ett overordnet, og ett for hver tjeneste
Det kommunene trenger er et todelt system for styring av KI-bruk.
Det første nivået er en overordnet kommunal KI-retningslinje som gjelder for alle ansatte. Den skal beskrive hva kommunen tillater, hva som er forbudt på et overordnet nivå, hvilke prinsipper som gjelder, og hvilket ansvar brukerne har. Retningslinjen må også angi hvilke KI-verktøy kommunen har godkjent, og på hvilke vilkår de kan brukes.
Det andre nivået er det som ofte mangler: tjenestespesifikke retningslinjer for bruk av KI. Disse bør utarbeides med utgangspunkt i behandlingsprotokollen for hver tjeneste, siden protokollen allerede beskriver hvilke oppgaver som utføres, hvilke opplysninger som behandles, og hvilke risikoer som finnes.
Når retningslinjene for KI knyttes direkte til behandlingsprotokollen, blir det tydelig for alle ansatte hva som er lov og ikke – og hvorfor. En lærer i skolen vil for eksempel få klare eksempler på når KI kan brukes til å lage generelle informasjonsskriv, og når det ikke er tillatt å bruke verktøyet fordi elevopplysninger kan bli eksponert.
Helse- og omsorgstjenestene vil vite når KI kan brukes til å utarbeide prosedyrer og faglige støttedokumenter, og når bruken krever en særskilt risikovurdering fordi pasientdata er involvert. Barnevernet vil få tydelige grenser som slår fast at KI aldri skal bidra i beslutninger som påvirker barns rettigheter.
Når retningslinjene beskriver bruksscenarier i klarspråk, blir ansattes hverdag enklere. De slipper å vurdere lovlighet og risiko alene – retningslinjene oversetter regelverket til konkrete og praktiske valg.
Nettbaserte KI-løsninger – store begrensninger i kommunal bruk
En sentral del av styringen av KI i kommunene handler om valg av teknisk løsning. Nettbaserte KI-tjenester, særlig generelle språkmodeller levert som skytjenester, innebærer betydelige begrensninger for hva KI kan brukes til i kommunal virksomhet.
Mange nettbaserte KI-løsninger deler data med språkmodellen, enten for videre trening, kvalitetssikring eller analyse. Selv der leverandøren hevder at data ikke brukes til trening, vil kommunen ofte ha begrenset kontroll over hvor data behandles, hvem som har tilgang, og hvordan bruken kan etterprøves. Dette gjør slike løsninger uegnet for all bruk som involverer personopplysninger, saksopplysninger eller annen sensitiv informasjon.
I tillegg er nettbaserte KI-løsninger som ikke deler data med språkmodellen ofte svært kostbare. For mange kommuner vil dette i praksis innebære at kun et fåtall ansatte får tilgang til slike løsninger, til tross for at det er ønskelig at flest mulig kan bruke KI i arbeidshverdagen. Resultatet er at bruken ofte begrenses til enkle lavrisikoformål, som generelle tekster, språkvask eller idéutvikling uten bruk av reelle data.
For oppgaver med høy risiko – som saksbehandling, prioriteringer, vurderinger og beslutningsstøtte – bør nettbaserte KI-løsninger som hovedregel sjelden benyttes. Dette gjelder særlig der KI kan påvirke vedtak, rettigheter eller plikter for innbyggerne. Slike bruksområder krever løsninger der kommunen har full kontroll over data, logikk og bruk.
Et alternativ er å benytte KI-løsninger som er installert lokalt på kommunens egne servere eller direkte på ansattes PC-er. Slike løsninger kan konfigureres slik at ingen data deles med eksterne språkmodeller eller leverandører. Det gir langt bedre kontroll med personvern, informasjonssikkerhet og etterlevelse av regelverk.
I tillegg er lokale KI-løsninger ofte betydelig rimeligere enn nettbaserte tjenester som tilbyr tilsvarende grad av databeskyttelse. For kommunene gir dette både økt handlingsrom og bedre kostnadskontroll, samtidig som risikoen reduseres.
Lokale KI-løsninger har i dag ofte opptil 90 prosent av funksjonaliteten til nettbaserte løsninger. Forskjellen er derfor langt mindre enn mange tror. Samtidig kan lokale løsninger forsterkes ved at de kobles til datasett som kommunen selv velger at ansatte skal ha tilgang til, for eksempel interne retningslinjer, rutiner, håndbøker, maler og fagsystemdokumentasjon.
