Hva er AI Governance, og hvorfor er det viktig?

AI Governance handler om å ha kontroll over hvem som bruker AI, hva den har tilgang til, og hvordan den oppdateres. Uten governance risikerer du at sensitiv informasjon lekker, at ansatte bruker AI på ustrukturerte måter, og at systemet blir utdatert. Vi bygger governance inn fra dag én – ikke som et tillegg etterpå.

Hva er en AI Ready-kartlegging?

En AI Ready-kartlegging er en strukturert gjennomgang av din virksomhets nåværende tilstand: hvilke systemer bruker dere, hvordan er data organisert, hvem har tilgang til hva, og hvilke prosesser er repetitive. Resultatet er en mini-governance-rapport med konkrete anbefalinger. Kartleggingen tar 5–10 minutter og er gratis.

Hvor lang tid tar det fra kartlegging til go-live?

For inngangsprodukter (Nivå 1) er typisk leveringstid 2–4 uker fra signert kontrakt. Det inkluderer oppsett, testing, opplæring av nøkkelpersoner og overlevering. Mer komplekse løsninger (Nivå 2–3) tar 4–12 uker eller lenger, avhengig av scope.

Hvilke bransjer jobber IT Buddy med?

Vi har spesialisert oss på hotell og hospitality, rekruttering og bemanning, og facility management. Vi jobber også med øvrige SMB-er med 20–100 ansatte som har konkrete utfordringer med intern informasjonsflyt, repetitive prosesser eller gjestekommunikasjon.

Trenger vi Microsoft 365 for å bruke IT Buddys løsninger?

Nei. Vi integrerer mot de fleste vanlige systemer – Microsoft 365, Google Workspace, CRM-systemer, HR-plattformer og intranett. Hva som passer best avklares i kartleggingsfasen.

Vi oppgir ikke priser på nettsiden, da leveransene er skreddersydde. Ta kontakt for en uforpliktende prat, eller gjennomfør AI Ready-kartleggingen – så gir vi deg et konkret tilbud basert på ditt behov.

Er det trygt å bruke AI med sensitiv bedriftsinformasjon?

Sikkerhet er grunnlaget for alt vi leverer. Vi bygger inn rollebasert tilgangskontroll (RBAC), Privacy by Design og GDPR-compliance fra starten. Vår bakgrunn fra bank, finans og ledende norske advokatfirmaer betyr at vi tar informasjonssikkerhet svært alvorlig.

Kan vi starte med ett produkt og bygge videre?

Ja – det er faktisk slik vi anbefaler å starte. Struktur-stigen er bygget for dette: Nivå 1 er et avgrenset inngangsprodukt som løser ett konkret problem. Hvert nivå er et naturlig neste steg, aldri et salg for salgets skyld.

← Tilbake til blogg

AI Governance 5 min lesetid

AI i rekruttering: Hva du kan automatisere, hva loven krever, og hvor ansvaret ligger

Uros Vujic 2. april 2026

Mange norske bedrifter bruker allerede AI i rekrutteringen. Noen vet det. Andre gjør det uten å tenke over det — gjennom LinkedIn Recruiter, automatiserte e-postsvar eller et ATS-system som rangerer kandidater.

Det er ikke et problem i seg selv. Men fra august 2026 gjelder nye lovkrav for AI i rekruttering — og de fleste norske SMB-er er ikke klare.

Hva EU AI Act faktisk krever av AI i rekruttering

EU AI Act — eller KI-loven — trådte i kraft i 2024 og rulles gradvis ut. Den 2. august 2026 aktiveres kravene for det som loven definerer som høyrisiko-AI.

Rekruttering er eksplisitt nevnt. Loven lister opp CV-screening og kandidatrangering som høyrisiko-bruksområder — fordi beslutningene direkte påvirker menneskers tilgang til arbeid.

Det betyr ikke at du ikke kan bruke AI i rekruttering. Det betyr at du må kunne dokumentere at du gjør det forsvarlig.

Hva skjer 2. august 2026?

Etter denne datoen må systemer som bruker AI til å sortere, rangere eller filtrere jobbsøkere oppfylle en rekke krav:

Kandidater må informeres om at AI brukes i prosessen
Det må finnes menneskelig kontroll over beslutningene
Systemet må kunne revideres — det vil si at valg og forkastelser må kunne forklares og etterspores
Det må gjennomføres en personvernvurdering (DPIA) før systemet tas i bruk

Bedrifter som ikke er klare, risikerer tilsyn og sanksjoner. Men viktigere: de risikerer å behandle søkere på en måte som ikke tåler etterkontroll.

Hva kan du faktisk automatisere — og hva kan du ikke?

Her er det mye forvirring. La oss rydde opp.

Trygt å automatisere

Disse oppgavene er administrative og innebærer ikke vurdering av kandidater. De kan automatiseres uten at det utløser høyrisiko-kravene:

Bekreftelsesmail og statusoppdateringer til søkere
Innkalling til intervju basert på kalenderintegrasjon
Videreformidling av søknader til riktig ansvarlig
Standardiserte svar på vanlige spørsmål om stillingen
Samling og strukturering av søknadsdokumenter

Dette er prosessautomatisering — ikke beslutningsstøtte. Og det er her mye av tidsgevinsten faktisk ligger.

