fix(ms-ai-architect): RX-REG-KB deferred økt 1 — Art. 49(3)/48(2) + Nkom utpekt + arkivlov-retensjon [skip-docs]

4 per-påstand-verifiserte KB-korrektheter (deferred fra RX-REG-KB økt 1):

- compliance-guide: EU-database-registrering var «kun provider» — Art. 49(3) krever
  at offentlig-myndighet-deployere registrerer seg, velger systemet og registrerer
  bruken. Lagt til i deployer-plikter + pre-deployment-sjekkliste.
  Kilde: EUR-Lex CELEX:32024R1689 art. 49(1)/(3).
- compliance-guide: CE-merking-raden hevdet «Gjelder ikke SaaS» og konflaterte CE
  (Art. 48) med registrering (Art. 49). Art. 48(2): digital CE-merking gjelder
  digitalt levert høyrisiko-AI (inkl. sky/SaaS); utløses av høyrisiko-klassifisering,
  ikke leveringsmodell. Kilde: EUR-Lex art. 48(1)-(2).
- classification-methodology: «Nkom som kandidat» / «fremtidig Nasjonal AI-
  tilsynsmyndighet» → Nkom utpekt koordinerende markedstilsynsmyndighet + nasjonalt
  kontaktpunkt. Kilde: regjeringen.no id3093081 (26.03.2025).
- provider-obligations: log-retensjon «forvaltningsloven ... 3-10 år» var feil lov +
  oppdiktet tall → norsk arkivlovgivning (arkivlova LOV-2025-06-20-96, bevaringsforskrifta);
  oppbevaringstid fastsettes per dok.type, kassasjon krever hjemmel/Nasjonalarkivet. Kilde: Lovdata.

Gap-disiplin: lint-seksjon #10 (4 tester) i test-governance-refs-reg-lint.test.mjs er
regresjonsvernet. Suite 846→850 exit 0.
This commit is contained in:
Kjell Tore Guttormsen 2026-07-15 09:51:15 +02:00
commit 3c70206dbd
4 changed files with 55 additions and 5 deletions

View file

@ -228,9 +228,9 @@ Kommunen bruker AI til å analysere demografidata for arealplanlegging — ingen
**Tilfelle D: Prediktiv politimodell**
System som identifiserer geografiske "hotspot"-områder uten å peke ut enkeltpersoner.
- Ikke Art. 5(1)(d) (som krever profilering av *enkeltpersoner*) siden systemet ikke peker ut enkeltpersoner → vurder Annex III kategori 5/6
- Anbefaling: Konsultér Datatilsynet og Nasjonal tilsynsmyndighet for AI (Nkom som kandidat) FØR implementering
- Anbefaling: Konsultér Datatilsynet og Nkom (utpekt koordinerende markedstilsynsmyndighet for KI-forordningen) FØR implementering
**Generell anbefaling for grensetilfeller:** Kontakt Datatilsynet (personvern-aspektet) og fremtidig Nasjonal AI-tilsynsmyndighet. Dokumenter klassifiseringsargumentasjonen uansett utfall.
**Generell anbefaling for grensetilfeller:** Kontakt Datatilsynet (personvern-aspektet) og Nkom (koordinerende markedstilsynsmyndighet og nasjonalt kontaktpunkt for KI-forordningen). Dokumenter klassifiseringsargumentasjonen uansett utfall.
---

View file

@ -87,7 +87,7 @@ Providers av høyrisiko-systemer (de som utvikler/markedsfører) må oppfylle **
| **Accuracy, Robustness, Security** | Høy presisjon, resiliens mot feil, cybersecurity | Azure AI Content Safety, adversarial testing (PyRIT) |
| **Quality Management System** | ISO-lignende kvalitetsstyring for hele utviklingsløpet | ISO 42001:2023 (Microsoft sertifisert for M365 Copilot, Copilot Studio, Microsoft Foundry, Security Copilot, GitHub Copilot, Dragon Copilot, Dragon Copilot (Radiologist), Copilot Health) *(Verified MCP 2026-06-19)* |
| **Conformity Assessment** | Pre-deployment vurdering (intern eller ekstern) | Microsoft Foundry evaluation metrics, Compliance Manager |
| **CE-merking** | Registrering i EU database før markedsføring | (Gjelder ikke SaaS-tjenester fra Microsoft) |
| **CE-merking** (Art. 48) | Samsvarsmerking før omsetning; digitalt leverte høyrisikosystemer bruker **digital CE-merking** (Art. 48(2)). EU-databaseregistrering er en separat plikt (Art. 49) | Utløses av høyrisiko-klassifisering, ikke av leveringsmodell — digital CE-merking gjelder også sky/SaaS |
| **Post-market Monitoring** | Kontinuerlig overvåking av performance i produksjon | Microsoft Defender for Cloud AI threat protection |
**Tidslinje for høyrisiko-krav (Digital Omnibus, vedtatt — avventer OJ-publisering):**
@ -105,6 +105,7 @@ Organisasjoner som **tar i bruk** høyrisiko-systemer har også ansvar:
3. **Human oversight:** Implementere menneskelig tilsyn som provider har designet for
4. **Incident reporting:** Rapportere alvorlige hendelser til tilsynsmyndighet
5. **Fundamental rights impact assessment:** For offentlig sektor er dette **obligatorisk** før deployment
6. **EU-database-registrering (offentlig sektor):** Deployere som er offentlige myndigheter må registrere seg, velge systemet og registrere bruken i EU-databasen før ibruktakelse (Art. 49(3))
---
@ -252,7 +253,7 @@ START: Har du et AI-system?
- [ ] **Content safety aktivert** (Azure AI Content Safety filters)
- [ ] **Fundamental rights impact assessment (FRIA)** — kun offentlig sektor
- [ ] **Conformity assessment** (intern eller 3rd party) — kun provider
- [ ] **EU database registration** kun provider (Art. 49, før omsetning/ibruktakelse)
- [ ] **EU database registration** — provider (Art. 49(1)) og offentlig-myndighet-deployer (Art. 49(3): registrer virksomheten, velg systemet, registrer bruken), før omsetning/ibruktakelse
**For SaaS-løsninger (Microsoft 365 Copilot, Copilot Studio):**

