Hensynene bak KI-sandkasser

En regulatorisk sandkasse er et rettslig rammeverk der leverandører skal få mulighet til å utvikle og teste et innovativt KI‑system i en tidsavgrenset periode før KI-systemet lanseres på markedet eller tas i bruk. Sandkassene skal bidra til økt rettslig forutsigbarhet, deling av beste praksis gjennom samarbeid mellom myndighetene og enklere/raskere adgang til EU/EØS‑markedet – særlig for små og mellomstore bedrifter og oppstartsbedrifter.

Sandkassen er hverken en «frisone» uten regler, eller en formell forhåndsgodkjenning av et KI-system. Ansvar og plikter etter KI-forordningen ligger fortsatt hos aktørene i verdikjeden. Ifølge KI-forordningen må betydelige risikoer som avdekkes i sandkassen møtes med risikoreduserende tiltak, og myndigheten kan stanse testing eller deltakelse dersom risikoen blir for høy.

Samtidig gir deltakelse i sandkassen et avgrenset vern mot overtredelsesgebyrer («amnesti») etter artikkel 57 nr. 12. Bestemmelsen innebærer at nasjonale tilsynsmyndigheter som hovedregel ikke skal ilegge administrative bøter for brudd på KI-forordningen som oppstår i sandkassen, forutsatt at deltakeren følger den avtalte sandkasseplanen og deltakelsesvilkårene, og i god tro etterlever veiledningen fra ansvarlig myndighet. Tilsvarende gjelder dersom andre relevante tilsynsmyndigheter har vært involvert og gitt veiledning knyttet til annet regelverk.

Dette «amnestiet» er likevel begrenset. For det første gjelder det kun overtredelsesgebyrer, og ikke andre reaksjoner. For det andre fritar det ikke for ansvar etter øvrig regelverk, herunder erstatningsansvar for skade på tredjepersoner. Bestemmelsen gir dermed et kontrollert handlingsrom for utprøving og læring, samtidig som grunnleggende rettigheter og sikkerhet skal ivaretas.

Reglene om KI-sandkasse i artikkel 57 og 58

KI‑forordningen pålegger hvert medlemsland å sikre at det etableres minst én KI‑sandkasse på nasjonalt nivå. Den kan imidlertid etableres i fellesskap med et annet land, og forpliktelsen kan også oppfylles ved å delta i en eksisterende KI-sandkasse.

Sandkassen skal etableres som del av konkrete sandkasseprosjekter og avtalte sandkasseplaner. Aktiviteten skal være tidsavgrenset, og kan inkludere testing av KI-systemet under virkelige forhold, men da som testing «innenfor» sandkasseordningen og under sandkassetilsyn.

Myndighetene skal gi veiledning, tilsyn og støtte i sandkassen. I praksis innebærer dette at myndighetene bidrar til å identifisere og håndtere risiko, særlig risiko for grunnleggende rettigheter, helse og sikkerhet, og vurdere om tiltakene har ønsket effekt. Samtidig skal myndighetene gi konkret veiledning om hvordan kravene og pliktene i KI‑forordningen kan oppfylles.

Et sentralt poeng er at KI-sandkassen skal produsere etterprøvbar dokumentasjon. På forespørsel fra deltakeren skal myndighetene gi et skriftlig bevis for aktiviteter som er gjennomført i sandkassen og utarbeide en exit‑rapport med resultatene og læringspunktene. KI‑forordningen sier at leverandører kan bruke slik dokumentasjon i sin samsvarsvurdering.

KI‑forordningen legger også opp til systematisk læring og samordning på tvers av EU/EØS-land. Nasjonale myndigheter skal informere KI‑kontoret (AI Office) og KI‑rådet (AI Board) om etablering av sandkasser, og KI‑kontoret skal ha en offentlig oversikt over planlagte og eksisterende sandkasser. Nasjonale myndigheter skal levere årlige rapporter og en sluttrapport om erfaringer, hendelser, læring og anbefalinger. Disse rapportene skal være offentlig tilgjengelige på nettsidene.

