fix(ms-ai-architect): RX-REG-KB deferred økt 1 — Art. 49(3)/48(2) + Nkom utpekt + arkivlov-retensjon [skip-docs]
4 per-påstand-verifiserte KB-korrektheter (deferred fra RX-REG-KB økt 1): - compliance-guide: EU-database-registrering var «kun provider» — Art. 49(3) krever at offentlig-myndighet-deployere registrerer seg, velger systemet og registrerer bruken. Lagt til i deployer-plikter + pre-deployment-sjekkliste. Kilde: EUR-Lex CELEX:32024R1689 art. 49(1)/(3). - compliance-guide: CE-merking-raden hevdet «Gjelder ikke SaaS» og konflaterte CE (Art. 48) med registrering (Art. 49). Art. 48(2): digital CE-merking gjelder digitalt levert høyrisiko-AI (inkl. sky/SaaS); utløses av høyrisiko-klassifisering, ikke leveringsmodell. Kilde: EUR-Lex art. 48(1)-(2). - classification-methodology: «Nkom som kandidat» / «fremtidig Nasjonal AI- tilsynsmyndighet» → Nkom utpekt koordinerende markedstilsynsmyndighet + nasjonalt kontaktpunkt. Kilde: regjeringen.no id3093081 (26.03.2025). - provider-obligations: log-retensjon «forvaltningsloven ... 3-10 år» var feil lov + oppdiktet tall → norsk arkivlovgivning (arkivlova LOV-2025-06-20-96, bevaringsforskrifta); oppbevaringstid fastsettes per dok.type, kassasjon krever hjemmel/Nasjonalarkivet. Kilde: Lovdata. Gap-disiplin: lint-seksjon #10 (4 tester) i test-governance-refs-reg-lint.test.mjs er regresjonsvernet. Suite 846→850 exit 0.
This commit is contained in:
parent
6224487987
commit
3c70206dbd
4 changed files with 55 additions and 5 deletions
|
|
@ -228,9 +228,9 @@ Kommunen bruker AI til å analysere demografidata for arealplanlegging — ingen
|
|||
**Tilfelle D: Prediktiv politimodell**
|
||||
System som identifiserer geografiske "hotspot"-områder uten å peke ut enkeltpersoner.
|
||||
- Ikke Art. 5(1)(d) (som krever profilering av *enkeltpersoner*) siden systemet ikke peker ut enkeltpersoner → vurder Annex III kategori 5/6
|
||||
- Anbefaling: Konsultér Datatilsynet og Nasjonal tilsynsmyndighet for AI (Nkom som kandidat) FØR implementering
|
||||
- Anbefaling: Konsultér Datatilsynet og Nkom (utpekt koordinerende markedstilsynsmyndighet for KI-forordningen) FØR implementering
|
||||
|
||||
**Generell anbefaling for grensetilfeller:** Kontakt Datatilsynet (personvern-aspektet) og fremtidig Nasjonal AI-tilsynsmyndighet. Dokumenter klassifiseringsargumentasjonen uansett utfall.
|
||||
**Generell anbefaling for grensetilfeller:** Kontakt Datatilsynet (personvern-aspektet) og Nkom (koordinerende markedstilsynsmyndighet og nasjonalt kontaktpunkt for KI-forordningen). Dokumenter klassifiseringsargumentasjonen uansett utfall.
