Hva er AI Governance, og hvorfor er det viktig?

AI Governance handler om å ha kontroll over hvem som bruker AI, hva den har tilgang til, og hvordan den oppdateres. Uten governance risikerer du at sensitiv informasjon lekker, at ansatte bruker AI på ustrukturerte måter, og at systemet blir utdatert. Vi bygger governance inn fra dag én – ikke som et tillegg etterpå.

Hva er en AI Ready-kartlegging?

En AI Ready-kartlegging er en strukturert gjennomgang av din virksomhets nåværende tilstand: hvilke systemer bruker dere, hvordan er data organisert, hvem har tilgang til hva, og hvilke prosesser er repetitive. Resultatet er en mini-governance-rapport med konkrete anbefalinger. Kartleggingen tar 5–10 minutter og er gratis.

Hvor lang tid tar det fra kartlegging til go-live?

For inngangsprodukter (Nivå 1) er typisk leveringstid 2–4 uker fra signert kontrakt. Det inkluderer oppsett, testing, opplæring av nøkkelpersoner og overlevering. Mer komplekse løsninger (Nivå 2–3) tar 4–12 uker eller lenger, avhengig av scope.

Hvilke bransjer jobber IT Buddy med?

Vi har spesialisert oss på hotell og hospitality, rekruttering og bemanning, og facility management. Vi jobber også med øvrige SMB-er med 20–100 ansatte som har konkrete utfordringer med intern informasjonsflyt, repetitive prosesser eller gjestekommunikasjon.

Trenger vi Microsoft 365 for å bruke IT Buddys løsninger?

Nei. Vi integrerer mot de fleste vanlige systemer – Microsoft 365, Google Workspace, CRM-systemer, HR-plattformer og intranett. Hva som passer best avklares i kartleggingsfasen.

Vi oppgir ikke priser på nettsiden, da leveransene er skreddersydde. Ta kontakt for en uforpliktende prat, eller gjennomfør AI Ready-kartleggingen – så gir vi deg et konkret tilbud basert på ditt behov.

Er det trygt å bruke AI med sensitiv bedriftsinformasjon?

Sikkerhet er grunnlaget for alt vi leverer. Vi bygger inn rollebasert tilgangskontroll (RBAC), Privacy by Design og GDPR-compliance fra starten. Vår bakgrunn fra bank, finans og ledende norske advokatfirmaer betyr at vi tar informasjonssikkerhet svært alvorlig.

Kan vi starte med ett produkt og bygge videre?

Ja – det er faktisk slik vi anbefaler å starte. Struktur-stigen er bygget for dette: Nivå 1 er et avgrenset inngangsprodukt som løser ett konkret problem. Hvert nivå er et naturlig neste steg, aldri et salg for salgets skyld.

← Tilbake til blogg

AI Governance 4 min lesetid

EU AI Act: Hva betyr det for norske bedrifter?

IT Buddy 22. mars 2026

Hva er EU AI Act?

EU AI Act (forordning 2024/1689) er verdens første helhetlige lov om kunstig intelligens. Den ble vedtatt av EU-parlamentet i mars 2024, trådte i kraft i august 2024, og rulles ut i faser frem til 2027.

Norge er ikke EU-medlem, men er gjennom EØS-avtalen forpliktet til å implementere EU-regelverk – inkludert AI Act. Det er derfor en tidssak, ikke et "om".

Risiko-basert tilnærming

AI Act deler AI-systemer inn i fire risikonivåer:

Uakseptabel risiko – forbudt

Systemer som vurderer sosial atferd ("social scoring"), manipulerer mennesker ubevisst, eller bruker biometrisk overvåking i det offentlige rom uten særskilt tillatelse. Disse er forbudt fra og med februar 2025.

Høy risiko – strenge krav

Systemer som brukes i kritiske beslutninger:

Rekruttering og HR (screening av CV-er, ytelsesovervåking)
Kreditt og forsikring
Utdanning
Kritisk infrastruktur
Rettshåndhevelse

Høy-risiko systemer krever risikovurdering, teknisk dokumentasjon, menneskelig tilsyn og logging.

