AI Act-ready · Article 50 transparency

AI-transparens

Ketl er en AI-drevet tjeneste for tilgang til norske registre og compliance-data. Denne siden dokumenterer hvilke AI-modeller vi bruker, hva vi IKKE bruker dataene dine til, og hvordan du kan verifisere enhver AI-generert respons mot kilden. Det er vårt svar på AI Act Article 50 (transparens for AI-generert innhold, gjeldende 2. august 2026) og forbereder registrering i Nkom sitt AI-register Q3-Q4 2026.

Sist oppdatert: 25. april 2026. Endringer versjoneres i /.well-known/ai-system-card.json.

Modeller vi bruker

Vi trener ingen egne fundamentmodeller. Ketl er en system-integrator som kombinerer eksterne AI-modeller med våre norske dataintegrasjoner. Dette gir oss mulighet til å bytte modell om en leverandør endrer vilkår — og det gjør transparensen enklere, siden vi kan peke på leverandørens egne model-cards i tillegg til vår systembeskrivelse.

Claude Sonnet 4.6

Anthropic PBC (USA, EU-overføring via SCC + DPF)

Formål: Primær modell for spørrings-parsing, svar-generering og verktøybruk via MCP.

Data: Zero-retention-policy aktivert: Anthropic lagrer ikke prompt eller respons etter 30 dager. Ikke brukt i trening.

Claude Opus 4.6

Anthropic PBC

Formål: Dyp analyse, revisjonsassistanse og lengre resonnement (Enterprise-tier).

Data: Samme zero-retention-policy som Sonnet. Kun aktivert for Enterprise-kunder med signert DPA.

Claude Haiku 4.5

Anthropic PBC

Formål: Rask klassifisering, ruting og autocomplete i dashboard. Aldri i kundevendt output.

Data: Zero-retention-policy. Ingen trening.

text-embedding-3-large

OpenAI (kun vektor-embeddings av offentlig åpne data)

Formål: Semantisk søk i offentlige datasett (Brreg, Lovdata, SSB). Aldri i kundedata.

Data: Kun offentlige kilder sendes. Ingen kundedata, ingen PII.

Hva brukes til hva?

Brukes: Offentlig åpne data (Brreg, SSB, Lovdata, Kartverket)

Vi indekserer og embedder åpne offentlige datasett for å gi AI-modellene kontekst.

Brukes: Metadata om API-bruk (request-id, tidspunkt, tier)

Brukes til fakturering (Stripe Billing Meters) og for feilsøking.

Brukes IKKE: Innholdet i dine prompts eller AI-respons

Ingen av Ketl sine egne modeller trenes på det du skriver eller det AI-en svarer. Anthropic/OpenAI har zero-retention-policy aktivert.

Brukes IKKE: Filer du laster opp (regnskap, SAF-T, rapporter)

Opplastinger lagres i din Ketl-tenant i Firestore (europe-west1). De sendes KUN til AI-modeller ved eksplisitt forespørsel fra deg, og aldri for trening.

Brukes IKKE: Kryss-tenant-analyse

Vi aggregerer aldri data på tvers av kunder for benchmark eller modell-trening.

Brukes IKKE: Biometriske eller spesielle kategorier iht. GDPR art. 9

Tjenesten håndterer ikke biometri, helsedata eller andre sensitive kategorier. Se DPA for uttømmende liste.

Slik verifiserer du AI-generert output

For revisorer, journalister og saksbehandlere er etterprøvbarhet det viktigste. Ketl er designet slik at enhver AI-respons kan spores tilbake til de offentlige datapunktene den bygger på — uten å blindt stole på modellen.

Kilde-sitering i hvert svar

Hver AI-generert påstand lenker til den konkrete raden i Brreg/SSB/Lovdata den kommer fra. Klikk sitatet for å se original-data.

Reproduserbar trace

Hver respons har en unik `response-id` du finner i UI. I dashbordet kan du spørre opp metadata: hvilken modell, hvilke verktøy som ble kalt, hvilke data som ble hentet. Du ser ALT — bortsett fra modellens interne vekter.

