--- title: "AI-prinsipper — Standard Online" date: "YYYY-MM-DD" tags: ["ai", "prinsipper", "rammeverk"] refs: - "../4.informasjonsarkitektur/masterdata-og-eierskap.md" - "../5.personvern-og-sikkerhet/gdpr-oversikt.md" - "identifiserbarhet-og-tilgang.md" - "logging-og-sporbarhet.md" - "human-in-the-loop.md" qa: status: "draft" version: 1 --- # AI-prinsipper Operasjonelle prinsipper for AI-agenter hos Standard Online. **Dette er ikke en arkitektur-spec** — det er et sett premisser som arkitekturen må respektere. Konkret implementering avklares i en senere fase. ## Grunnpremiss AI-agenter blir bare så pålitelige som dataene under dem. Kontroll og eierskap til data er fundamentet for å kunne sette agenter i produksjon. AI-fundamentet er bygget på [masterdata-og-eierskap](../4.informasjonsarkitektur/masterdata-og-eierskap.md) og [data-governance-prinsipper](../4.informasjonsarkitektur/data-governance-prinsipper.md). ## Fem prinsipper ### 1. Identifiserbarhet — hver agent har egen identitet Ingen AI-agent skal opptre under en generisk eller delt identitet. Hver agent autentiseres og autoriseres som en egen entitet. Se [identifiserbarhet-og-tilgang](identifiserbarhet-og-tilgang.md). ### 2. Minste privilegium — agenter får kun det de trenger Tilganger gis per agent, per oppgave, og kun til nødvendig data og funksjonalitet. Tilganger gjennomgås periodisk. Se [identifiserbarhet-og-tilgang](identifiserbarhet-og-tilgang.md). ### 3. Sporbarhet — hver handling logges Hver handling utført av en agent logges med agent-ID, tidspunkt, input, output og berørt data. Logger er tilgjengelige for dataeier. Se [logging-og-sporbarhet](logging-og-sporbarhet.md). ### 4. Human-in-the-loop for kritiske beslutninger Beslutninger kategoriseres i tre nivåer: autonom, varslende, godkjennende. Kategoriseringen reflekterer risiko og reversibilitet. Se [human-in-the-loop](human-in-the-loop.md). ### 5. Datakvalitet som premiss En agent settes ikke i produksjon mot et domene før domenet har tydelig System-of-Record, definert Dataforvalter og minimum akseptabel datakvalitet. Se [datakvalitet-som-ai-premiss](datakvalitet-som-ai-premiss.md). ## Åpne spørsmål for kundedialog Disse spørsmålene bør avklares før konkret AI-arkitektur designes: - Hva er kundens akseptable risikonivå for autonome handlinger? - Hvilke domener er "high-stakes" hvor menneskelig godkjenning alltid kreves? - Hvilke ansatte/roller skal kunne sette opp og endre agenter? - Hvordan håndteres feil og avvik fra agenter — incident response? - Hvilke åpne kilder/LLM-leverandører er akseptable? Hva er GDPR-grunnlaget for treningsdata? - Hva er kundens posisjon på AI-baserte beslutninger overfor sluttbrukere (transparens, klagerett)? --- *Klassifisering: Begrenset*