– Sandkasser bør brukes til å kunne si noe om det faktisk er løsningen eller reguleringen som er problemet. Om det faktisk er snakk om en utdatert regel, så bør sandkassen dokumentere og informere lovgiver, sier Trygve Karper, gründer av KI-selskapet Riff. (Illustrasjonsfoto: Istockphoto)

Er det plass til KI-agentene i sandkassen?

Kunstig intelligens utvikler seg raskere enn regelverket rundt. Vi har snakket med myndighetene som innfører lovene, juristene som tolker dem – og bedriftene som må navigere det hele.

man. 27. apr. 2026

Alle vil lykkes med kunstig intelligens. Likevel føler mange bedrifter seg nødt til å tråkke på bremsen i møte med lover og reguleringer.

Kan en KI-agent ta beslutninger på egen hånd? Er det mulig å bruke kunstig intelligens i forretningskritiske oppgaver? Hvor går egentlig grensen når man snakker om risiko?

Usikkerhet rundt slike spørsmål kan bremse både innovasjon og verdiskaping, mener Siv Kristin Henriksen, personvernjurist i NHO.

– Derfor trenger bedrifter en arena der de kan teste, lære og eksperimentere innenfor trygge rammer, sier hun.

– Dette er eksistensielt

Testing og læring i skjæringspunktet mellom juss og teknologi: Nettopp dette var temaet da Digital Norway og NHO inviterte til juridisk fagnettverk.

Under nettverket presenterte Datatilsynet og representanter fra KI Norge sine regulatoriske sandkasser. Hvordan brukes disse i dag, har de en effekt – og hvordan kan de forbedres?

Til stede var også Trygve Karper, gründer av KI-selskapet Riff, som mener regulatoriske myndigheter bør gjøre mer for å ta innover seg den operative virkeligheten bedrifter står i.

Holder reguleringer, usikkerhet og lovpraksis oss tilbake, mens USA og Asia løper ifra?

– Utviklingen nå går fryktelig fort, og bedrifter som ikke henger med risikerer å bli utkonkurrert av amerikanske og asiatiske selskaper, sier Karper.

– Dette er eksistensielt, og det skjer nå. Myndighetene må operere i virkelighetens tempo. Reguleringer er viktig, men det som står på spill nå handler om å opprettholde vårt velferdssamfunn.

Trygve Karper, gründer av KI-selskapet Riff. (Foto: Privat)

Sandkassen skal gi nye forretningsmodeller

Vi kommer tilbake til Karper. Men la oss først snakke litt mer om tilbudene rundt skjæringspunktet teknologi og juss som faktisk finnes i dag – og hvilke som er på trappene.

Datatilsynet regulatoriske sandkasse for kunstig intelligens ble opprettet allerede tilbake i 2020, med formål om å bidra til innovasjon av personvernetisk og ansvarlig kunstig intelligens.

– Poenget med sandkassen handler ikke bare om å gi råd, men om å faktisk bidra til nye forretningsmodeller og løsninger, sier Kari Laumann, jurist i Datatilsynet.

Sandkassen har vanligvis opptak av nye prosjekter to ganger i året. Casene som tas inn, publiseres i rapporter, slik at lærdommen kan brukes av andre virksomheter senere.

Eksempler på caser Datatilsynets KI-sandkasse har jobbet med

Hvordan offentlig sektor kan bruke KI-chatboter på nettsider.
Hvordan KI-transkribering kan brukes når personopplysninger er i bildet.
Hvordan generativ KI kan brukes som beslutningsstøtte i oppfølging av barn med særskilte behov.

Nylig avdekket sandkassen også begrensninger i regelverket rundt deling av data i arbeidet med å bekjempe økonomisk kriminalitet.

– Løsningene bidro til konkrete innspill til endringer av regelverket i finansforetaksloven, sier Laumann.

Hun understreker at dette er en viktig del av mekanismen i sandkassen: Hvert prosjekt skal ikke bare løse det ene problemet hos bedriften, men skal også gi ringvirkninger og læring som kan løfte flere.

Kari Laumann, jurist i Datatilsynet. (Foto: Ilja C. Hendel / Datatilsynet)

Skal ikke «regulere i hjel nye initiativer»

Nå er det også en ny KI-sandkasse på vei. Den er det KI Norge som skal forvalte, i samarbeid med Datatilsynet og Nkom.