På denne måten kan lokale KI-løsninger i praksis bli bedre egnet enn nettbaserte løsninger, som i stor grad baserer svarene sine på åpne kilder på internett. Når KI-en arbeider på kommunens egne, kvalitetssikrede data, øker både presisjon, relevans og pålitelighet i svarene – samtidig som kontrollen over informasjonen beholdes fullt ut.
Valg av KI-løsning er derfor ikke bare et teknisk eller økonomisk spørsmål, men et sentralt styringsgrep. Uten klare føringer risikerer kommunen å investere i løsninger som i praksis ikke kan brukes der behovet er størst.
Ansatte trenger klare eksempler – og tydelige bruksområder
Effekten av en KI-retningslinje blir først virkelig stor når den gir ansatte konkrete og gjenkjennelige eksempler på hva KI med fordel kan brukes til i arbeidshverdagen. For de fleste ansatte er det ikke teknologien eller valg av løsning som er det viktigste, men å forstå hvordan KI kan bidra i egne oppgaver på en trygg og lovlig måte.
Retningslinjene bør derfor beskrive typiske bruksområder for KI i ulike risikonivåer. I lavrisikosituasjoner kan dette være støtte til klarspråk, strukturering av tekster, utkast til informasjonsskriv, oppsummering av regelverk eller kvalitetssikring av språk – uten bruk av personopplysninger. I situasjoner med moderat risiko kan KI brukes som støtte i planlegging, analyse eller utarbeidelse av interne dokumenter, forutsatt at bruken er vurdert og rammene er tydelige.
Samtidig må det fremgå klart hvilke oppgaver KI ikke skal brukes til, for eksempel der bruken kan påvirke vedtak, rettigheter eller plikter, eller der sensitive person- og saksopplysninger inngår. Når slike grenser er tydelige, slipper ansatte å gjøre vanskelige juridiske vurderinger alene.
Oversikten over hvilke KI-verktøy som er godkjent i de ulike situasjonene er et viktig støttepunkt, men den bør understøtte – ikke overskygge – hovedpoenget: hva KI kan brukes til i praksis. Når ansatte kjenner igjen egne arbeidsoppgaver i eksemplene, blir etterlevelsen enklere og bruken mer treffsikker.
Dette legger til rette for en enhetlig praksis i hele kommunen, der KI tas i bruk der den gir reell nytte, samtidig som risikoen holdes under kontroll.
Leverandørene må godkjennes – ikke bare teknologien
En avgjørende del av styringen handler om å stille tydelige krav til leverandører. Mange systemleverandører introduserer i dag KI-funksjonalitet som en del av eksisterende programvare, ofte uten at kommunen aktivt har tatt stilling til dette.
Alle leverandører som tilbyr KI-funksjonalitet må godkjennes før funksjonene tas i bruk. Leverandøren må kunne dokumentere hvordan KI-løsningen fungerer, hvilke data som brukes, og hvilken risikokategori løsningen faller inn under etter KI-forordningen (AI Act).
For høyrisikosystemer – som vil omfatte store deler av helse- og omsorgstjenestene, barnevernet og deler av saksbehandlingen – må leverandøren kunne dokumentere blant annet datasettkvalitet, sporbarhet, menneskelig kontroll og risikoreduserende tiltak.
Dersom leverandøren ikke kan dokumentere dette, skal KI-funksjonaliteten ikke tas i bruk. Kommunen må være tydelig: ingen KI uten risikovurdering etter AI Act. Dette er en nødvendig del av internkontrollen.
Automatiserte vedtak etter forvaltningsloven – et ofte oversett risikoområde
Bruk av KI i kommunene reiser ikke bare spørsmål om personvern og informasjonssikkerhet, men også grunnleggende forvaltningsrettslige problemstillinger. Etter forvaltningsloven gjelder det strenge regler for automatiserte vedtak, særlig der vedtak treffes helt eller delvis uten menneskelig skjønnsutøvelse.
Dersom kommunene tar i bruk KI-løsninger som gir anbefalinger, prioriteringer eller beslutningsstøtte i saksbehandlingen uten klare rammer, kan grensen mot automatiserte vedtak overskrides uten at det er erkjent. Det kan føre til brudd på krav til forsvarlig saksbehandling, utredningsplikt, begrunnelsesplikt og retten til individuell vurdering.
Uten en tydelig strategi for bruk av KI risikerer kommunen at teknologien i praksis får avgjørende betydning for vedtak, uten at det er dokumentert hvordan vurderingene er gjort, hvilke regler som er lagt til grunn, eller hvordan menneskelig kontroll er ivaretatt. Dette svekker både rettssikkerheten til innbyggerne og kommunens evne til å etterprøve egne beslutninger.