Begrenset risiko – transparenskrav

Chatboter og AI som samhandler med mennesker må opplyse om at brukeren snakker med en AI.

Minimal risiko – ingen krav

Spam-filtre, anbefalingssystemer, AI i spill. Ingen spesifikke krav.

Når gjelder hva?

Dato	Hva trer i kraft
Februar 2025	Forbud mot uakseptabel risiko
August 2025	Krav til generell-formål AI-modeller (GPAI)
August 2026	Krav til høy-risiko systemer
August 2027	Krav til visse eksisterende systemer

I praksis: De fleste SMB-er har tid til å forberede seg, men forberedelsene bør starte nå.

Hvem gjelder det for?

AI Act gjelder for alle som utvikler, distribuerer eller bruker AI-systemer i EU/EØS – uavhengig av størrelse.

Det betyr:

Leverandører av AI-systemer som selges i EU
Importører og distributører av AI-produkter
Brukere (bedrifter og organisasjoner) som tar AI i bruk

Som norsk SMB er du typisk en bruker – du kjøper og bruker AI-verktøy fra andre. Da gjelder lettere forpliktelser enn for selve leverandørene, men du har fortsatt ansvar for å:

Sjekke at verktøyene du bruker er i samsvar med regelverket
Sikre at høy-risiko AI brukes med tilstrekkelig menneskelig tilsyn
Dokumentere bruken av AI der det kreves

Hva er GPAI-modeller og hvorfor er det relevant?

Generell-formål AI-modeller (GPAI) er modeller som kan brukes til mange oppgaver – som GPT-4, Claude, Gemini. Fra august 2025 må leverandører av slike modeller oppfylle krav om:

Teknisk dokumentasjon
Overholdelse av opphavsrettslovgivning
Transparent kommunikasjon til bedriftskunder

For deg som bruker disse verktøyene betyr det at leverandørene (OpenAI, Anthropic, Google) må levere klar dokumentasjon. Sjekk at leverandøren din er forberedt.

De vanligste feilene vi ser allerede

1. "Vi er for små til at det gjelder oss"
AI Act skiller ikke på størrelse. En bedrift med 10 ansatte som bruker AI i rekruttering, er like underlagt høy-risiko-kravene som en stor konsern.

2. "Vi bruker bare ChatGPT, det er ikke risikabelt"
Det avhenger av hva du bruker det til. Brukes det til å screene jobbsøknader? Da er det høy risiko. Brukes det til å skrive e-poster? Minimal risiko.

3. "Vi venter til regelverket er implementert i Norge"
Norsk implementering kan komme raskt. Og EU-kunder og partnere vil allerede nå stille krav.

Hva bør norske SMB-er gjøre nå?

Steg 1: Kartlegg AI-bruken

Hvilke AI-verktøy brukes, av hvem, og til hva? Du kan ikke styre det du ikke kjenner.

Steg 2: Klassifiser risikoen

For hvert verktøy og brukstilfelle: hvilken risikokategori faller det i? Høy, begrenset eller minimal?

Steg 3: Dokumenter

For høy-risiko bruk: lag rutiner, logg beslutninger, sørg for menneskelig tilsyn.

Steg 4: Sjekk leverandørene dine

Er verktøyene dere bruker i ferd med å bli compliant? Sørg for at leverandøravtalene regulerer dette.

Steg 5: Bygg en AI-policy

En enkel, klar intern policy for AI-bruk er det mest konkrete du kan gjøre akkurat nå.

Oppsummering

EU AI Act er ikke en fremtidig trussel – den er allerede delvis i kraft. For norske SMB-er er det viktigste første steget å forstå hvilke AI-systemer dere bruker og hvilken risikokategori de faller i.

Trenger du hjelp med å kartlegge og klassifisere AI-bruken i din bedrift? Det er akkurat det IT Buddy gjør. Ta kontakt for en uforpliktende prat.

Klar for neste steg?

Ta vår AI Ready-kartlegging og finn ut hvor din bedrift står.

Ta AI Ready-kartlegging