Krever menneskelig kontroll

Disse oppgavene kan støttes av AI, men ikke overlates til den:

Rangering og prioritering av kandidater
Vurdering av om en søker er kvalifisert
Beslutning om hvem som går videre i prosessen
Tilbakemelding med begrunnelse for avslag

AI kan flagge, foreslå og strukturere. Men et menneske må ta den endelige beslutningen — og det må dokumenteres at det er tilfelle.

Tre krav som alltid gjelder

Uansett hvilke verktøy du bruker, er det tre krav du ikke kommer utenom når AI er involvert i rekrutteringen:

1. Transparens

Kandidater har rett til å vite at AI brukes. Det holder ikke med et lite avsnitt i personvernerklæringen. Informasjonen må være tydelig og tilgjengelig — gjerne direkte i stillingsannonsen eller søknadsportalen.

2. DPIA

En DPIA (Data Protection Impact Assessment) er ikke valgfritt når du behandler personopplysninger i et høyrisiko-system. DPIA-kravet i KI-loven tilsvarer det du allerede kjenner fra GDPR-regelverket — du kartlegger hvilke data som samles inn, hvordan de brukes, og hvilke tiltak som er på plass for å beskytte søkerne.

Mange norske SMB-er hopper over dette. Det er en feil som kan komme tilbake og bite.

3. Logging og revisjonsspor

Systemet må kunne svare på spørsmålet: "Hvorfor ble denne kandidaten forkastet?" Ikke bare i teorien — men med faktisk dokumentasjon. Det betyr at alle handlinger systemet utfører, bør logges på en måte som gjør dem etterprøvbare.

Ansvaret ligger hos deg — ikke leverandøren

Dette er et punkt mange undervurderer.

Bruker du et AI-verktøy du har kjøpt fra en tredjepart — et ATS-system, et LinkedIn-tillegg, et CV-screeningsverktøy — er du likevel den juridisk ansvarlige som arbeidsgiver. Det er din bedrift som bruker systemet overfor dine søkere. Leverandøren kan ikke ta ansvaret for deg.

Det betyr at du må stille krav til leverandøren din: Hva gjør systemet egentlig? Hvilke data trener det på? Kan du få ut en forklaring på hvorfor en kandidat ble rangert som den ble?

Kan ikke leverandøren svare på det, er det et problem — uavhengig av hva kontrakten sier.

Slik ser governance-klar rekruttering ut

Sjekkliste: Governance-klar AI-rekruttering

Søkere informeres om AI-bruk i prosessen (i annonsen eller søknadsskjemaet)
DPIA er gjennomført og dokumentert
Alle AI-forslag undergår menneskelig gjennomgang før beslutning tas
Loggføring er aktivert — valg og forkastelser kan etterspores
Tilgangsstyring (RBAC) er satt opp — kun riktige personer ser kandidatdata
Leverandøravtaler er gjennomgått for ansvarsfordeling
Rutine for å håndtere innsynsforespørsler fra kandidater er etablert

Ikke alle punktene er like enkle å huke av. Men de er alle mulige — og de er alle nødvendige.

Eksempel: 83 % tidsbesparelse — gjort riktig

En norsk SMB gikk fra 122 til 23 timer per rekruttering etter å ha implementert AI-støtte i prosessen. Det er en tidsbesparelse på 83 %.

Hva gjorde de? De brukte Rekrutterings-Roy til å automatisere det som er trygt å automatisere: bekreftelsesmail, intervjubooking, strukturering av søknader og videreformidling internt i Teams. AI ble brukt til å samle og presentere informasjon — ikke til å rangere eller avslå.

Menneskelig gjennomgang ble holdt der den hørte hjemme. Og hele løpet ble dokumentert med DPIA og revisjonsspor på plass fra dag én.

Det er ikke en teoretisk modell. Det er slik strukturert implementering ser ut i praksis — og det er slik det kan gjøres uten å løpe en juridisk risiko inn i 2026.

Hva bør du gjøre nå?

Fristen er 2. august 2026. Det er fire måneder unna.

Det er nok tid til å gjøre dette riktig — hvis du begynner nå. Det er ikke nok tid hvis du venter til juli.

Et naturlig neste steg er å kartlegge hvilke AI-verktøy dere allerede bruker — og vurdere dem opp mot kravene. Mange bedrifter oppdager at de har mer AI i rekrutteringen enn de trodde.

Bruker dere allerede AI i rekrutteringen — eller vurderer det? Vi gjennomfører en gratis gjennomgang av hvor dere står i forhold til kravene som trer i kraft i august. Ta kontakt.

Uros Vujic

Daglig leder, IT Buddy AS

Uros hjelper norske SMB-er med å innføre AI på en kontrollert og bærekraftig måte. Bakgrunn fra IT-infrastruktur i bank og finans, med spesialisering i AI governance, RBAC og GDPR-compliant implementering.

Klar for neste steg?

Ta vår AI Ready-kartlegging og finn ut hvor din bedrift står.

Ta AI Ready-kartlegging