Hopp til hovedinnhold
AIKI

AI og GDPR i Norge: Slik bruker du AI lovlig

||4 min lesing

Kort fortalt

  • Datatilsynet har AI som prioritetsområde i 2025 og gjennomfører aktive tilsyn
  • EU AI Act innfører bøter på opptil 35 millioner euro fra august 2026 for høyrisiko-AI
  • De fleste ChatGPT/Claude-brukstilfeller er lovlige, men krever databehandleravtale og EU-datalagring

GDPR og AI skaper usikkerhet i mange norske bedrifter. Hva er egentlig tillatt? Hva krever spesielle tiltak? Og hva skjer hvis man tar feil? Her er en konkret og oppdatert gjennomgang.

Det grunnleggende: GDPR gjelder i Norge

GDPR ble innlemmet i EØS-avtalen og gjelder i Norge fra 20. juli 2018. Norge behandler GDPR på samme måte som EU-land: Datatilsynet er tilsynsmyndighet og har myndighet til å ilegge bøter på opptil 20 millioner euro eller 4% av global omsetning.

Alle norske bedrifter som behandler personopplysninger om ansatte, kunder eller andre, er bundet av GDPR. Det gjelder uansett om de bruker AI eller ikke.

Hva Datatilsynet fokuserer på i 2025

Datatilsynet har offentliggjort at kunstig intelligens er et prioritert tilsynsområde i 2025, sammen med datadeling og personvernsikkerhet i kommunal sektor.

Det betyr:

  • Økt risiko for tilsynsbesøk og forespørsler fra Datatilsynet
  • Aktiv overvåking av AI-leverandørers databehandlerpraksis
  • Fokus på automatiserte beslutninger om enkeltpersoner (GDPR artikkel 22)

Vær forberedt på å dokumentere hvilke AI-verktøy dere bruker og hvordan disse behandler personopplysninger.

De tre vanligste brukstilfellene og hva de krever

1. ChatGPT, Claude og lignende verktøy i arbeidshverdagen

Ansatte bruker AI-assistenter til å skrive e-poster, sammenfatte dokumenter, generere presentasjoner og lignende.

Er det lovlig? Ja, men med viktige forbehold:

  • Ikke send personopplysninger inn i den generelle AI-chatten. Navn + e-post + detaljerte opplysninger om kunder/ansatte regnes som personopplysninger.
  • Bruk bedriftsversjoner. ChatGPT Teams, Claude for Business og tilsvarende har databehandleravtaler der OpenAI/Anthropic ikke trener modellene på bedriftens data.
  • Sjekk datalagring. Gratisversjoner lagrer typisk data i USA. Bedriftsversjonene tilbyr EU-datalagring.

2. AI-chatbot på nettsiden for kundeservice

En chatbot som samler inn navn, e-post og spørsmål fra kunder.

Krav:

  • Databehandleravtale med chatbot-leverandøren
  • Personvernopplysning som inkluderer chatbotens databehandling
  • Informasjon til brukeren om at de kommuniserer med AI (krav fra EU AI Act fra 2025)
  • Lagringstidsbegrensning: ikke oppbevar chatlogger lenger enn nødvendig

3. AI for automatiserte beslutninger

Bruk av AI til å screene jobbsøkere, scoring av kunder, eller automatisert kredittbeslutning.

Dette er strengt regulert. GDPR artikkel 22 gir enkeltpersoner rett til ikke å bli underlagt automatiserte beslutninger med rettslige eller lignende virkninger. Det krever:

  • Eksplisitt samtykke fra den berørte
  • Informasjon om den automatiserte logikken
  • Rett til menneskelig gjennomgang av beslutningen

For autonome AI-agenter i HR, kredittvurdering eller lignende: juridisk gjennomgang er nødvendig før implementering.

EU AI Act: Det som kommer fra 2025 og 2026

EU AI Act er en ny forordning som regulerer AI-systemer etter risikokategori:

Fra februar 2025: Forbudte AI-praksiser er i kraft. Dette inkluderer blant annet manipulerende AI-systemer, generell "social scoring" av innbyggere, og biometrisk masseovervåking.

Fra august 2025: Forpliktelser for leverandører av generell AI (LLM-er). Gjelder primært leverandørene, ikke norske SMB-kunder.

Fra august 2026: Full ikrafttredelse for høyrisiko AI-systemer (Annex III). Inkluderer AI brukt i rekruttering, kredittvurdering, kritisk infrastruktur og medisinsk diagnostikk. Bøter: opptil 35 millioner euro eller 7% av global omsetning.

