Et kontrollert rom for ansvarlig innovasjon
Alexandra Kleinitz Schultz fra Digitaliseringsdirektoratet åpnet med å beskrive ambisjonen bak den nye regulatoriske KI-sandkassen: Norske virksomheter skal kunne utvikle og ta i bruk kunstig intelligens på en måte som skaper verdi, samtidig som tillit, sikkerhet og grunnleggende rettigheter ivaretas.
– Vår ambisjon er at norske virksomheter skal kunne utvikle og ta i bruk KI på en måte som skaper verdi, men som ivaretar tillit, sikkerhet og grunnleggende rettigheter, sa Schultz.
Sandkassen etableres i samarbeid mellom Digitaliseringsdirektoratet, Nasjonal kommunikasjonsmyndighet og Datatilsynet. Den skal ligge i KI Norge, men utvikles og drives i tett samarbeid mellom de tre myndighetene.
Artikkelen fortsetter etter annonsen:
En sandkasse som ennå ikke er født
Kari Laumann fra Datatilsynet beskrev sandkassen som en baby i emning. Den er ikke formelt født ennå, fordi den henger sammen med KI-loven og KI-forordningen.
– Akkurat nå er vi kanskje gravide. Den er ikke helt født. Den blir født når KI-loven trer i kraft, sa Laumann.
Hun understreket at kunstig intelligens ofte berører mennesker direkte. Mange KI-løsninger bygger på data om enkeltpersoner og påvirker beslutninger som kan få betydning for liv, rettigheter og tjenester.
Derfor må personvern og grunnleggende rettigheter bygges inn tidlig.
– For å lykkes med gode og ansvarlige KI-systemer må personers grunnleggende rettigheter inn tidlig. Ikke sånn at vi rydder opp på slutten, sa Laumann.
Regelverket skal bli mer anvendelig
Nicolay Eckhoff fra Nkom pekte på at KI-forordningen stiller krav om at hvert EU-land skal etablere minst én regulatorisk sandkasse.
For Nkom handler arbeidet om å bidra til en samordnet og forutsigbar gjennomføring av KI-forordningen i Norge. Sandkassen skal gjøre regelverket mer praktisk og anvendelig for virksomheter som utvikler eller tar i bruk KI.
– Sandkassen er et virkemiddel for å bære de samme virksomhetene og for å gjøre regelverket mer anvendelig for bedrifter i konkrete prosjekter, sa Eckhoff.
Han pekte også på at erfaringene fra sandkassen skal rapporteres tilbake til EU-systemet. Dermed blir ordningen ikke bare nyttig for enkeltprosjekter, men også en kilde til læring på europeisk nivå.
Artikkelen fortsetter etter annonsen:
Usikkerhet stopper gode prosjekter
Bakgrunnen for sandkassen er at KI-utviklingen går raskere enn den regulatoriske tryggheten ute i virksomhetene. Mange har gode ideer, men er usikre på hvilke regler som gjelder og hvordan de skal etterleves i praksis.
– Gjelder regelverket oss? Hvordan etterlever vi kravene? Hvordan gjør vi det i praksis? sa Laumann.
Denne usikkerheten kan få to uheldige konsekvenser. Enten stopper gode prosjekter opp, eller så rulles de videre uten riktig innretning.
Sandkassen skal bidra til at virksomheter får avklart spørsmål tidlig, før teknologien er låst og før risikoen blir vanskeligere å håndtere.
Ikke fritak fra regler
Schultz var tydelig på at en regulatorisk sandkasse ikke er et fristed fra regelverket. Poenget er ikke at reglene settes til side, men at virksomhetene får utforske hvordan reglene fungerer i praksis, under veiledning og innenfor avtalte rammer.
– Poenget er ikke at reglene settes til side, poenget er at virksomhetene bør utforske regelverket i praksis, sa Schultz.
Et sandkasseprosjekt starter gjerne med en idé til en KI-løsning og en søknad. Deretter følger et forløp der virksomheten og myndighetene diskuterer problemstillinger, risiko, dokumentasjon og mulige tiltak.
Målet er at virksomheten kommer ut med bedre forståelse av hva som må på plass før marked, drift eller videre utvikling.
Små og mellomstore bedrifter skal få lettere vei
Sandkassen skal også bidra til å lette reguleringsbyrden, særlig for små og mellomstore bedrifter. Mange mindre virksomheter har ikke egne juridiske, regulatoriske og sikkerhetsfaglige miljøer.
Gjennom sandkassen skal de få bedre grunnlag for å forstå krav, roller, risikoreduserende tiltak og dokumentasjon.
– Den enkelte virksomhet får bedre grunnlag for å forstå krav, roller, risikoreduserende tiltak og dokumentasjon, sa Laumann.
Samtidig ligger ansvaret fortsatt hos virksomhetene selv.
– Ansvar og plikter ligger fremdeles hos virksomhetene som deltar i sandkassen, sa Schultz.
Myndighetene må lære sammen
Sandkassen er ikke bare et tilbud til virksomheter. Den er også en læringsarena for myndighetene.
KI-prosjekter treffer ofte flere regelverk samtidig. Derfor kan ikke myndighetene jobbe i siloer. Datatilsynet bringer inn kompetanse på personvern og erfaring fra sin eksisterende personvernsandkasse. Nkom bidrar med koordinering mot KI-forordningen, EU og sektormyndigheter. KI Norge skal bringe inn innovasjonsperspektiv, metodikk, veiledning og koblinger til akademia, næringsliv og offentlig sektor.