Et todelt system for KI-retningslinjer er derfor også et viktig virkemiddel for å sikre etterlevelse av forvaltningsloven. Overordnede retningslinjer må fastslå at KI ikke kan fatte vedtak på egen hånd, og hvilke former for beslutningsstøtte som er tillatt. Tjenestespesifikke retningslinjer må i tillegg beskrive hvordan KI eventuelt kan brukes i saksforberedelsen, hvilke vurderinger som alltid skal gjøres av et menneske, og hvordan dette skal dokumenteres i saken.
På denne måten kan kommunen bruke KI til å effektivisere arbeidet uten å undergrave grunnleggende forvaltningsrettslige prinsipper som likebehandling, åpenhet og rettssikkerhet.
KI-forordningen forsterker behovet for styring
Når KI-forordningen trer i kraft, må kommunene ha oversikt over hvilke KI-systemer som brukes, hvordan de brukes, og hvilken risiko de representerer. Forordningen stiller krav til sporbarhet, åpenhet, ansvarlighet og dokumentasjon – og til at høyrisikosystemer kun brukes under strenge vilkår.
Et todelt system for KI-retningslinjer gjør det mulig å oppfylle disse kravene uten å skape unødvendig merarbeid i hverdagen. Det gir også kommunene et godt utgangspunkt for å håndtere kravene som vil komme til leverandørene.
Min erfaring som personvernombud
Jeg ser det samme mønsteret i alle kommuner: ansatte er nysgjerrige, lærevillige og ønsker å bruke KI. Det som holder dem igjen er usikkerhet – om regelverket, om verktøyene og om grensene for lovlig bruk.
Denne vurderingen er ikke teoretisk. Den bygger på praktisk erfaring med utvikling av både overordnede kommunale KI-retningslinjer og over 250 tjenestespesifikke KI-retningslinjer i kommunal sektor. Erfaringen viser tydelig at når ansatte får konkrete, tjenestenære eksempler på hva KI kan brukes til – og klare grenser for hva som ikke er tillatt – øker både tryggheten og den faktiske bruken av KI, samtidig som risikoen reduseres.
Når kommunen etablerer både en overordnet og tjenestespesifikke KI-retningslinjer, forsvinner mye av usikkerheten. Ansatte får både trygghet og handlingsrom, samtidig som risikoen reduseres betydelig.
Gevinsten er betydelig
Når KI brukes på en styrt måte, kan kommunene hente ut store gevinster. Tjenestene blir mer effektive, kvaliteten på arbeidet øker, og dokumentasjonen blir mer presis. Ansatte får mer tid til kjerneoppgaver, og innbyggerne får bedre og mer tilgjengelig informasjon.
Samtidig styrkes informasjonssikkerheten og personvernet, fordi bruken av KI blir sporbar, vurdert og kvalitetssikret. Dette er ikke teknologijag – det er god styring.
Konklusjon: Fra vill hest til arbeidshest
Kommunene kan ikke stanse utviklingen, men de kan styre den. Med en tydelig overordnet KI-retningslinje som setter rammene, og tjenestespesifikke retningslinjer som bygger på behandlingsprotokollene, får ansatte klar veiledning i hva som er lov, hva som er risikabelt, hvilke tiltak som kreves og hvilke verktøy som kan brukes.
Når kommunen i tillegg stiller tydelige krav til leverandører og krever risikovurdering etter AI Act, blir KI en trygt forankret del av internkontrollen. Da forvandles KI fra en vill hest som løper i alle retninger – til en arbeidshest som trekker kommunen fremover.
Kunstig intelligens er allerede en del av hverdagen i kommunene. Mange ansatte bruker KI-løsninger som ChatGPT eller funksjoner som plutselig dukker opp i programvaren de allerede jobber i. De gjør det fordi de ser nytten, men ofte uten at kommunen har gitt dem tydelige rammer for hvordan teknologien skal brukes. Resultatet kan minne om en flokk med ville hester: enorme krefter, men uten gjerdet som skal sørge for at energien brukes riktig.
For å få kontroll på denne utviklingen trenger kommunene ikke et forbud, men en styringsmodell som gjør det mulig å bruke KI på en trygg, lovlig og effektiv måte. Det første steget er å erkjenne at faren ikke ligger i teknologien i seg selv, men i mangel på styring.