|
||||
|
||||
---
|
||||
|
||||
|
|
|
|||
|
|
@ -87,7 +87,7 @@ Providers av høyrisiko-systemer (de som utvikler/markedsfører) må oppfylle **
|
|||
| **Accuracy, Robustness, Security** | Høy presisjon, resiliens mot feil, cybersecurity | Azure AI Content Safety, adversarial testing (PyRIT) |
|
||||
| **Quality Management System** | ISO-lignende kvalitetsstyring for hele utviklingsløpet | ISO 42001:2023 (Microsoft sertifisert for M365 Copilot, Copilot Studio, Microsoft Foundry, Security Copilot, GitHub Copilot, Dragon Copilot, Dragon Copilot (Radiologist), Copilot Health) *(Verified MCP 2026-06-19)* |
|
||||
| **Conformity Assessment** | Pre-deployment vurdering (intern eller ekstern) | Microsoft Foundry evaluation metrics, Compliance Manager |
|
||||
| **CE-merking** | Registrering i EU database før markedsføring | (Gjelder ikke SaaS-tjenester fra Microsoft) |
|
||||
| **CE-merking** (Art. 48) | Samsvarsmerking før omsetning; digitalt leverte høyrisikosystemer bruker **digital CE-merking** (Art. 48(2)). EU-databaseregistrering er en separat plikt (Art. 49) | Utløses av høyrisiko-klassifisering, ikke av leveringsmodell — digital CE-merking gjelder også sky/SaaS |
|
||||
| **Post-market Monitoring** | Kontinuerlig overvåking av performance i produksjon | Microsoft Defender for Cloud AI threat protection |
|
||||
|
||||
**Tidslinje for høyrisiko-krav (Digital Omnibus, vedtatt — avventer OJ-publisering):**
|
||||
|
|
@ -105,6 +105,7 @@ Organisasjoner som **tar i bruk** høyrisiko-systemer har også ansvar:
|
|||
3. **Human oversight:** Implementere menneskelig tilsyn som provider har designet for
|
||||
4. **Incident reporting:** Rapportere alvorlige hendelser til tilsynsmyndighet
|
||||
5. **Fundamental rights impact assessment:** For offentlig sektor er dette **obligatorisk** før deployment
|
||||
6. **EU-database-registrering (offentlig sektor):** Deployere som er offentlige myndigheter må registrere seg, velge systemet og registrere bruken i EU-databasen før ibruktakelse (Art. 49(3))
|
||||
|
||||
---
|
||||
|
||||
|
|
@ -252,7 +253,7 @@ START: Har du et AI-system?
|
|||
- [ ] **Content safety aktivert** (Azure AI Content Safety filters)
|
||||
- [ ] **Fundamental rights impact assessment (FRIA)** — kun offentlig sektor
|
||||
- [ ] **Conformity assessment** (intern eller 3rd party) — kun provider
|
||||
- [ ] **EU database registration** — kun provider (Art. 49, før omsetning/ibruktakelse)
|
||||
- [ ] **EU database registration** — provider (Art. 49(1)) og offentlig-myndighet-deployer (Art. 49(3): registrer virksomheten, velg systemet, registrer bruken), før omsetning/ibruktakelse
|
||||
|
||||
**For SaaS-løsninger (Microsoft 365 Copilot, Copilot Studio):**
|
||||
|
||||
|
|
|
|||
|
|
@ -176,7 +176,7 @@ Høyrisiko-AI-systemer skal ha innebygd kapasitet for automatisk loggføring av
|
|||
|
||||
### Oppbevaringsperiode
|
||||
|
||||
**6 måneder** — Art. 19(1) krever minst 6 måneder oppbevaring av logger. Lengre oppbevaring kan kreves av nasjonal lov (f.eks. forvaltningsloven for offentlig sektor i Norge: 3-10 år avhengig av sakstype).
|
||||
**6 måneder** — Art. 19(1) krever minst 6 måneder oppbevaring av logger. Lengre oppbevaring kan følge av norsk arkivlovgivning (arkivlova og bevaringsforskrifta) for offentlig sektor, der oppbevaringstiden fastsettes per dokumentasjonstype og kassasjon krever hjemmel eller tillatelse fra Nasjonalarkivet.
|
||||
|
||||
### Logg-arkitektur for Microsoft-plattformer
|
||||
|
||||
|
|
|
|||
|
|
@ -261,3 +261,52 @@ test('norge-ai-strategy: 2020-strategy successor ministry = Digitaliserings- og
|
|||
'current successor is Digitaliserings- og forvaltningsdepartementet (DFD)');
|
||||
assert.ok(/Digitaliserings- og forvaltningsdepartementet/.test(md), 'DFD full name present');
|
||||
});
|
||||
|
||||
// --- 10. RX-REG-KB deferred Økt 1 (verified 2026-07-15 against EUR-Lex CELEX:32024R1689,
|
||||
// regjeringen.no id3093081 26.03.2025, and Lovdata) ---
|
||||
// Ground truth this session (deferred cluster from Økt 1, each claim independently sourced):
|
||||
// - Art. 49(3): deployers that are PUBLIC AUTHORITIES (or Union institutions/bodies)
|
||||
// shall register themselves, select the system and register its use in the EU
|
||||
// database — the checklist «kun provider» omitted this. (EUR-Lex art. 49(1) provider
|
||||
// / 49(3) public-authority deployer.)