For å unngå ulik praksis mellom ulike land pålegger artikkel 58 Kommisjonen å vedta nærmere felles regler for KI-sandkassene i en egen gjennomføringsrettsakt. Et offentlig utkast ble sendt på høring 2. desember 2025 med frist 13. januar 2026, og per 16. mars 2026 fremstår teksten i EUR-Lex fortsatt som et utkast.

Etablering av KI-sandkasse i KI Norge: Digdir, Datatilsynet og Nkom

For å oppfylle sandkassekravet etter KI‑forordningen artikkel 57 har Regjeringen besluttet at det skal etableres en regulatorisk KI‑sandkasse i Norge. Sandkassen skal etableres og driftes i et formelt samarbeid mellom Digdir, Datatilsynet og Nkom. Sandkassen skal plasseres organisatorisk Digdir, og inngår som en del av «KI Norge».

Les mer om KI Norge på Digdir sine nettsider: Digdir etablerer KI Norge

Bruken av personopplysninger i KI-sandkassen

Mange KI‑prosjekter trenger «ekte» data for å kunne teste nøyaktighet, robusthet, bias og sikkerhet. Bruken av personopplysninger er samtidig underlagt strenge krav etter personvernregelverket. Artikkel 59 etablerer derfor en avgrenset adgang til viderebehandling av personopplysninger i en KI‑sandkasse når visse vilkår er oppfylt.

Sentralt i artikkel 59 er at personopplysninger som allerede er innsamlet lovlig for andre formål, kan viderebehandles i KI-sandkassen utelukkende for å utvikle, trene og teste visse KI‑systemer i sandkasseprosjektet. Dette gjelder imidlertid bare når KI‑systemet utvikles for å ivareta vesentlig allmenn interesse innenfor konkrete områder som KI-forordningen lister opp:

  • offentlig sikkerhet og folkehelse
  • miljø og klimaarbeid
  • energibærekraft
  • sikkerhet og robusthet i transport og kritisk infrastruktur
  • kvalitet i offentlig forvaltning og offentlige tjenester

Artikkel 59 krever også at kompetent myndighet publiserer et kort sammendrag av KI‑prosjektets mål og forventede resultater.

Testing av høyrisiko KI under virkelige forhold utenfor sandkassen

På strenge vilkår åpner KI-forordningen i artikkel 60 og 61 for testing av høyrisiko KI-systemer under virkelige forhold utenfor KI-sandkassene, i tett samarbeid med myndighetene. Leverandøren må da utarbeide en testplan og sende den til markedstilsynsmyndigheten i landet der testingen skal foregå. Markedstilsynsmyndigheten skal godkjenne både testingen og testplanen. Testingen skal også registreres i EU‑databasen for høyrisiko KI.

I tillegg til de kravene som stilles til selve prosessen, stiller artikkel 60 materielle sikkerhets- og rettighetskrav. Testingen skal blant annet vare kortest mulig og aldri mer enn seks måneder, med mulighet for én forlengelse på opptil seks måneder, og testpersoner i sårbare grupper skal særlig beskyttes. Testingen skal overvåkes effektivt av kvalifisert personell med tilstrekkelig kapasitet og myndighet, og KI-systemets prediksjoner/anbefalinger/beslutninger må kunne reverseres og settes til side.

Informert samtykke er en bærebjelke i ordningen med testing utenfor KI-sandkassene. KI-forordningen gir testpersoner eksplisitt rett til å trekke seg når som helst ved å trekke tilbake samtykket, og til å be om umiddelbar og permanent sletting av egne personopplysninger. Det finnes en snever særregel for rettshåndhevelse der samtykke ville gjort testingen umulig, men da stilles det krav om at testingen og resultatet ikke får negativ effekt på testpersonene, og at personopplysningene slettes etter test.