Innlegg: AI i rådgiverbransjen - verktøy for verdiskaping og rettslige rammer

Hva kjennetegner virksomhetene som lykkes med AI?

AI kan tas i bruk langs hele verdikjeden, fra intern drift til kundeleveranser og strategisk posisjonering. Virksomhetene som lykkes, kjennetegnes ved at teknologien er forankret i forretningsstrategien og at de klarer å integrere AI både internt og i kundeleveransene.

Det er aktørene med domenekunnskap, ikke teknologikunnskap alene, som har det sterkeste utgangspunktet for å automatisere og digitalisere manuelle prosesser. For rådgivende ingeniører og arkitekter innebærer dette at det er fagmiljøene selv som besitter den nødvendige innsikten til å utvikle AI-baserte versjoner av tradisjonelle tjenester, eksempelvis innen prosjektering og analyse.

Verdiskaping ved aktiv bruk av AI

Aktiv bruk av AI vil kunne gi effektivitetsgevinster gjennom automatisering og raskere analyser, som igjen kan bidra til at virksomheten kan ta på seg større oppdrag enn antall ansatte alene tilsier.

Vi ser nå flere eksempler på prosjekteringsverktøy hvor AI er integrert. Ved prosjektering i modell har flere av de store leverandørene innenfor BIM-basert prosjektering AI-agenter som utfører modelleringsoppgaver basert på naturlig språk, automatisert mengdeuttak fra tegninger, konvertering av 2D-planløsninger til 3D-modeller, AI-basert kodeskriving for automatisering av repetitive modelleringsoppgaver og AI-generering av 3D-objekter til bruk i BIM-modeller, AI-baserte analyser av romgeometri og funksjonskrav, noe som muliggjør automatisert prosjektering og plassering av tekniske installasjoner. Dette skaper verdi, sparer tidsbruk og gjør at ingeniørene kan bruke mer av sin tid til kvalitetssikring.

Utfordringer og risiko

Forsvarlig bruk av AI forutsetter formelle styringsrammer med retningslinjer for godkjente verktøy, hvilke data som kan tilføres, tydelig eierskap og krav til logging og sporbarhet. AI introduserer nye angrepsflater som manipulasjon av instruksjoner gjennom inndata (prompt injection), forgiftning av treningsdata (data poisoning) og modelltyveri. For høyrisiko-AI oppstiller AI-forordningen artikkel 15 krav til nøyaktighet, robusthet og cybersikkerhet, herunder motstandsdyktighet mot slik manipulasjon. Når virksomheten utvikler egne løsninger ved hjelp av AI, for eksempel gjennom vibe coding, oppstår særskilte krav til kvalitetssikring og sikkerhet.

Generative modeller forstår ikke innhold i menneskelig forstand, og resultater kan fremstå overbevisende, men likevel være faktisk uriktige, såkalte hallusinasjoner. Den styrende normen bør derfor være at et AI-resultat er et utkast, ikke en ferdig leveranse.

Innføring av AI kan møte organisatorisk motstand. De som lykkes, kombinerer tydelig ledelsesforankring med en tilnærming nedenfra, der fagmiljøene selv identifiserer bruksområder.

Rettslige rammer

Forholdet til norsk rett: EU, EØS og ekstraterritoriell virkning

Regelverkene som behandles nedenfor, er EU-rett. Norge er bundet av EU-regelverk gjennom EØS-avtalen, og en rettsakt blir først bindende norsk rett når den er innlemmet i EØS-avtalen og gjennomført i norsk lov. Per i dag er hverken AI-forordningen eller NIS2-direktivet innlemmet i EØS-avtalen.

AI-forordningen gjelder direkte for alle som tilbyr eller bruker AI-systemer i EU, uavhengig av etableringssted. Den gjelder også der resultatene fra et AI-system er ment å brukes i EU. En norsk virksomhet som opererer i EU-markedet, eller som bruker AI-genererte resultater der, kan allerede i dag være bundet av forordningen, selv uten gjennomføring i norsk rett.

Regelverket vil uansett komme til anvendelse i Norge gjennom EØS, og tilsynsmyndighetene anbefaler forberedelser allerede nå.

AI-forordningen

AI-forordningen (forordning (EU) 2024/1689) er den første helhetlige reguleringen av kunstig intelligens. Den hviler på en risikobasert systematikk som tilsier at jo større risiko et system kan utgjøre for helse, sikkerhet eller grunnleggende rettigheter, desto strengere krav stilles til utvikling og bruk.

