## EU AI Act — Vurdering: FartsPrediksjonsagent

**Dato:** 2026-02-22
**Vurdert av:** AI Act Assessor
**Organisasjon:** Direktoratet for digital tjenesteutvikling

### 1. Risikoklassifisering

| Attributt | Verdi |
|-----------|-------|
| **Risikonivå** | Minimal risiko |
| **Annex III-kategori** | Ikke Annex III |
| **GPAI-status** | Ja — basert på GPT-4o, men ikke systemisk risiko |
| **Klassifiseringsgrunnlag** | Systemet predikerer gjennomsnittsfart på vegstrekninger basert på historiske trafikkdata. Ingen direkte påvirkning på individer, ingen biometrisk identifikasjon, ikke kritisk infrastrukturstyring. |
| **Konfidens** | Høy |

#### Steg 1: Forbudt-sjekk (Art. 5)
Ingen av de forbudte praksisene er relevante. Systemet scorer ikke individer sosialt, manipulerer ikke sårbare grupper, og bruker ikke biometrisk fjernidentifisering.

#### Steg 2: Annex III høyrisiko-sjekk
Systemet treffer ingen av de 8 Annex III-kategoriene:
- Ikke biometrisk identifisering
- Ikke styring av kritisk infrastruktur (predikerer, styrer ikke)
- Ikke utdanning/opplæring
- Ikke ansettelse/personal
- Ikke essensielle offentlige tjenester
- Ikke rettshåndhevelse
- Ikke migrasjon/grensekontroll
- Ikke rettsforvaltning

#### Steg 3: GPAI-sjekk
Systemet bruker Azure OpenAI GPT-4o som grunnmodell. GPT-4o er en GPAI-modell, men FartsPrediksjonsagent er en downstream-applikasjon — provider-forpliktelser for GPAI hviler på Microsoft som modell-provider.

#### Steg 4: Begrenset/Minimal
Systemet har ingen direkte brukerinteraksjon med borgere. Resultater vises kun til trafikkplanleggere internt. Klassifiseres som **minimal risiko**.

### 2. Rolle

| Attributt | Verdi |
|-----------|-------|
| **Organisasjonens rolle** | Deployer |
| **Begrunnelse** | Direktoratet for digital tjenesteutvikling bruker et AI-system utviklet internt med Azure OpenAI. Ettersom systemet ikke markedsføres til andre, og bruker standard Azure-tjenester uten vesentlig tilpasning av modellen, er rollen deployer. |
| **Provider (ekstern)** | Microsoft (Azure OpenAI Service) |

### 3. Forpliktelser

| # | Artikkel | Krav | Status | Gap |
|---|----------|------|--------|-----|
| 1 | Art. 50(1) | Transparens: informer brukere om AI-bruk | Oppfylt | Interne brukere informert |
| 2 | Art. 4 | AI-kompetanse: sikre tilstrekkelig kunnskap | Delvis | Opplæringsplan ikke formalisert |
| 3 | Frivillig | Code of Conduct (Art. 95) | Ikke startet | Anbefales men ikke påkrevd |

### 4. Tiltaksplan

| # | Tiltak | Prioritet | Frist | Ansvarlig |
|---|--------|-----------|-------|-----------|
| T1 | Formalisér AI-kompetanseplan for trafikkplanleggere | Lav | 2026-12-31 | Seksjonsleder |
| T2 | Vurdér frivillig Code of Conduct-tilslutning | Lav | 2027-06-30 | AI-rådgiver |

### 5. Neste steg

1. Ingen regulatoriske blokkeringer — systemet kan brukes uten ytterligere tiltak
2. Anbefaler `/architect:ros` for generell risikovurdering (god praksis)
3. Vurdér `/architect:transparency` for å generere intern AI-bruksnotis

### Viktige frister

| Frist | Krav | Relevans |
|-------|------|----------|
| 2025-02-02 | Forbudte AI-praksiser (Art. 5) | Gjelder ikke |
| 2025-08-02 | Governance og sanksjoner (Art. 99) | Gjelder ikke direkte |
| 2026-08-02 | GPAI-krav + Annex III høyrisiko | Gjelder ikke (minimal risiko) |
| 2027-08-02 | Alle høyrisiko-krav (full compliance) | Gjelder ikke |

### Referanser
- `ai-act-classification-methodology.md` — Klassifiseringsmetodikk (steg 1-4)
- `ai-act-compliance-guide.md` — Generell veileder
- `ai-act-annex-iii-checklist.md` — Annex III-sjekkliste
- Microsoft Learn: Azure OpenAI EU Data Boundary compliance