Hva er AI Governance, og hvorfor er det viktig?

AI Governance handler om å ha kontroll over hvem som bruker AI, hva den har tilgang til, og hvordan den oppdateres. Uten governance risikerer du at sensitiv informasjon lekker, at ansatte bruker AI på ustrukturerte måter, og at systemet blir utdatert. Vi bygger governance inn fra dag én – ikke som et tillegg etterpå.

Hva er en AI Ready-kartlegging?

En AI Ready-kartlegging er en strukturert gjennomgang av din virksomhets nåværende tilstand: hvilke systemer bruker dere, hvordan er data organisert, hvem har tilgang til hva, og hvilke prosesser er repetitive. Resultatet er en mini-governance-rapport med konkrete anbefalinger. Kartleggingen tar 5–10 minutter og er gratis.

Hvor lang tid tar det fra kartlegging til go-live?

For inngangsprodukter (Nivå 1) er typisk leveringstid 2–4 uker fra signert kontrakt. Det inkluderer oppsett, testing, opplæring av nøkkelpersoner og overlevering. Mer komplekse løsninger (Nivå 2–3) tar 4–12 uker eller lenger, avhengig av scope.

Hvilke bransjer jobber IT Buddy med?

Vi har spesialisert oss på hotell og hospitality, rekruttering og bemanning, og facility management. Vi jobber også med øvrige SMB-er med 20–100 ansatte som har konkrete utfordringer med intern informasjonsflyt, repetitive prosesser eller gjestekommunikasjon.

Trenger vi Microsoft 365 for å bruke IT Buddys løsninger?

Nei. Vi integrerer mot de fleste vanlige systemer – Microsoft 365, Google Workspace, CRM-systemer, HR-plattformer og intranett. Hva som passer best avklares i kartleggingsfasen.

Vi oppgir ikke priser på nettsiden, da leveransene er skreddersydde. Ta kontakt for en uforpliktende prat, eller gjennomfør AI Ready-kartleggingen – så gir vi deg et konkret tilbud basert på ditt behov.

Er det trygt å bruke AI med sensitiv bedriftsinformasjon?

Sikkerhet er grunnlaget for alt vi leverer. Vi bygger inn rollebasert tilgangskontroll (RBAC), Privacy by Design og GDPR-compliance fra starten. Vår bakgrunn fra bank, finans og ledende norske advokatfirmaer betyr at vi tar informasjonssikkerhet svært alvorlig.

Kan vi starte med ett produkt og bygge videre?

Ja – det er faktisk slik vi anbefaler å starte. Struktur-stigen er bygget for dette: Nivå 1 er et avgrenset inngangsprodukt som løser ett konkret problem. Hvert nivå er et naturlig neste steg, aldri et salg for salgets skyld.

← Tilbake til blogg

AI Governance 4 min lesetid

Hva betyr KI-loven for norske SMB-er?

IT Buddy 28. mars 2026

KI-loven er ikke bare for store selskaper

Mange har hørt om EU AI Act. Færre vet at den i Norge kalles KI-loven – og at den allerede er delvis i kraft.

Det vanligste misforståelsen vi møter: "Dette gjelder vel bare de store teknologiselskapene?" Svaret er nei. KI-loven gjelder alle som bruker AI i sin virksomhet – inkludert bedrifter med 10, 20 eller 50 ansatte.

Denne artikkelen forklarer hva KI-loven faktisk betyr for deg som driver en norsk SMB, uten å gjemme seg bak juridisk språk.

Hva er KI-loven?

KI-loven er den norske betegnelsen på EUs forordning om kunstig intelligens (EU AI Act, forordning 2024/1689). Den ble vedtatt av EU-parlamentet i 2024 og innføres gradvis frem til 2027.

Norge er ikke EU-medlem, men er gjennom EØS-avtalen forpliktet til å implementere EU-regelverk. KI-loven vil derfor bli norsk lov – det er kun et tidsspørsmål.

Den korte versjonen: KI-loven stiller krav til hvordan AI-systemer utvikles, selges og brukes i Europa. Jo høyere risiko et AI-system medfører, desto strengere krav.

Hva betyr det konkret for din bedrift?