Et AI-system regnes som høyrisiko på ett av to alternative grunnlag. Det første er at systemet er, eller inngår som sikkerhetskomponent i, et produkt som omfattes av harmonisert EU-produktregelverk i AI-forordningens vedlegg I og krever samsvarsvurdering av en tredjepart, jf. artikkel 6 nr. 1. Et typisk eksempel er diverse maskiner, medisinsk utstyr, kjøretøy, mv. Det andre grunnlaget er at systemet brukes innenfor et av bruksområdene som er særskilt opplistet i vedlegg III, jf. artikkel 6 nr. 2, uavhengig av om det er knyttet til et regulert produkt.

Risikonivået avhenger av hva systemet faktisk brukes til. Oppgaver som tekstbehandling, beslutningsstøtte, fakturahåndtering og analyse vil typisk innebære lavere risiko, mens AI som styrer eller overvåker sikkerhetskomponenter i regulerte produkter som kjøretøy og maskiner medfører vesentlig høyere risiko.

I en rådgivningsvirksomhet vil de fleste alminnelige verktøyene, til skrivestøtte, informasjonssøk, oversettelse og intern analyse, falle utenfor høyrisikokategorien. Enkelte løsninger kan likevel bli klassifisert som høyrisiko. Da gjelder kravene til høyrisikosystemer i artikkel 8 til 15, som innebærer en rekke forpliktelser for virksomheten.

I Norge gjennomføres forordningen ved lov om kunstig intelligens (KI-loven), som ble sendt på høring sommeren 2025. Ikrafttredelsestidspunktet er ikke avklart, da EØS-forhandlingene har trukket ut. Ambisjonen er ikrafttredelse i løpet av 2026, men dette avhenger av EØS-innlemmelsen. Nkom er utpekt som koordinerende tilsynsmyndighet og anbefaler virksomhetene å forberede seg snarest mulig.

Personvern og GDPR

Personopplysningsloven gjennomfører personvernforordningen (GDPR) i norsk rett og gjelder når AI-verktøy behandler opplysninger som kan knyttes til enkeltpersoner, det vil si enhver opplysning om en identifisert eller identifiserbar fysisk person. Tilsynelatende uskyldige oppgaver som å oppsummere e-poster eller analysere kontrakter kan utgjøre slik behandling dersom dokumentene inneholder navn, kontaktopplysninger eller vurderinger av enkeltpersoner.

Prinsippet om dataminimering, jf. GDPR artikkel 5 nr. 1 bokstav c, krever at personopplysninger begrenses til det som er nødvendig for formålet. Virksomheten bør derfor vurdere om opplysninger kan anonymiseres eller utelates før de tilføres et AI-verktøy, og om det er nødvendig å bruke originaldokumenter med fullt innhold.

Behandling som sannsynligvis medfører høy risiko, særlig omfattende automatisert vurdering av personlige forhold, krever DPIA etter GDPR artikkel 35.

Når en tredjepart behandler personopplysninger på virksomhetens vegne, kreves en databehandleravtale etter GDPR artikkel 28 som sikrer behandling etter dokumenterte instrukser, forhåndsgodkjenning av underleverandører, og sletting eller tilbakelevering ved opphør. Rådgivere som benytter tredjepartsverktøy må særlig sikre gyldig behandlingsgrunnlag og databehandleravtale, at behandlingen skjer innenfor godkjente geografiske områder, og at det er avklart hva som skjer med opplysningene ved opphør.

Informasjonssikkerhet: digitalsikkerhetsloven og NIS2

Digitale angrep øker i omfang, med fare for økonomiske tap og svekket tillit. Dette er bakgrunnen for NIS2-direktivet (direktiv (EU) 2022/2555), som fastsetter et felles grunnivå for digital sikkerhet og skal styrke motstandskraften på tvers av landegrensene.

Direktivet skiller mellom vesentlige og viktige enheter ut fra sektor, tjenestens kritikalitet og virksomhetens størrelse. For rådgiverbransjen er NIS2 først og fremst aktuelt i to tilfeller, enten der virksomheten selv omfattes, eksempelvis som leverandør av digital infrastruktur, eller der virksomheten leverer tjenester til omfattede kunder og derved inngår i kundens leverandørkjede.

Kjerneforpliktelsen følger av direktivet artikkel 21. Virksomheten skal treffe egnede og forholdsmessige tekniske, operasjonelle og organisatoriske tiltak for å håndtere risiko i nettverk og informasjonssystemer.

