GDPR og AI: Det norske bedrifter faktisk trenger å vite

Spørsmålet dukker opp i styrerom og på kontorer over hele Norge: «Er det lov å bruke ChatGPT på jobben?» Svaret er ikke ja eller nei – det avhenger av hva og hvordan.

Denne artikkelen gir deg et praktisk rammeverk, ikke juridisk rådgivning. For konkret rettslig veiledning, kontakt en jurist med personvernkompetanse.

Det grunnleggende skillet: Personopplysninger eller ikke

GDPR regulerer behandling av personopplysninger – opplysninger som kan knyttes til en identifiserbar person. Alt annet er i utgangspunktet fritt frem.

• Skrive generelle tekster og bruke AI til kreativt arbeid uten personopplysninger → OK
• Lime inn en e-post fra en navngitt kunde i ChatGPT → Potensielt problematisk
• Analysere anonymisert statistikk med AI → OK
• Gi AI tilgang til HR-data med navn og lønn → Krever nøye vurdering

Hva sier regelverket om AI-tjenester?

Når du sender data til OpenAI, Anthropic eller Google, er disse å anse som databehandlere etter GDPR. Det betyr:

1. Du trenger en databehandleravtale (DPA) med tjenesteleverandøren
2. Du må ha et behandlingsgrunnlag for å sende personopplysningene
3. Internasjonale overføringer (spesielt til USA) krever spesielle mekanismer (EU-US Data Privacy Framework)

De store aktørene tilbyr alle DPA-er for bedriftsabonnement. Problemet er at mange bruker gratis- eller personversjonene – der er vilkårene annerledes og data kan brukes til trening av modellene.

Konkrete scenarier

Scenario 1: Kundeservice-ansatt limer inn en klageepost

Kunden er identifiserbar. Det er en personopplysning. Uten DPA og behandlingsgrunnlag: GDPR-brudd.

Løsning: Anonymiser (fjern navn, e-post, kontaktinfo) eller bruk en bedriftsavtale med gyldig DPA.

Scenario 2: HR bruker AI til å analysere CV-er

CV-er er personopplysninger. Noen er sensitive (helse, etnisitet, politisk overbevisning).

Løsning: Bruk AI-løsninger med norsk/europeisk datalagring, DPA og klar hjemmel. Vurder konsekvensutredning (DPIA).

Scenario 3: Selger bruker ChatGPT til å skrive tilbud

Om tilbudet ikke inneholder personopplysninger (bare produktinfo og priser): sannsynligvis OK.

Om tilbudet inneholder kontaktpersonens navn og bedriftsopplysninger: vurder om dette er personopplysninger i konteksten.

Scenario 4: Intern AI-assistent koblet til bedriftens egne data

Her kontrollerer dere dataene. Vurder norske/europeiske AI-løsninger (f.eks. Azure OpenAI med europeisk datalagring) for best GDPR-kontroll.

Praktiske tiltak for norske bedrifter

1. Lag en intern AI-policy som definerer hva ansatte kan og ikke kan gjøre
2. Inngå DPA med AI-leverandørene dere bruker i forretningsmessig sammenheng
3. Opplær ansatte i hva de ikke skal lime inn: navn, e-post, CPR-nummer, helseopplysninger, lønn
4. Vurder DPIA (Data Protection Impact Assessment) for høyrisikobruk
5. Bruk bedriftsversjoner, ikke personversjoner, av AI-tjenester

Hva Datatilsynet sier

Datatilsynet (det norske personvernombudet) har publisert veiledning om bruk av AI og ChatGPT. De understreker at GDPR fullt ut gjelder for AI-bruk og oppfordrer virksomheter til risikovurdering.

De har også understreket at det ikke er forbudt å bruke AI – men det krever bevisst forvaltning.

Kort oppsummert

• Ingen personopplysninger i AI-prompts uten DPA og behandlingsgrunnlag
• Bruk bedriftsabonnement, ikke gratis privatversjon for jobb
• Lag en intern AI-policy
• Søk juridisk bistand for høyrisikobruk
• Det er ikke forbudt – men det krever ryddighet