– Virksomhetene opplever ikke utfordringer i siloer, og derfor kan ikke myndighetene jobbe i siloer heller, sa Schultz.
Laumann pekte på at Datatilsynet allerede har seks års erfaring med en regulatorisk sandkasse for personvern.
– Vi ser at det er en effektiv måte å finne ansvarlige løsninger i praksis, sa hun.
To piloter er allerede i gang
Arbeidet med KI-sandkassen er allerede i gang gjennom to piloter. Pilotene skal teste metodikk, samarbeid og hvordan et sandkasseforløp bør se ut for å gi mest mulig verdi.
– Pilotene tester metodikken, samarbeidet og hvordan et sandkasseforløp bør se ut, sa Schultz.
I pilotene ser arbeidsgruppen på grunnleggende spørsmål: Er løsningen et KI-system etter definisjonen i KI-forordningen? Hvilket risikonivå har den? Hvilken rolle har deltakeren? Og hvilke krav gjelder i så fall?
Dette omtales foreløpig som pre-piloter. Etter hvert er målet å gå dypere inn i konkrete krav, som risikohåndtering, datakvalitet, teknisk dokumentasjon og menneskelig tilsyn.
Norsk lovarbeid er ikke ferdig
KI-forordningen er ennå ikke implementert i Norge. Før regelverket gjelder fullt ut her, må det tas inn i EØS-avtalen og gjennomføres i norsk rett gjennom KI-loven.
– Utkastet til KI-lov har vært på høring, men lovarbeidet i Norge er ikke ferdig, sa Schultz.
Planleggingen av sandkassen må derfor ta hensyn til både EU-tidslinjen, EØS-prosessen og den norske lovprosessen. I tillegg pågår det endringer i EU gjennom det som omtales som AI Omnibus, der blant annet enkelte krav og tidsfrister kan bli justert.
Sandkassen var opprinnelig ventet å tre i kraft i august i år, men tidslinjen er utsatt med ett år på EU-nivå.
– We will continue, sa Schultz.
Bruker tiden til å bygge godt
Selv om regelverket ikke er ferdig på plass, bruker Digdir, Nkom og Datatilsynet tiden til å forberede ordningen. De utvikler veiledning, tester forløp og bygger samarbeidsmodellen mellom de tre myndighetene.
– Målet vårt er ansvarlig innovasjon, sa Schultz.
Sandkassen skal gi mer regulatorisk trygghet i virksomhetene, bedre læring hos myndighetene og høyere tillit til KI-systemer.
– Vi håper virkelig at mange av dere vil benytte dere av sandkassetilbudet, sa hun.
Budskapet fra arbeidsgruppen var tydelig: Skal Norge lykkes med KI, må innovasjon og regulering utvikles sammen. Sandkassen skal være stedet der virksomheter kan stille spørsmål tidlig, teste forsvarlig og bygge løsninger som både virker og tåler tillit.
Anbefalinger:
- Bruk sandkassen tidlig i KI-prosjekter
Virksomheter bør søke veiledning før løsningen er ferdig utviklet, slik at risiko, dokumentasjon og regelverkskrav kan håndteres fra starten. - Bygg personvern og grunnleggende rettigheter inn fra start
KI-systemer som påvirker mennesker må utvikles med personvern, sikkerhet, transparens og rettigheter som premisser, ikke som opprydding til slutt. - Se sandkassen som støtte, ikke fritak
Reglene settes ikke til side i en regulatorisk sandkasse. Poenget er å forstå hvordan regelverket kan etterleves i praksis. - Gi små og mellomstore bedrifter lettere tilgang til regelverksforståelse
SMB-er bør få praktisk hjelp til å forstå roller, risikonivå, dokumentasjonskrav og ansvar etter KI-forordningen. - Avklar om løsningen faktisk er et KI-system
Før virksomheter går langt i utviklingen, bør de vurdere om løsningen omfattes av KI-forordningen, hvilken rolle de har, og hvilke krav som gjelder. - Bruk sandkassen til å teste risikohåndtering
Virksomheter bør bruke sandkasseforløp til å vurdere datakvalitet, teknisk dokumentasjon, menneskelig tilsyn, sikkerhet og mulige skadevirkninger. - Sørg for samordnet myndighetsveiledning
KI-prosjekter treffer ofte flere regelverk samtidig. Digdir, Nkom, Datatilsynet og sektormyndigheter bør gi virksomhetene mest mulig helhetlige svar. - La myndighetene lære av konkrete prosjekter
Sandkassen bør brukes til å avdekke uklare regler, gjentakende veiledningsbehov og praktiske hindringer for ansvarlig KI-innovasjon. - Koble innovasjon og regulering tettere sammen
Norge bør utvikle KI-politikk, veiledning og regelverkspraksis i dialog med virksomheter som faktisk bygger og tar i bruk KI. - Bygg tillit som konkurransefortrinn
Ansvarlig KI, god dokumentasjon og tydelig risikostyring bør brukes som en styrke for norske virksomheter som vil utvikle løsninger for markedet.
Digitaliseringskonferansen 2026, 16.-17. juni: Balansekunst
Verden står i et radikalt skifte drevet frem av kunstig intelligens. Med kloke valg kan Norge sikre digital suverenitet og verne om våre demokratiske verdier. Som et lite land med høye KI-ambisjoner går vi på en stram line. Vi må finne balansen mellom å handle raskt og klokt, samtidig som vi må samarbeide tett og prioritere skarpt for å lykkes.
Kilde: digdir.no