Når styringen mangler
Uten tydelige rammer oppstår det en rekke utfordringer. Personopplysninger og saksopplysninger kan havne i usikre verktøy og i skyen uten kontroll. KI kan produsere feilaktige eller manipulerende svar uten at brukeren er klar over det. Kommunen mister muligheten til å se hvem som har brukt KI til hva, og ansatte blir alene om å avgjøre hvilke verktøy som er trygge.
Mangel på retningslinjer, eller kun overordnede retningslinjer, skaper store forskjeller mellom tjenesteområdene. Det som er uproblematisk i teknisk drift, kan være direkte ulovlig i barnevernet. Dermed oppstår en situasjon der risiko håndteres ulikt fra plass til plass – og det er sjelden risikoen som styrer praksisen, men tilfeldigheter.
Løsningen: To nivåer av styring – ett overordnet, og ett for hver tjeneste
Det kommunene trenger er et todelt system for styring av KI-bruk.
Det første nivået er en overordnet kommunal KI-retningslinje som gjelder for alle ansatte. Den skal beskrive hva kommunen tillater, hva som er forbudt på et overordnet nivå, hvilke prinsipper som gjelder, og hvilket ansvar brukerne har. Retningslinjen må også angi hvilke KI-verktøy kommunen har godkjent, og på hvilke vilkår de kan brukes.
Det andre nivået er det som ofte mangler: tjenestespesifikke retningslinjer for bruk av KI. Disse bør utarbeides med utgangspunkt i behandlingsprotokollen for hver tjeneste, siden protokollen allerede beskriver hvilke oppgaver som utføres, hvilke opplysninger som behandles, og hvilke risikoer som finnes.
Når retningslinjene for KI knyttes direkte til behandlingsprotokollen, blir det tydelig for alle ansatte hva som er lov og ikke – og hvorfor. En lærer i skolen vil for eksempel få klare eksempler på når KI kan brukes til å lage generelle informasjonsskriv, og når det ikke er tillatt å bruke verktøyet fordi elevopplysninger kan bli eksponert.
Helse- og omsorgstjenestene vil vite når KI kan brukes til å utarbeide prosedyrer og faglige støttedokumenter, og når bruken krever en særskilt risikovurdering fordi pasientdata er involvert. Barnevernet vil få tydelige grenser som slår fast at KI aldri skal bidra i beslutninger som påvirker barns rettigheter.
Når retningslinjene beskriver bruksscenarier i klarspråk, blir ansattes hverdag enklere. De slipper å vurdere lovlighet og risiko alene – retningslinjene oversetter regelverket til konkrete og praktiske valg.
Nettbaserte KI-løsninger – store begrensninger i kommunal bruk
En sentral del av styringen av KI i kommunene handler om valg av teknisk løsning. Nettbaserte KI-tjenester, særlig generelle språkmodeller levert som skytjenester, innebærer betydelige begrensninger for hva KI kan brukes til i kommunal virksomhet.
Mange nettbaserte KI-løsninger deler data med språkmodellen, enten for videre trening, kvalitetssikring eller analyse. Selv der leverandøren hevder at data ikke brukes til trening, vil kommunen ofte ha begrenset kontroll over hvor data behandles, hvem som har tilgang, og hvordan bruken kan etterprøves. Dette gjør slike løsninger uegnet for all bruk som involverer personopplysninger, saksopplysninger eller annen sensitiv informasjon.
I tillegg er nettbaserte KI-løsninger som ikke deler data med språkmodellen ofte svært kostbare. For mange kommuner vil dette i praksis innebære at kun et fåtall ansatte får tilgang til slike løsninger, til tross for at det er ønskelig at flest mulig kan bruke KI i arbeidshverdagen. Resultatet er at bruken ofte begrenses til enkle lavrisikoformål, som generelle tekster, språkvask eller idéutvikling uten bruk av reelle data.
For oppgaver med høy risiko – som saksbehandling, prioriteringer, vurderinger og beslutningsstøtte – bør nettbaserte KI-løsninger som hovedregel sjelden benyttes. Dette gjelder særlig der KI kan påvirke vedtak, rettigheter eller plikter for innbyggerne. Slike bruksområder krever løsninger der kommunen har full kontroll over data, logikk og bruk.
Et alternativ er å benytte KI-løsninger som er installert lokalt på kommunens egne servere eller direkte på ansattes PC-er. Slike løsninger kan konfigureres slik at ingen data deles med eksterne språkmodeller eller leverandører. Det gir langt bedre kontroll med personvern, informasjonssikkerhet og etterlevelse av regelverk.
