AI-oppdatering – uke 6
1) EU: Utkast til «Code of Practice» for merking av KI-generert innhold
Hva skjedde:
EU-kommisjonen har et pågående arbeid med en frivillig bransjenorm (“Code of Practice”) for merking og merking/labelling av KI-generert eller manipulert innhold, knyttet til åpenhetskravene i AI Act artikkel 50 (som blir relevante fra august 2026).
Hvorfor dette er relevant i Norge:
Selv om normen er frivillig, vil den i praksis kunne bli en referanseramme for hva som anses som “god praksis” når tilsyn og innkjøpere vurderer transparens (for eksempel i kundedialog, kommunikasjon, opplæring, og innholdsproduksjon). Det handler ikke bare om “deepfakes”, men om rutiner for merking, sporbarhet og informasjon til mottaker – tiltak som norske virksomheter kan bygge inn i styringssystemer og leverandørkrav nå.
Hvem bør merke seg dette:
Ledelse, kommunikasjon, juridisk/compliance, IT/digitalisering, innkjøp (offentlig og privat).
2) EU: Personvernmyndighetene advarer mot forenkling som svekker rettigheter i AI Act
Hva skjedde:
EDPB og EDPS publiserte 21. januar en felles vurdering av et forslag om å “forenkle” deler av AI Act-implementeringen (“Digital Omnibus on AI”), og understreker at administrativ lettelse ikke må redusere vern av grunnleggende rettigheter.
Hvorfor dette er relevant i Norge:
Budskapet er praktisk: Når virksomheter ruller ut KI (særlig generativ KI), vil forventningen om risikovurderinger, dokumentasjon, formålsbegrensning og kontroll på databruk ikke bli “borte” selv om regelverket forsøkes gjort enklere. For norske aktører betyr det at governance må dekke begge spor:
AI Act-logikk (risikoklasser, transparens, styringskrav)
GDPR-logikk (rettslig grunnlag, dataminimering, DPIA der relevant)
Dette peker mot mer integrert styring – ikke flere enkeltstående “KI-policyer”.
Hvem bør merke seg dette:
Juridisk/personvern, ledelse, IT-sikkerhet, produkt-/tjenesteeiere, offentlig sektor.
3) Norge: Datatilsynet varsler tilsyn med alle kommuner – sikkerhet og beredskap i praksis
Hva skjedde:
Datatilsynet varslet 28. januar et omfattende tilsyn mot alle landets 357 kommuner for å kartlegge arbeid med personopplysningssikkerhet og håndtering av hendelser, med svarfrist 20. februar 2026.
Hvorfor dette er relevant i Norge:
Dette er “grunnmur-styring” som direkte påvirker moden KI-bruk: uten robust tilgangsstyring, back-up/gjenoppretting og hendelseshåndtering øker risikoen for at KI-prosjekter (og tilhørende dataflyt) blir en sårbarhetsforsterker. For leverandører til kommunesektoren er dette også et signal om at sikkerhet og etterlevelse blir mer eksplisitte krav i anskaffelser og kontrakter.
Hvem bør merke seg dette:
Kommunedirektør/etatledelse, IT/sikkerhet, personvernombud, leverandører til offentlig sektor, beredskapsansvarlige.
4) OECD: Generativ KI er blitt “hverdagsverktøy” – men adopsjonen er ujevn
Hva skjedde:
OECD publiserte 28. januar nye tall som indikerer at over en tredjedel av personer i OECD-området brukte generative KI-verktøy i 2025, med store forskjeller mellom grupper.
Hvorfor dette er relevant i Norge:
I praksis betyr dette at “shadow AI” blir en styringsutfordring: ansatte vil bruke verktøy uansett, og gapet mellom kompetansegrupper kan gi skjev kvalitet, sikkerhet og etterlevelse. Konsekvensen for virksomheter er at AI literacy (opplæring) og enkle, tydelige rammer for hva som er lov/ikke lov (data, konfidensialitet, kundedata, innsyn) må ses som del av internkontroll – ikke som frivillig kursaktivitet.
Hvem bør merke seg dette:
HR/kompetanse, ledelse, IT, informasjonssikkerhet, linjeledere.
Avsluttende refleksjon
Uken illustrerer et tydelig skifte: verdien av KI avgjøres i økende grad av styringsevne – transparenskrav, datakontroll, sikkerhetsfundament og dokumenterbar praksis. De som lykkes best i 2026 vil normalt være de som standardiserer “hygienefaktorene” (policy, opplæring, logging, leverandørkrav) før de skalerer bruken bredt.