NIS2 er ikke innlemmet i EØS-avtalen og ventes gjennomført i norsk rett i løpet av 2026. Inntil da gjelder digitalsikkerhetsloven, som trådte i kraft 1. oktober 2025 og gjennomfører det opprinnelige NIS1-direktivet. I tillegg gjelder sikkerhetsloven for virksomheter som behandler sikkerhetsgradert informasjon eller råder over infrastruktur av avgjørende betydning for grunnleggende nasjonale funksjoner. For rådgivere som arbeider med kritisk infrastruktur kan flere av disse regelverkene gjelde samtidig, og det bør vurderes konkret i hvert tilfelle. Som for AI-forordningen bør virksomheter som opererer i EU-markedet eller inngår i en leverandørkjede underlagt NIS2, innrette seg etter kravene uavhengig av tidspunktet for norsk gjennomføring.

Lisensavtaler

For å kunne samhandle digitalt og oppfylle kravene til prosjektering i BIM, er det nødvendig å inngå lisensavtaler. Det finnes mange skytjenesteleverandører, men de mest brukte prosjekteringsverktøyene er Autodesk Revit, Tekla Structures og Graphisoft ArchiCAD. Det er viktig å være oppmerksom på reguleringene i lisensvilkårene knyttet til bruk av AI og maskinlæring. Det kan for eksempel være at programvareleverandøren forbeholder seg retten til å trene modeller og maskiner på data som kunden eier.

Immaterielle rettigheter

Når AI skaper designløsninger basert på historiske data, oppstår spørsmål om rettighetene til resultatet. Opphavsrettslig vern forutsetter etter åndsverkloven § 2 at verket har tilstrekkelig original og individuell skapende åndsinnsats, såkalt verkshøyde. Tekniske tegninger, rapporter og programvare kan være vernet dersom kravet er oppfylt.

Det er uavklart i norsk rett om rent AI-generert innhold kan oppnå slikt vern. Internasjonal praksis tilsier at det ikke kan det, med mindre en fagperson har bidratt aktivt gjennom detaljerte instruksjoner, utvalg og bearbeiding som gir verkshøyde. Avtalen bør derfor regulere rettighetene til AI-genererte resultater, herunder bruksrett, vilkår og adgang til gjenbruk på tvers av prosjekter.

Etter AI-forordningen artikkel 53 plikter tilbydere av allmenne AI-modeller å etterleve EUs opphavsrettsregler, blant annet ved å respektere rettighetshavernes reservasjonsrett og offentliggjøre et sammendrag av treningsdataene. Brukere bør undersøke om modelleverandøren etterlever dette, og være oppmerksomme på at AI-generert innhold kan ligne vernede verk.

Valg av kontraktsmodell

Ved utvikling og levering av teknologi kan andre avtaler enn rådgiverstandardene være bedre egnet, for eksempel SSA-Sky (den lille og store skyavtalen) og SSA-L (løpende tjenestekjøp). SSA-Sky regulerer blant annet tjenestenivå, sikkerhetskrav, dataportabilitet og avvikling, mens SSA-L dekker tjenestenivå, oppfølging, endringshåndtering og opphør. Slike avtaler kan, alene eller i kombinasjon med NS-standardene, gi et mer dekkende rammeverk enn NS 8401 og NS 8402 alene. Ved bruk av andre kontraktsmodeller bør det vurderes om tilsvarende ansvarsbegrensninger skal inntas.

Uavhengig av avtalemodell må datatilgang og dataeierskap reguleres særskilt, herunder om leverandøren kan bruke kundens data til å trene eller forbedre sine modeller, noe som normalt bør kreve uttrykkelig samtykke. Avtalen bør også klargjøre hvem som bærer ansvaret for at tjenesten oppfyller kravene i AI-forordningen, GDPR og eventuelt NIS2.

Opphør og dataoverlevering bør reguleres eksplisitt. I en AI-sammenheng er dette særlig viktig, ettersom kunden kan ha bygget opp historiske datasett, tilpassede modeller eller integrert tjenesten i egen infrastruktur. Mangelfull regulering av dataportabilitet kan medføre uønsket leverandørbinding. Avtalen bør sikre at kunden ved opphør får dataene tilbake i et anvendelig format, og at leverandøren sletter kundens data etter overlevering, med mindre lov krever fortsatt lagring.

Avslutning

Vellykket bruk av AI fordrer en helhetlig tilnærming der strategi, styring, kultur, teknologi og rettslige rammer ses i sammenheng. Teknologien utvikler seg raskere enn regelverket, men vi opererer ikke i et rettslig vakuum. Personopplysningsloven, åndsverkloven, sikkerhetsloven, digitalsikkerhetsloven og alminnelige kontraktsrettslige prinsipper gjelder allerede, mens AI-forordningen og NIS2 er på vei inn gjennom EØS. Oppgaven er å forstå rammene og anvende dem aktivt. Ikke som en brems, men som en styringsmekanisme for ansvarlig og verdiskapende bruk av AI.

Dette er et leserinnlegg og meninger i innlegget står for forfatterens regning.