Eksport til regneark

Du kan eksportere underliggende data til Excel/CSV og verifisere mot kilden manuelt. Dette er standard for revisor-workflows.

Åpen AI System Card

Last ned https://data.ketl.no/.well-known/ai-system-card.json — et maskinlesbart dokument med tekniske detaljer om modellvalg, data-tilganger og risiko-vurdering (inspirert av model-cards, AI Act Annex IV).

AI System Card (maskinlesbar)

Et stabilt JSON-dokument som dekker AI Act Annex IV-punktene vi er pålagt å publisere. Brukes av granskings-systemer og kan hentes av tredjepart-revisorer.

GET https://data.ketl.no/.well-known/ai-system-card.json

Inspirert av model-card-konvensjoner og harmonisert mot AI Act-kravene.

Audit-logg: sporbarhet uten å lagre innhold

Hver AI-samtale får en unik prompt-ID og respons-ID som lagres i audit-loggen vår. Det gir revisorer og tilsynsmyndigheter sporbarhet fra brukerens spørsmål til modellens svar — uten at selve innholdet er lagret noen steder.

Hva vi lagrer

UUID v4 for prompt og respons
Tidspunkt og varighet (ms)
Modell-navn og -versjon
App-navn og path (uten query-string)
Din bruker-UID (eller «anonymous»)
Approksimativt antall tokens
Status (success / error / cancelled)

Hva vi IKKE lagrer

Prompt-tekst
Respons-tekst
Hash av innhold (kan re-identifisere)
IP-adresse eller geo-lokasjon
Query-parametere i URLen

Du kan se, eksportere og slette dine audit-rader selvbetjent via /dashboard/ai-innsyn (GDPR art. 15/17/20). For spørsmål: personvern@ketlcloud.no.

Skjema er åpent dokumentert i src/schemas/ai-audit-log.ts i vårt åpne repo. Loggen oppfyller AI Act Article 50 sin dokumentasjonskrav uten å svekke personvernet.

Vår AI Act-compliance-status

Article 50 — transparens (2. aug 2026)

Modell-merking i UI, denne siden, og system-card er på plass. Full merking av alle AI-genererte ytringer rulles ut før fristen.

GPAI-krav (2. aug 2026)

Vi er ikke GPAI-leverandør selv, men har dokumentert hvilke GPAI-modeller vi bygger på og deres lisenser.

PlanlagtNkom AI-register (Q3-Q4 2026)

Registrering hos Nkom når registeret åpner. Risk- assessment per bruksområde (revisjon, journalistikk, compliance) ferdigstilt 26. april 2026 — se docs/ai-governance/.

Ikke-høyrisiko-klassifisering

Ketl faller utenfor AI Act Annex III høyrisiko-kategorier (ingen kredittvurdering, biometri eller rettshåndhevelse). DPIA er oppdatert per april 2026.

Spørsmål eller innsyn?

For spørsmål om AI-behandling: ai-governance@ketlcloud.no. For innsyn/sletting iht. GDPR art. 15/17: se personvernerklæringen. For sikkerhetsrapporter: se sikkerhetssiden.

AI-transparens

Sist oppdatert: 25. april 2026. Endringer versjoneres i /.well-known/ai-system-card.json.

Modeller vi bruker

Claude Sonnet 4.6

Anthropic PBC (USA, EU-overføring via SCC + DPF)

Formål: Primær modell for spørrings-parsing, svar-generering og verktøybruk via MCP.

Data: Zero-retention-policy aktivert: Anthropic lagrer ikke prompt eller respons etter 30 dager. Ikke brukt i trening.

Claude Opus 4.6

Anthropic PBC

Formål: Dyp analyse, revisjonsassistanse og lengre resonnement (Enterprise-tier).

Data: Samme zero-retention-policy som Sonnet. Kun aktivert for Enterprise-kunder med signert DPA.