Poenget med KI Norges sandkasse er at den er hjemlet i den nye KI-forordningen, i motsetning til Datatilsynets ordning, som er et uavhengig veiledningstilbud.

Målet er å sørge for at KI-forordningen stimulerer til innovasjon og vekst, i stedet for å «regulere i hjel nye initiativer», forklarer Bjørn Lund-Sørensen, fungerende jurist hos KI Norge.

– KI-sandkassen er basert i forordningen som et innovasjonsfremmende verktøy, sier han.

Kan nødetater bruke KI til å fange opp faresignaler?

Lund-Sørensen sier sandkassen må være innrettet slik at den kan gi svar på vanskelige og sammensatte problemstillinger – også der det ikke er enkelt å gi et ja- eller nei-svar.

Han viser til et scenario rundt nødanrop:

Se for deg et KI-system som skal hjelpe operatører med å tolke samtaler raskere, fange opp faresignaler og gi bedre beslutningsstøtte i pressede situasjoner. Er det et høyrisikosystem?

Kan man bruke data fra henvendelsene til trening? Er dette også medisinsk utstyr eller del av medisinsk utstyr?

– Ved å avklare slike spørsmål tidligere, kan sandkassen bidra til å korte ned veien fra idé til marked, sier han.

KI-gründer: – Klarer sandkasser å svare på tempoet?

Hvordan virksomheter kan holde seg innenfor nye regler, er én side av diskusjonen.

Men ifølge Trygve Karper finnes det et enda mer presserende spørsmål: Om lovverket i det hele tatt klarer å holde tritt med utviklingen.

Karper er gründer og toppsjef i det norske KI-selskapet Riff. Selskapet, som tidligere het Databutton, har over 3500 bedriftskunder og internasjonale investorer i ryggen.

Nå er det i ferd med å bli en storspiller innen en type KI-bruk som allerede er langt mer utbredt i markeder som USA og Asia enn i Norge og Europa.

Riff leverer ikke chatboter eller «copiloter», men bygger KI-agenter som går inn i bedriftenes egne systemer og utfører oppgaver autonomt.

– Vi leverer KI-assistenter til store bedrifter som jobber med HR og økonomi, som tar over oppgaver som mennesker gjør i dag, sier han.

Agentene leser e-post, oppdaterer ERP-systemer, følger opp leverandører, avstemmer fakturaer og strukturerer anbudsforespørsler. Oppgaver som tidligere lå hos mennesker, flyttes inn i systemer som både kan handle og lære.

– Nå skjer denne utviklingen utrolig raskt. Tempoet er ekstremt høyt. Så er spørsmålet: Hvordan skal reguleringer, sandkasser og myndigheter svare på dette tempoet?

Europeiske firmaer må henge med på utviklingen

Karper mener mye av lovverket er skrevet for en annen teknologivirkelighet enn den virksomhetene nå står i.

– GDPR ble for eksempel skrevet før KI-agenter, mens KI-forordningen skrives mens utviklingen raser avgårde, sier han.

Frykten er at reguleringer gjør det umulig for europeiske bedrifter å konkurrere med amerikanske og asiatiske bedrifter. I disse markedene er KI-agenter allerede en langt vanligere måte å jobbe på.

– Vi kan ikke ha det slik at europeiske firmaer ikke en gang får henge med på produktivitetsutviklingen i det tempoet vi ser nå. Da er vi nødt til å flytte til USA, da.

Har sandkasser plass til tusenviser av agenter – som utvikler seg fra dag til dag?

Derfor mener Karper at regulatoriske sandkasser må skaleres og tenke hvordan de kan favne bredere og raskere – i stedet for å håndtere enkeltemner.

– Når vi går inn i en virksomhet, kan vi ha en KI-agent opp i løpet av fire uker, sier han.

Her er det mange gråsoner de må håndtere. Kundedata behandles på tvers av systemer, og agentene forbedrer seg selv.

Og hva er egentlig forskjellen på at en agent tar en «avgjørelse» og når den «følger regler» - en distinksjon som er helt sentral i den nye KI-forordningen?

Er dette en definisjon som er helt statisk, eller kan det endre seg ettersom KI-agenter blir mer kapable til å ta på seg nye oppgaver?

På toppen av dette leverer Riff ulike løsninger til ulike bedrifter, avdelinger og for ulike oppgaver. Må de gjøre nye vurderinger fra gang til gang?

