# AI-arkitekturutredning — Acme Kunde-chatbot for Acme Kommune

## 1. Bakgrunn og formål

Acme Kommune har siden 2018 driftet en on-prem Acme Kunde-chatbot-løsning for operasjonell analyse på tvers av leverandørens tjenesteportefølje. Løsningen er basert på et OCR-bibliotek fra 2017 og leveres som et lukket system uten mulighet for retrening eller forbedring av modell. Saksbehandlingen er manuell og tar i snitt 14 minutter per sak. Et internt AI-team utreder modernisering til en skybasert AI-plattform som støtter custom modell-trening, audit-logging på inferens-nivå, og saksbehandler-co-pilot.

## 2. Mandat

Utredningen skal:
- Anbefale teknologivalg blant Azure AI Foundry, Azure ML+AKS, AWS SageMaker og on-prem GPU-cluster
- Vurdere compliance-status mot EU AI Act, GDPR, sikkerhetsloven og arkivloven
- Estimere TCO over 3 år
- Identifisere risiko og foreslå mitigerende tiltak
- Definere KPI-er for produksjonssetting

## 3. Metode

Utredningen kombinerer:
- Kvalitativ analyse av compliance-krav per relevante lover og forskrifter
- Kvantitativ TCO-analyse basert på 12 millioner Acme Kunde-chatbot-deteksjoner/mnd
- Risikoanalyse per NS 5814 og DPIA per Datatilsynets veileder
- Markedsundersøkelse av tilgjengelige plattformer fra Azure, AWS og GCP

## 4. Funn

### 4.1 Compliance

EU AI Act klassifiserer systemet som høyrisiko (Annex III, punkt 6 — rettshåndhevelse). Acme Kommune er Provider og Deployer, hvilket trigger alle krav i Art. 9-15 + Art. 27 (FRIA) + Art. 49 (registrering).

### 4.2 Teknologivalg

Azure AI Foundry er anbefalt primær plattform fordi:
- Full compliance-pakke for leverandøren
- Customer-managed keys og Customer Lockbox tilgjengelig
- Custom modell-trening via integrert Azure ML
- Norsk dataresidens (West Europe + EU Data Boundary)

### 4.3 TCO

3-års TCO estimert til NOK 6.7M (P50). Hovedkostnad: Azure AI Services (38%) + Azure OpenAI (16%).

### 4.4 Risiko

Hovedrisiko: bias mot utenlandske objekt-ID, modell-drift over tid, og manglende ABAC-implementering på saksbehandler-tilgang. Alle har konkrete tiltak.

## 5. Konklusjon

Anbefalt: gjennomfør 8-ukers POC før formell prosjektoppstart. Ved vellykket POC, full implementering over 28 uker mot produksjonssetting Q2 2027.

## 6. Anbefaling

Godkjenn POC-budsjett på NOK 1.2M og forenkle prosjekt-mandat for fase 1-4 ved positiv POC-evaluering.

## 7. Referanser

- EU AI Act 2024/1689
- GDPR 2016/679
- Sikkerhetsloven (LOV-2018-06-01-24)
- Arkivloven (LOV-1992-12-04-126)
- NS 5814:2008 — Krav til risikovurderinger
- Datatilsynets veileder for AI og personvern (2024)