View file

@ -176,7 +176,7 @@ Høyrisiko-AI-systemer skal ha innebygd kapasitet for automatisk loggføring av
### Oppbevaringsperiode
**6 måneder** — Art. 19(1) krever minst 6 måneder oppbevaring av logger. Lengre oppbevaring kan kreves av nasjonal lov (f.eks. forvaltningsloven for offentlig sektor i Norge: 3-10 år avhengig av sakstype).
**6 måneder** — Art. 19(1) krever minst 6 måneder oppbevaring av logger. Lengre oppbevaring kan følge av norsk arkivlovgivning (arkivlova og bevaringsforskrifta) for offentlig sektor, der oppbevaringstiden fastsettes per dokumentasjonstype og kassasjon krever hjemmel eller tillatelse fra Nasjonalarkivet.
### Logg-arkitektur for Microsoft-plattformer

View file

@ -261,3 +261,52 @@ test('norge-ai-strategy: 2020-strategy successor ministry = Digitaliserings- og
'current successor is Digitaliserings- og forvaltningsdepartementet (DFD)');
assert.ok(/Digitaliserings- og forvaltningsdepartementet/.test(md), 'DFD full name present');
});
// --- 10. RX-REG-KB deferred Økt 1 (verified 2026-07-15 against EUR-Lex CELEX:32024R1689,
// regjeringen.no id3093081 26.03.2025, and Lovdata) ---
// Ground truth this session (deferred cluster from Økt 1, each claim independently sourced):
// - Art. 49(3): deployers that are PUBLIC AUTHORITIES (or Union institutions/bodies)
// shall register themselves, select the system and register its use in the EU
// database — the checklist «kun provider» omitted this. (EUR-Lex art. 49(1) provider
// / 49(3) public-authority deployer.)
// - Art. 48(2): high-risk AI provided DIGITALLY uses a digital CE marking; the CE-marking
// duty is triggered by high-risk classification, not by delivery model. «Gjelder ikke
// SaaS» is false, and CE marking (Art. 48) is distinct from EU-database registration
// (Art. 49). (EUR-Lex art. 48(1)-(2).)
// - Nkom is the DESIGNATED coordinating market-surveillance authority + national single
// point of contact (regjeringen besluttet, id3093081 26.03.2025) — «Nkom som kandidat»
// and «fremtidig Nasjonal AI-tilsynsmyndighet» are stale.
// - Public-sector log retention beyond 6 months follows norsk ARKIVLOVGIVNING (arkivlova
// LOV-2025-06-20-96, bevaringsforskrifta), NOT forvaltningsloven; the «3-10 år» figure
// is unsourced — retention is set per documentation type / by Nasjonalarkivet.
test('compliance-guide: EU-database registration covers Art. 49(3) public-authority deployers', () => {
const md = read('ai-act-compliance-guide.md');
assert.ok(!/\*\*EU database registration\*\* — kun provider/.test(md),
'Art. 49(3): public-authority deployers must also register — not «kun provider»');
assert.ok(/Art\. 49\(3\)/.test(md), 'Art. 49(3) public-authority deployer registration cited');
});
test('compliance-guide: CE marking (Art. 48) applies to digitally-provided high-risk AI', () => {
const md = read('ai-act-compliance-guide.md');
assert.ok(!/Gjelder ikke SaaS-tjenester fra Microsoft/.test(md),
'digital CE marking (Art. 48(2)) applies to high-risk AI provided digitally, incl. SaaS');
assert.ok(/Art\. 48\(2\)/.test(md), 'digital CE marking Art. 48(2) cited');
assert.ok(/digital CE-merking/i.test(md), 'digital CE-marking concept present');
});
test('classification-methodology: Nkom named as designated authority, not «kandidat»/«fremtidig»', () => {
const md = read('ai-act-classification-methodology.md');
assert.ok(!/Nkom som kandidat/.test(md), 'Nkom is designated, not «kandidat»');
assert.ok(!/fremtidig Nasjonal AI-tilsynsmyndighet/.test(md),
'Nkom is the designated coordinating authority, not «fremtidig»');
assert.ok(/\bNkom\b/.test(md), 'Nkom named');
});
test('provider-obligations: extended log retention cites arkivlovgivning, not «forvaltningsloven … 3-10 år»', () => {
const md = read('ai-act-provider-obligations.md');
assert.ok(!/3-10 år avhengig av sakstype/.test(md), '«3-10 år» is unsourced/misattributed');
assert.ok(!/forvaltningsloven for offentlig sektor i Norge/.test(md),
'retention follows arkivlovgivning (arkivlova/bevaringsforskrifta), not forvaltningsloven');
assert.ok(/arkivlova/i.test(md), 'arkivlova cited as the retention basis');
});