I tillegg er lokale KI-løsninger ofte betydelig rimeligere enn nettbaserte tjenester som tilbyr tilsvarende grad av databeskyttelse. For kommunene gir dette både økt handlingsrom og bedre kostnadskontroll, samtidig som risikoen reduseres.
Lokale KI-løsninger har i dag ofte opptil 90 prosent av funksjonaliteten til nettbaserte løsninger. Forskjellen er derfor langt mindre enn mange tror. Samtidig kan lokale løsninger forsterkes ved at de kobles til datasett som kommunen selv velger at ansatte skal ha tilgang til, for eksempel interne retningslinjer, rutiner, håndbøker, maler og fagsystemdokumentasjon.
På denne måten kan lokale KI-løsninger i praksis bli bedre egnet enn nettbaserte løsninger, som i stor grad baserer svarene sine på åpne kilder på internett. Når KI-en arbeider på kommunens egne, kvalitetssikrede data, øker både presisjon, relevans og pålitelighet i svarene – samtidig som kontrollen over informasjonen beholdes fullt ut.
Valg av KI-løsning er derfor ikke bare et teknisk eller økonomisk spørsmål, men et sentralt styringsgrep. Uten klare føringer risikerer kommunen å investere i løsninger som i praksis ikke kan brukes der behovet er størst.
Ansatte trenger klare eksempler – og tydelige bruksområder
Effekten av en KI-retningslinje blir først virkelig stor når den gir ansatte konkrete og gjenkjennelige eksempler på hva KI med fordel kan brukes til i arbeidshverdagen. For de fleste ansatte er det ikke teknologien eller valg av løsning som er det viktigste, men å forstå hvordan KI kan bidra i egne oppgaver på en trygg og lovlig måte.
Retningslinjene bør derfor beskrive typiske bruksområder for KI i ulike risikonivåer. I lavrisikosituasjoner kan dette være støtte til klarspråk, strukturering av tekster, utkast til informasjonsskriv, oppsummering av regelverk eller kvalitetssikring av språk – uten bruk av personopplysninger. I situasjoner med moderat risiko kan KI brukes som støtte i planlegging, analyse eller utarbeidelse av interne dokumenter, forutsatt at bruken er vurdert og rammene er tydelige.
Samtidig må det fremgå klart hvilke oppgaver KI ikke skal brukes til, for eksempel der bruken kan påvirke vedtak, rettigheter eller plikter, eller der sensitive person- og saksopplysninger inngår. Når slike grenser er tydelige, slipper ansatte å gjøre vanskelige juridiske vurderinger alene.
Oversikten over hvilke KI-verktøy som er godkjent i de ulike situasjonene er et viktig støttepunkt, men den bør understøtte – ikke overskygge – hovedpoenget: hva KI kan brukes til i praksis. Når ansatte kjenner igjen egne arbeidsoppgaver i eksemplene, blir etterlevelsen enklere og bruken mer treffsikker.
Dette legger til rette for en enhetlig praksis i hele kommunen, der KI tas i bruk der den gir reell nytte, samtidig som risikoen holdes under kontroll.
Leverandørene må godkjennes – ikke bare teknologien
En avgjørende del av styringen handler om å stille tydelige krav til leverandører. Mange systemleverandører introduserer i dag KI-funksjonalitet som en del av eksisterende programvare, ofte uten at kommunen aktivt har tatt stilling til dette.
Alle leverandører som tilbyr KI-funksjonalitet må godkjennes før funksjonene tas i bruk. Leverandøren må kunne dokumentere hvordan KI-løsningen fungerer, hvilke data som brukes, og hvilken risikokategori løsningen faller inn under etter KI-forordningen (AI Act).
For høyrisikosystemer – som vil omfatte store deler av helse- og omsorgstjenestene, barnevernet og deler av saksbehandlingen – må leverandøren kunne dokumentere blant annet datasettkvalitet, sporbarhet, menneskelig kontroll og risikoreduserende tiltak.
Dersom leverandøren ikke kan dokumentere dette, skal KI-funksjonaliteten ikke tas i bruk. Kommunen må være tydelig: ingen KI uten risikovurdering etter AI Act. Dette er en nødvendig del av internkontrollen.
Automatiserte vedtak etter forvaltningsloven – et ofte oversett risikoområde
Bruk av KI i kommunene reiser ikke bare spørsmål om personvern og informasjonssikkerhet, men også grunnleggende forvaltningsrettslige problemstillinger. Etter forvaltningsloven gjelder det strenge regler for automatiserte vedtak, særlig der vedtak treffes helt eller delvis uten menneskelig skjønnsutøvelse.