De fleste norske SMB-er som bruker AI til tekstgenerering, automatisering og analyse vil ikke falle i høyrisiko-kategorien. Men sjekk om løsningen din berører rekruttering, finansielle beslutninger om enkeltpersoner eller helseopplysninger.

Praktisk sjekkliste for GDPR-trygg AI-bruk

For AI-verktøy til interne formål:

  • Bruk bedriftsversjon med databehandleravtale (DPA)
  • Velg EU-datalagring der tilgjengelig
  • Lag intern retningslinje: hva kan ansatte bruke AI til, og hva er forbudt
  • Ikke lim inn sensitive personopplysninger i AI-chatter

For AI-chatbot mot kunder:

  • Inngå databehandleravtale med leverandøren
  • Oppdater personvernopplysningen din til å inkludere chatboten
  • Informer brukere om at de kommuniserer med AI
  • Begrens lagringstid for chatlogger

For AI til automatiserte beslutninger:

  • Gjennomfør DPIA (Data Protection Impact Assessment)
  • Sikre rett til menneskelig gjennomgang
  • Dokumenter logikken i beslutningene
  • Innhent juridisk vurdering

Hva er konsekvensen av brudd?

Datatilsynet kan ilegge:

  • Advarsel eller pålegg om retting
  • Midlertidig eller permanent forbud mot behandling
  • Bøter: opptil 20 millioner euro eller 4% av global omsetning

I praksis er store bøter sjeldne for norske SMB-er som forsøker å etterleve regelverket. Datatilsynets fokus er primært på store aktører og systemiske brudd. Men dokumentert manglende innsats gir langt høyere risiko enn et gjennomtenkt oppsett med noen feil.

AIKIs AI Kickstart inkluderer alltid en gjennomgang av personvernkonsekvenser og databehandleravtaler som en del av prosjektet.

FAQ: AI og GDPR i Norge

Kan vi bruke ChatGPT på jobben uten å bryte GDPR?

Ja, men med betingelser. Bruk ChatGPT Teams eller Enterprise (ikke gratis/pluss-versjonen) slik at OpenAI ikke trener modellen på bedriftens data. Ikke send inn personopplysninger om kunder eller ansatte. Les databehandleravtalen og sjekk at datalagring er i EU.

Trenger vi databehandleravtale med AI-leverandøren?

Ja, hvis AI-verktøyet behandler personopplysninger på bedriftens vegne. Det gjelder chatbots, CRM-integrasjoner, e-postanalysesystemer og lignende. De fleste etablerte AI-leverandører tilbyr DPA som en del av bedriftsavtalene.

Hva er EU AI Act og gjelder det for norske SMB-er?

EU AI Act er en EU-forordning som regulerer AI-systemer etter risikokategori. Den gjelder i Norge via EØS. For de fleste SMB-er er konsekvensene begrensede frem til 2026 da høyrisiko-kravene trer i kraft. Unntaket er bedrifter som bruker AI til rekruttering, kredittvurdering eller lignende.

Kan vi bruke AI til å screene jobbsøkere?

Automatisert screening er mulig, men strengt regulert. GDPR gir søkere rett til menneskelig gjennomgang av AI-baserte beslutninger. AI kan støtte rekrutteringsprosessen (sammenfatte CV-er, stille spørsmål til søkere), men det endelige valget skal alltid tas av et menneske.

Hva sier Datatilsynet om AI?

Datatilsynet har AI som prioritetsområde i 2025 og publiserer aktivt veiledning. De gjennomfører tilsyn og kan gi pålegg. Oppdatert veiledning finnes på datatilsynet.no. Datatilsynet understreker at GDPR gjelder fullt ut for AI-systemer som behandler personopplysninger.

GDPR og AI er ikke uforenlige. De fleste brukstilfeller er lovlige med riktige tiltak. Nøkkelen er å dokumentere hva dere gjør, velge leverandører med tydelige databehandleravtaler, og unngå å sende sensitive personopplysninger inn i offentlige AI-tjenester.

Del:LinkedInXFacebook

Relaterte innlegg

Strategi · 25. feb. 2026Slik velger du riktig AI-leverandør i 2026Strategi · 24. feb. 2026Beste AI-verktøy for norske bedrifter i 2026Strategi · 16. sep. 20255 manuelle prosesser som bremser veksten din