6a7632146e
Initial addition of ms-ai-architect plugin to the open-source marketplace. Private content excluded: orchestrator/ (Linear tooling), docs/utredning/ (client investigation), generated test reports and PDF export script. skill-gen tooling moved from orchestrator/ to scripts/skill-gen/. Security scan: WARNING (risk 20/100) — no secrets, no injection found. False positive fixed: added gitleaks:allow to Python variable reference in output-validation-grounding-verification.md line 109. Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
5.6 KiB
5.6 KiB
EU AI Act — Vurdering: AutomatiskSaksbehandler
Dato: 2026-02-22 Vurdert av: AI Act Assessor Organisasjon: Statens vegvesen
1. Risikoklassifisering
| Attributt | Verdi |
|---|---|
| Risikonivå | Høyrisiko |
| Annex III-kategori | Kategori 5: Tilgang til og bruk av essensielle offentlige tjenester og ytelser |
| GPAI-status | Ja — basert på GPT-4o via Azure OpenAI |
| Klassifiseringsgrunnlag | Systemet automatiserer vurdering av helsekrav ved søknad om førerkort (klasse B). Direkte påvirkning på borgeres rett til førerkort — en essensiell offentlig tjeneste. |
| Konfidens | Høy |
Steg 1: Forbudt-sjekk (Art. 5)
Ingen forbudte praksiser identifisert. Systemet scorer ikke individer sosialt, og beslutninger kan overprøves av saksbehandler.
Steg 2: Annex III høyrisiko-sjekk
Treffer kategori 5 (a): AI-systemer som brukes av offentlige myndigheter for å vurdere berettigelse til offentlige ytelser og tjenester, inkludert tildelingsbeslutninger.
Førerkort er en essensiell offentlig tjeneste i norsk kontekst. Automatisert vurdering av helsekrav påvirker direkte borgeres tilgang til denne tjenesten.
Grensevurdering: Det er ingen tvil om at dette er høyrisiko. Systemet tar beslutninger som direkte påvirker enkeltpersoners rettigheter og muligheter.
Steg 3: GPAI-sjekk
GPT-4o er en GPAI-modell. Microsoft er provider av grunnmodellen. Statens vegvesen er deployer av det tilpassede systemet. Ettersom systemet har vesentlig tilpasning (fine-tuning på norske helseattest-vurderinger), kan Statens vegvesen også anses som provider av det tilpassede høyrisiko-systemet.
Steg 4: Ikke relevant — allerede klassifisert som høyrisiko
2. Rolle
| Attributt | Verdi |
|---|---|
| Organisasjonens rolle | Deployer (primært) + mulig Provider (ved vesentlig tilpasning) |
| Begrunnelse | Som deployer har Statens vegvesen alle Art. 26-27 forpliktelser. Ved fine-tuning av modellen kan organisasjonen også få provider-forpliktelser for det tilpassede systemet (Art. 25). |
| Provider (grunnmodell) | Microsoft (Azure OpenAI Service) |
3. Forpliktelser
| # | Artikkel | Krav | Status | Gap |
|---|---|---|---|---|
| 1 | Art. 26(1) | Bruk i samsvar med bruksanvisning | Delvis | Bruksanvisning fra Microsoft, men ikke tilpasset norsk kontekst |
| 2 | Art. 26(2) | Menneskelig tilsyn (effektiv kontroll) | Delvis | Saksbehandler kan overprøve, men prosedyre ikke formalisert |
| 3 | Art. 26(5) | FRIA gjennomført for offentlig sektor | Ikke oppfylt | Ingen FRIA utført |
| 4 | Art. 26(6) | Loggoppbevaring minimum 6 måneder | Ikke oppfylt | Logger settes til 90 dager i Application Insights |
| 5 | Art. 27 | FRIA for offentlig myndighet-deployer | Ikke oppfylt | Obligatorisk — ikke startet |
| 6 | Art. 13 | Transparens: bruksinstruksjon tilgjengelig | Ikke oppfylt | Ingen Art. 13-dokumentasjon |
| 7 | Art. 14 | Menneskelig tilsyn: override-mekanismer | Delvis | Override mulig men ikke systematisk |
| 8 | Art. 50(1) | Informer personer om AI-bruk | Ikke oppfylt | Borgere informeres ikke om at AI vurderer helseattester |
| 9 | Art. 9 | Risikostyringssystem | Ikke oppfylt | Ingen formell risikostyring for AI-systemet |
| 10 | Art. 12 | Automatisk loggføring | Delvis | Logger finnes men retention er for kort |
4. Tiltaksplan
| # | Tiltak | Prioritet | Frist | Ansvarlig |
|---|---|---|---|---|
| T1 | Gjennomfør FRIA (Art. 27) — bruk /architect:frimpact |
Kritisk | 2026-05-01 | Personvernombud + AI-rådgiver |
| T2 | Etabler risikostyringssystem (Art. 9) | Kritisk | 2026-06-01 | Seksjonsleder |
| T3 | Øk log retention til minimum 6 måneder (Art. 12/26) | Kritisk | 2026-04-01 | IT-drift |
| T4 | Utvikle transparensnotis til borgere (Art. 50) | Høy | 2026-05-01 | Kommunikasjonsavdeling |
| T5 | Formalisér override-prosedyre for saksbehandlere (Art. 14) | Høy | 2026-05-15 | Fagleder |
| T6 | Gjennomfør DPIA (GDPR Art. 35) — overlapper med FRIA | Høy | 2026-05-01 | Personvernombud |
| T7 | Utarbeid Art. 13 bruksinstruksjon | Middels | 2026-06-15 | AI-rådgiver |
| T8 | Forbered samsvarsvurdering (Annex IV, Art. 43) | Middels | 2026-07-01 | Kvalitetsansvarlig |
| T9 | Vurdér behov for ekstern samsvarsvurdering | Lav | 2026-07-15 | Juridisk avdeling |
5. Neste steg
- Umiddelbart:
/architect:frimpact— FRIA er obligatorisk og bør prioriteres høyest - Innen 30 dager:
/architect:dpia— Personvernkonsekvensanalyse (utdyper personverndimensjonen) - Innen 60 dager:
/architect:ros— ROS-analyse med AI Act-dimensjon (dimensjon 6) - Innen 90 dager:
/architect:conformity— Start samsvarsvurdering - Dokumentér:
/architect:adr— Dokumenter klassifiseringsbeslutningen
Viktige frister
| Frist | Krav | Relevans |
|---|---|---|
| 2025-02-02 | Forbudte AI-praksiser (Art. 5) | Gjelder ikke |
| 2025-08-02 | Governance og sanksjoner (Art. 99) | Gjelder — governance-struktur kreves |
| 2026-08-02 | GPAI-krav + Annex III høyrisiko | Gjelder direkte — 161 dager |
| 2027-08-02 | Alle høyrisiko-krav (full compliance) | Gjelder — full Art. 9-27 compliance |
Referanser
ai-act-classification-methodology.md— Klassifiseringsmetodikkai-act-annex-iii-checklist.md— Annex III kategori 5 vurderingai-act-deployer-obligations.md— Art. 26-27 forpliktelserai-act-fria-template.md— FRIA-mal referanseai-act-provider-obligations.md— Art. 9-15 (ved provider-status)ai-act-compliance-guide.md— Generell veileder- Microsoft Learn: Azure OpenAI responsible AI practices