– Hver bedrift trenger hundrevis, hvis ikke tusenvis av ulike KI-løsninger, på tvers av systemer. Da kan man ikke forholde seg til én sandkasseprosess for hver eneste løsning.

– Her må det en modell på plass som gir tydelige svar basert på mønstre og kategorier, ikke enkeltprosjekter, sier han.

Må være en kanal tilbake til lovgiver

Karper mener også at regulatoriske sandkasser må være mer enn et sted der myndighetene forklarer hvordan dagens regler skal forstås. De må også fungere som en kanal tilbake til lovgiver.

– Sandkasser bør brukes til å kunne si noe om det faktisk er løsningen eller reguleringen som er problemet. Om det faktisk er snakk om en utdatert regel, så bør sandkassen dokumentere og informere lovgiver, sier han.

Gründeren mener også at verdien av en sandkasse øker kraftig dersom arbeidet der munner ut i en form for bekreftelse bedrifter kan vise til videre.

– Bedrifter trenger et troverdig, uavhengig signal som viser at løsningen er compliant. Det har ingenting å si om jeg vet at jeg er compliant, om ikke kunden vet at jeg er det.

For selskaper som bygger nye løsninger, er det nettopp en slik bekreftelse som kan avgjøre om et prosjekt får grønt lys av ledelse og styret, mener han.

Handler om velferdssamfunnet

Helga M. Brøgger jobber med opprettelsen av KI Norge, og er utleid til Digitaliseringsdirektoratet fra DNV, der hun forsker på helse og kunstig intelligens.

Hun minner om at innovasjon og ansvarlighet er to sider av samme sak.

– Ingen ønsker seg nye tjenester som går på bekostning av grunnleggende rettigheter, etikk eller tillit. Oppgaven er å finne rammer som gjør det mulig å ta i bruk teknologien på en trygg måte, uten at regelverket blir en brems i seg selv, sier Brøgger.

Men for Karper er frykten at grunnleggende rettigheter vi har som følge av velferdssamfunnet kan havne under press, dersom norske og europeiske bedrifter ikke er i stand til å konkurrere med de amerikanske og kinesiske.

– Når vi snakker om risiko må det ikke bare være at data kan lekke eller noe kan bli misbrukt. Risko er også om vi ikke klarer å konkurrere. Det er det som står på spill.

Når KI-agenter i større grad begynner å håndtere innkjøp, kvalitet og leverandørdialog, mener han at europeiske selskaper i praksis må konkurrere med land som Kina på pris og kvalitet.

Det blir vanskelig, om kinesiske selskaper får tidligere tilgang på kraftigere produktivitetsteknologi enn europeiske selskaper.

– Dette handler ikke bare om å gjøre kontorarbeidere litt mer effektive. Det handler om konkurransekraft og evnen til å opprettholde samfunnet vi har.

– Den største faren er å stå stille

Trond Moengen i Digital Norway understreker hvor viktig det er at jurister, myndigheter og næringsliv finner sammen på tvers for å diskutere disse spørsmålene.

Han sier virksomheter må håndtere to typer risiko. Den ene handler om alt som kan gå galt når KI tas i bruk: bias, brudd på lover og regler, personvern, sikkerhet og compliance.

Den andre handler om hva som skjer hvis norske bedrifter blir stående stille mens konkurrentene bygger fart, tar markedsandeler og styrker produktiviteten.

– Det er selvfølgelig viktig med lover og regler. Men det gir ingen verdi å være compliant hvis man om ett år ikke lenger er en virksomhet, sier han.

Trond Moengen i Digital Norway (Foto: Digital Norway)

Moengen understreker at fagforumet også viser frem hvor avgjørende det er at regulerende myndigheter følger tett med på situasjonen ute i bedriftene, og at nye rammer må utvikles i dialog med dem som faktisk skal ta teknologien i bruk.

– Dilemmaene ute hos bedriftene er helt andre enn før, behovet for tempo og handlekraft oppleves mye mer på kroppen. Den største faren er å stå helt stille, sier han.

– Nå som ting endrer i et tempo vi har aldri har vært borte i før, må alle tørre å tenke nytt rundt hvordan vi vi kan sikre et konkurransedyktig næringsliv, samtidig som vi ivaretar viktige prinsipper som tillit, trygghet og ansvarlighet.