|
||||
// - Art. 48(2): high-risk AI provided DIGITALLY uses a digital CE marking; the CE-marking
|
||||
// duty is triggered by high-risk classification, not by delivery model. «Gjelder ikke
|
||||
// SaaS» is false, and CE marking (Art. 48) is distinct from EU-database registration
|
||||
// (Art. 49). (EUR-Lex art. 48(1)-(2).)
|
||||
// - Nkom is the DESIGNATED coordinating market-surveillance authority + national single
|
||||
// point of contact (regjeringen besluttet, id3093081 26.03.2025) — «Nkom som kandidat»
|
||||
// and «fremtidig Nasjonal AI-tilsynsmyndighet» are stale.
|
||||
// - Public-sector log retention beyond 6 months follows norsk ARKIVLOVGIVNING (arkivlova
|
||||
// LOV-2025-06-20-96, bevaringsforskrifta), NOT forvaltningsloven; the «3-10 år» figure
|
||||
// is unsourced — retention is set per documentation type / by Nasjonalarkivet.
|
||||
|
||||
test('compliance-guide: EU-database registration covers Art. 49(3) public-authority deployers', () => {
|
||||
const md = read('ai-act-compliance-guide.md');
|
||||
assert.ok(!/\*\*EU database registration\*\* — kun provider/.test(md),
|
||||
'Art. 49(3): public-authority deployers must also register — not «kun provider»');
|
||||
assert.ok(/Art\. 49\(3\)/.test(md), 'Art. 49(3) public-authority deployer registration cited');
|
||||
});
|
||||
|
||||
test('compliance-guide: CE marking (Art. 48) applies to digitally-provided high-risk AI', () => {
|
||||
const md = read('ai-act-compliance-guide.md');
|
||||
assert.ok(!/Gjelder ikke SaaS-tjenester fra Microsoft/.test(md),
|
||||
'digital CE marking (Art. 48(2)) applies to high-risk AI provided digitally, incl. SaaS');
|
||||
assert.ok(/Art\. 48\(2\)/.test(md), 'digital CE marking Art. 48(2) cited');
|
||||
assert.ok(/digital CE-merking/i.test(md), 'digital CE-marking concept present');
|
||||
});
|
||||
|
||||
test('classification-methodology: Nkom named as designated authority, not «kandidat»/«fremtidig»', () => {
|
||||
const md = read('ai-act-classification-methodology.md');
|
||||
assert.ok(!/Nkom som kandidat/.test(md), 'Nkom is designated, not «kandidat»');
|
||||
assert.ok(!/fremtidig Nasjonal AI-tilsynsmyndighet/.test(md),
|
||||
'Nkom is the designated coordinating authority, not «fremtidig»');
|
||||
assert.ok(/\bNkom\b/.test(md), 'Nkom named');
|
||||
});
|
||||
|
||||
test('provider-obligations: extended log retention cites arkivlovgivning, not «forvaltningsloven … 3-10 år»', () => {
|
||||
const md = read('ai-act-provider-obligations.md');
|
||||
assert.ok(!/3-10 år avhengig av sakstype/.test(md), '«3-10 år» is unsourced/misattributed');
|
||||
assert.ok(!/forvaltningsloven for offentlig sektor i Norge/.test(md),
|
||||
'retention follows arkivlovgivning (arkivlova/bevaringsforskrifta), not forvaltningsloven');
|
||||
assert.ok(/arkivlova/i.test(md), 'arkivlova cited as the retention basis');
|
||||
});
|
||||
|
|
|
|||
Loading…
Add table
Add a link
Reference in a new issue