Nkom eller Datatilsynet — hvem håndhever AI Act?

Mange norske blogginnlegg og veiledninger hevder at Datatilsynet er ansvarlig norsk tilsynsmyndighet for AI Act. Det stemmer ikke.

Det er Nasjonal kommunikasjonsmyndighet — Nkom — som er utpekt som koordinerende markedstilsynsmyndighet og nasjonalt kontaktpunkt for AI Act i Norge. Datatilsynet har en viktig, men avgrenset rolle. Sektortilsynene håndhever loven innenfor sine respektive områder.

Forvirringen er forståelig. Datatilsynet har vært den mest synlige stemmen i norsk KI-debatt i flere år, gjennom KI-sandkassen, høringssvar og samarbeidsprosjekter. Men Regjeringen har formelt utpekt Nkom som koordinator.

Dette har praktisk betydning for deg som driver norsk virksomhet: hvem du skal kontakte ved spørsmål, og hvem som eventuelt kan komme på tilsyn, avhenger av hvilken rolle ditt AI-system har.

Nkom har hovedansvaret for AI Act i Norge og fyller flere sentrale funksjoner i det norske tilsynslandskapet.

Som nasjonalt kontaktpunkt mot EU AI Office er Nkom Norges primære kommunikasjonskanal inn mot det europeiske håndhevingsapparatet. De koordinerer samarbeidet mellom de ulike norske tilsynsmyndighetene og er generell tilsynsmyndighet for AI-systemer som ikke faller inn under et spesifikt sektortilsyn.

I tillegg er Nkom medeier av den regulatoriske sandkassen, sammen med Datatilsynet og Digitaliseringsdirektoratet, og bidrar til å drive KI Norge — en innovasjonsarena for ansvarlig AI.

For norske SMB som har generelle spørsmål om AI Act-compliance, er Nkom den rette adressen. De er primærressursen for virksomheter som ikke opererer innenfor en sterkt regulert sektor.

Datatilsynet får en spesialisert og avgrenset rolle under AI Act. De er utpekt som markedstilsynsmyndighet for høyrisiko-AI innenfor rettshåndhevelse — det vil si AI-systemer brukt av politi, påtalemyndighet og kriminalomsorg, som tilsvarer punkt 6 i Annex III i forordningen.

Ut over dette dekker Datatilsynet alt som omhandler behandling av personopplysninger i AI-systemer: rettsgrunnlag, personvernkonsekvensutredninger (DPIA), og automatiserte avgjørelser etter artikkel 22 i GDPR. De håndterer også eskalering ved konflikter mellom AI Act og personvernregelverket, og gir veiledning om personvern i KI-bruk.

Datatilsynet har selv i sitt høringssvar om KI-forordningen bedt om tilstrekkelige ressurser for å håndtere den nye rollen. Det understreker at dette er en reell og krevende oppgave, selv om den er mer avgrenset enn mange tror.

Har du spørsmål som handler om personvern i kombinasjon med AI — rettsgrunnlag for trening, databehandleravtaler, samtykke eller profilering — er Datatilsynet riktig instans.

AI Act følger samme logikk som EU-produktsikkerhetsregelverket for øvrig: der det allerede finnes et sektortilsyn, er det dette tilsynet som også håndhever AI Act innenfor sin sektor.

For helse- og medisinsk AI gjelder Helsetilsynet og Statens legemiddelverk. Finanstilsynet dekker AI brukt i bank, kreditt og finansiell scoring. Arbeidstilsynet er ansvarlig for AI i arbeidslivet, inkludert HR-screening og sysselsettingsrelaterte systemer. Utdanningsdirektoratet dekker AI i eksamenssammenheng og evaluering. For transport, inkludert autonome kjøretøy, er Statens vegvesen og Sjøfartsdirektoratet relevante. Grensekontroll og migrasjonsrelatert AI faller under UDI og politiet.

For norske SMB er den praktiske konsekvensen denne: hvilket tilsyn du skal forholde deg til, avhenger av hva du bruker AI til og i hvilken sektor du opererer. En og samme virksomhet kan i prinsippet berøre flere tilsynsmyndigheter dersom AI-systemene brukes på tvers av sektorer.

Digdir har ingen tilsynsrolle under AI Act. Det er viktig å understreke dette tydelig, siden direktoratet er synlig i norsk digitaliserings- og KI-debatt.

Digdir driver kompetanseplattformen KI Norge, forvalter felles digitale tjenester for offentlig sektor og tilbyr veiledning for offentlige virksomheter som tar i bruk AI. For leverandører av AI-løsninger til offentlig sektor er Digdir et naturlig kontaktpunkt for å forstå krav og forventninger i det offentlige markedet.

Er du derimot en privat SMB med kommersielle kunder, er det Nkom og relevante sektortilsyn som gjelder — ikke Digdir.

Usikker på hvem du skal henvende deg til? Her er en enkel oversikt basert på type spørsmål.

Har du et generelt spørsmål om AI Act og hva loven krever av din virksomhet, er Nkom adressen. Dreier spørsmålet seg om personvern i kombinasjon med AI — behandlingsgrunnlag, DPIA, databehandleravtaler eller automatiserte avgjørelser — er det Datatilsynet du skal kontakte. Opererer du innenfor en spesifikk regulert sektor, ta kontakt med det aktuelle sektortilsynet direkte.

Ønsker du å teste et nytt AI-system i en regulatorisk sandkasse før full utrulling, kan du benytte Datatilsynets KI-sandkasse eller den felles sandkassen som drives av Nkom, Datatilsynet og Digdir i fellesskap. Dette er gratis regulatorisk rådgivning og et verdifullt tilbud særlig for virksomheter som planlegger komplekse eller sensitive AI-implementasjoner.

Har du spørsmål som dreier seg om EU-tolkning og forordningens direkte ordlyd, kan du også henvende deg til EU AI Office.

Frem til norsk AI Act-lovgivning er vedtatt — forventet sensommer 2026 — er det ingen som fører tilsyn med deg spesifikt på grunnlag av AI Act. GDPR-tilsynet fra Datatilsynet er imidlertid på plass uavhengig av dette, og AI-systemer som behandler personopplysninger er allerede underlagt eksisterende regelverk.

Når norsk lov trer i kraft, er det tre konkrete ting du bør ha på plass: Sjekk hvilket tilsyn som dekker din sektor og ditt bruksområde. Følg Nkoms generelle veiledning for SMB når den foreligger. Hold orden på GDPR-compliance i AI-leverandørstacken din — det er fortsatt det som tar størst plass i det praktiske compliance-arbeidet for de fleste norske virksomheter.

Planlegger du noe mer komplekst, er det lurt å søke om regulatorisk sandkasse-deltakelse i god tid. Det gir tilgang til gratis faglig rådgivning fra myndighetene før du ruller ut systemet for fullt.