Dersom kommunene tar i bruk KI-løsninger som gir anbefalinger, prioriteringer eller beslutningsstøtte i saksbehandlingen uten klare rammer, kan grensen mot automatiserte vedtak overskrides uten at det er erkjent. Det kan føre til brudd på krav til forsvarlig saksbehandling, utredningsplikt, begrunnelsesplikt og retten til individuell vurdering.
Uten en tydelig strategi for bruk av KI risikerer kommunen at teknologien i praksis får avgjørende betydning for vedtak, uten at det er dokumentert hvordan vurderingene er gjort, hvilke regler som er lagt til grunn, eller hvordan menneskelig kontroll er ivaretatt. Dette svekker både rettssikkerheten til innbyggerne og kommunens evne til å etterprøve egne beslutninger.
Et todelt system for KI-retningslinjer er derfor også et viktig virkemiddel for å sikre etterlevelse av forvaltningsloven. Overordnede retningslinjer må fastslå at KI ikke kan fatte vedtak på egen hånd, og hvilke former for beslutningsstøtte som er tillatt. Tjenestespesifikke retningslinjer må i tillegg beskrive hvordan KI eventuelt kan brukes i saksforberedelsen, hvilke vurderinger som alltid skal gjøres av et menneske, og hvordan dette skal dokumenteres i saken.
På denne måten kan kommunen bruke KI til å effektivisere arbeidet uten å undergrave grunnleggende forvaltningsrettslige prinsipper som likebehandling, åpenhet og rettssikkerhet.
KI-forordningen forsterker behovet for styring
Når KI-forordningen trer i kraft, må kommunene ha oversikt over hvilke KI-systemer som brukes, hvordan de brukes, og hvilken risiko de representerer. Forordningen stiller krav til sporbarhet, åpenhet, ansvarlighet og dokumentasjon – og til at høyrisikosystemer kun brukes under strenge vilkår.
Et todelt system for KI-retningslinjer gjør det mulig å oppfylle disse kravene uten å skape unødvendig merarbeid i hverdagen. Det gir også kommunene et godt utgangspunkt for å håndtere kravene som vil komme til leverandørene.
Min erfaring som personvernombud
Jeg ser det samme mønsteret i alle kommuner: ansatte er nysgjerrige, lærevillige og ønsker å bruke KI. Det som holder dem igjen er usikkerhet – om regelverket, om verktøyene og om grensene for lovlig bruk.
Denne vurderingen er ikke teoretisk. Den bygger på praktisk erfaring med utvikling av både overordnede kommunale KI-retningslinjer og over 250 tjenestespesifikke KI-retningslinjer i kommunal sektor. Erfaringen viser tydelig at når ansatte får konkrete, tjenestenære eksempler på hva KI kan brukes til – og klare grenser for hva som ikke er tillatt – øker både tryggheten og den faktiske bruken av KI, samtidig som risikoen reduseres.
Når kommunen etablerer både en overordnet og tjenestespesifikke KI-retningslinjer, forsvinner mye av usikkerheten. Ansatte får både trygghet og handlingsrom, samtidig som risikoen reduseres betydelig.
Gevinsten er betydelig
Når KI brukes på en styrt måte, kan kommunene hente ut store gevinster. Tjenestene blir mer effektive, kvaliteten på arbeidet øker, og dokumentasjonen blir mer presis. Ansatte får mer tid til kjerneoppgaver, og innbyggerne får bedre og mer tilgjengelig informasjon.
Samtidig styrkes informasjonssikkerheten og personvernet, fordi bruken av KI blir sporbar, vurdert og kvalitetssikret. Dette er ikke teknologijag – det er god styring.
Konklusjon: Fra vill hest til arbeidshest
Kommunene kan ikke stanse utviklingen, men de kan styre den. Med en tydelig overordnet KI-retningslinje som setter rammene, og tjenestespesifikke retningslinjer som bygger på behandlingsprotokollene, får ansatte klar veiledning i hva som er lov, hva som er risikabelt, hvilke tiltak som kreves og hvilke verktøy som kan brukes.
Når kommunen i tillegg stiller tydelige krav til leverandører og krever risikovurdering etter AI Act, blir KI en trygt forankret del av internkontrollen. Da forvandles KI fra en vill hest som løper i alle retninger – til en arbeidshest som trekker kommunen fremover.