Claude Haiku 4.5

Anthropic PBC

Formål: Rask klassifisering, ruting og autocomplete i dashboard. Aldri i kundevendt output.

Data: Zero-retention-policy. Ingen trening.

text-embedding-3-large

OpenAI (kun vektor-embeddings av offentlig åpne data)

Formål: Semantisk søk i offentlige datasett (Brreg, Lovdata, SSB). Aldri i kundedata.

Data: Kun offentlige kilder sendes. Ingen kundedata, ingen PII.

Hva brukes til hva?

Brukes: Offentlig åpne data (Brreg, SSB, Lovdata, Kartverket)

Vi indekserer og embedder åpne offentlige datasett for å gi AI-modellene kontekst.

Brukes: Metadata om API-bruk (request-id, tidspunkt, tier)

Brukes til fakturering (Stripe Billing Meters) og for feilsøking.

Brukes IKKE: Innholdet i dine prompts eller AI-respons

Ingen av Ketl sine egne modeller trenes på det du skriver eller det AI-en svarer. Anthropic/OpenAI har zero-retention-policy aktivert.

Brukes IKKE: Filer du laster opp (regnskap, SAF-T, rapporter)

Opplastinger lagres i din Ketl-tenant i Firestore (europe-west1). De sendes KUN til AI-modeller ved eksplisitt forespørsel fra deg, og aldri for trening.

Brukes IKKE: Kryss-tenant-analyse

Vi aggregerer aldri data på tvers av kunder for benchmark eller modell-trening.

Brukes IKKE: Biometriske eller spesielle kategorier iht. GDPR art. 9

Tjenesten håndterer ikke biometri, helsedata eller andre sensitive kategorier. Se DPA for uttømmende liste.

Slik verifiserer du AI-generert output

Kilde-sitering i hvert svar

Hver AI-generert påstand lenker til den konkrete raden i Brreg/SSB/Lovdata den kommer fra. Klikk sitatet for å se original-data.

Reproduserbar trace

Eksport til regneark

Du kan eksportere underliggende data til Excel/CSV og verifisere mot kilden manuelt. Dette er standard for revisor-workflows.

Åpen AI System Card

Audit-logg: sporbarhet uten å lagre innhold

Hva vi lagrer

UUID v4 for prompt og respons
Tidspunkt og varighet (ms)
Modell-navn og -versjon
App-navn og path (uten query-string)
Din bruker-UID (eller «anonymous»)
Approksimativt antall tokens
Status (success / error / cancelled)

Hva vi IKKE lagrer

Prompt-tekst
Respons-tekst
Hash av innhold (kan re-identifisere)
IP-adresse eller geo-lokasjon
Query-parametere i URLen

Du kan se, eksportere og slette dine audit-rader selvbetjent via /dashboard/ai-innsyn (GDPR art. 15/17/20). For spørsmål: personvern@ketlcloud.no.

Skjema er åpent dokumentert i src/schemas/ai-audit-log.ts i vårt åpne repo. Loggen oppfyller AI Act Article 50 sin dokumentasjonskrav uten å svekke personvernet.

Vår AI Act-compliance-status

Article 50 — transparens (2. aug 2026)

Modell-merking i UI, denne siden, og system-card er på plass. Full merking av alle AI-genererte ytringer rulles ut før fristen.

GPAI-krav (2. aug 2026)

Vi er ikke GPAI-leverandør selv, men har dokumentert hvilke GPAI-modeller vi bygger på og deres lisenser.

PlanlagtNkom AI-register (Q3-Q4 2026)

Registrering hos Nkom når registeret åpner. Risk- assessment per bruksområde (revisjon, journalistikk, compliance) ferdigstilt 26. april 2026 — se docs/ai-governance/.

Ikke-høyrisiko-klassifisering

Ketl faller utenfor AI Act Annex III høyrisiko-kategorier (ingen kredittvurdering, biometri eller rettshåndhevelse). DPIA er oppdatert per april 2026.