Som norsk SMB er du i de aller fleste tilfeller en bruker av AI – ikke en utvikler. Det betyr at du kjøper og tar i bruk AI-verktøy fra andre (ChatGPT, Copilot, et rekrutteringssystem, et analyseverktøy).

Som bruker har du lettere forpliktelser enn leverandørene, men du har likevel ansvar for tre ting:

1. Vite hvilken risikoklasse AI-bruken din faller i

KI-loven deler AI-systemer inn i fire kategorier:

Kategori	Eksempler	Krav
Uakseptabel risiko	Social scoring, skjult manipulasjon	Forbudt
Høy risiko	CV-screening, kredittbeslutninger, HR-overvåking	Strenge krav
Begrenset risiko	Chatboter, AI som kommuniserer med kunder	Transparenskrav
Minimal risiko	Spam-filtre, anbefalingssystemer, skriveassistenter	Ingen særkrav

Det avgjørende er ikke hvilket verktøy du bruker, men hva du bruker det til.

Et eksempel: ChatGPT brukt til å skrive e-poster er minimal risiko. ChatGPT brukt til å sortere jobbsøknader og ta innledende beslutninger om hvem som går videre – det er høy risiko.

2. Sikre at høy-risiko AI brukes med menneskelig tilsyn

Bruker du AI i rekruttering, kredittvurdering eller lignende beslutningsprosesser? Da krever KI-loven at et menneske er involvert i beslutningen. AI kan hjelpe, men kan ikke bestemme alene.

3. Sjekke at leverandørene dine er compliant

Du er ansvarlig for å bruke verktøy som overholder regelverket. Det betyr at du bør stille krav til leverandørene dine – spesielt ved fornyelse av avtaler.

Hvilke tidsfrister gjelder?

Dato	Hva skjer
Februar 2025	Forbud mot AI-systemer med uakseptabel risiko trer i kraft
August 2025	Krav til leverandører av store AI-modeller (GPT-4, Claude, Gemini)
August 2026	Krav til høy-risiko AI-systemer
August 2027	Krav til visse eksisterende systemer

For de fleste norske SMB-er er det kravene fra august 2026 som er mest relevante – det er da høy-risiko AI, inkludert mange HR- og rekrutteringsverktøy, må oppfylle strenge dokumentasjonskrav.

Det høres langt unna ut. Det er det ikke. Systemene og rutinene tar tid å bygge.

Hva skjer hvis du ikke gjør noe?

KI-loven åpner for bøter på opptil 35 millioner euro eller 7 % av global omsetning for de alvorligste bruddene. For brudd på krav som gjelder brukere er satsene lavere, men ikke ubetydelige.

Men bøter er ikke den største risikoen for en SMB. Det er:

Omdømmeskade hvis det kommer frem at dere behandler personopplysninger ulovlig via AI
Tap av kundeavtaler fordi kunder og partnere stiller compliance-krav
Revisjonsrisiko hvis dere ikke kan dokumentere AI-bruken

Hva bør du gjøre nå?

Du trenger ikke advokat eller konsulentrapport på hundrevis av sider. Start med det enkle:

Steg 1: Kartlegg
Hvilke AI-verktøy brukes i bedriften, av hvem og til hva? Mange ledere oppdager at ansatte bruker verktøy de ikke visste om.

Steg 2: Klassifiser
Gå gjennom lista og vurder: er noen av disse verktøyene brukt til beslutninger som påvirker mennesker (rekruttering, ytelsesmåling, kredittvurdering)? Det er der risikoen sitter.

Steg 3: Lag enkle regler
En enkel AI-policy som sier hva som er tillatt, hva som ikke er det, og hvilke verktøy som er godkjent – det er det viktigste enkelttiltaket du kan gjøre.

Steg 4: Dokumenter
Begynn å loggføre hvilke AI-verktøy dere bruker og til hva. Det tar lite tid å gjøre nå, og sparer mye tid om dere noen gang blir revidert.

Én ting du kan gjøre i dag

Ta vår gratis AI Ready-kartlegging. Den tar 5–10 minutter, og du får en konkret rapport som viser hvor bedriften din står i forhold til KI-lovens krav – og hva som bør gjøres først.

Det er ingen forpliktelse. Bare et godt utgangspunkt.

Klar for neste steg?

Ta vår AI Ready-kartlegging og finn ut hvor din bedrift står.

Ta AI Ready-kartlegging