AI-verktøy har blitt en naturlig del av arbeidsdagen, også når du jobber med dokumenter som inneholder personopplysninger – kontrakter, kvitteringer, e-poster. Spørsmålet er ikke lenger om du skal bruke AI, men hvordan du gjør det uten å bryte personvernreglene. Her er det viktigste en norsk bedrift bør ha klart i 2026.
GDPR forbyr ikke AI – det stiller krav
Personvernforordningen (GDPR) regulerer behandling av personopplysninger, ikke teknologien du bruker. Sender du noe som kan identifisere en person inn i et AI-verktøy, behandler du personopplysninger – og da gjelder de vanlige reglene: du må ha et behandlingsgrunnlag (for eksempel avtale, samtykke eller berettiget interesse), du må bare bruke dataene til det du har sagt, og du må kunne dokumentere hva du gjør.
Det gode er at dette er håndterbart. De fleste hverdagsoppgaver – oppsummere en rapport, rette en e-post, lese av en kvittering – kan gjøres innenfor regelverket hvis du velger verktøy med omhu.
Databehandleravtale: hvem har ansvaret?
Når en AI-leverandør behandler personopplysninger på dine vegne, er du behandlingsansvarlig og leverandøren databehandler. GDPR krever da en databehandleravtale (DPA) som regulerer hva leverandøren får lov til å gjøre med dataene.
Før du tar i bruk et verktøy for noe som inneholder persondata, sjekk at leverandøren tilbyr en DPA, og les hva den faktisk sier om lagring, sletting og bruk til trening av modeller. En avtale som er vag på akkurat disse punktene, er et varselsignal: det er forskjell på «vi kan lagre data» og «innholdet slettes straks behandlingen er ferdig».
Husk også at ansvaret blir hos deg. Selv med en god databehandleravtale er det du som er behandlingsansvarlig overfor kundene og de ansatte dine. Avtalen flytter ikke ansvaret – den dokumenterer at du har gjort jobben din.
Særlige kategorier krever ekstra varsomhet
Noen personopplysninger er strengere regulert enn andre. Helseopplysninger, fagforeningsmedlemskap, religion og etnisitet regnes som «særlige kategorier» under GDPR, og terskelen for å behandle dem er høyere – ofte kreves uttrykkelig samtykke eller et eget rettslig grunnlag.
I praksis betyr det at du bør være ekstra tilbakeholden med å sende slik informasjon inn i et hvilket som helst verktøy. Trenger du å oppsummere et dokument som inneholder helsedata, vurder om du kan fjerne de mest sensitive feltene først, og bruk uansett bare verktøy som ikke lagrer innholdet.
Dataminimering – send mindre
Det enkleste personverngrepet er også det mest oversette: ikke send mer enn nødvendig. Trenger AI-en virkelig fødselsnummeret for å oppsummere et brev? Ofte kan du fjerne eller anonymisere de mest sensitive feltene før du limer inn teksten. Jo mindre persondata som forlater maskinen din, jo mindre er risikoen.
For oppgaver som å lese av kvitteringer eller oversette et dokument er poenget at innholdet behandles der og da – og ikke blir liggende igjen etterpå.
Tredjelandsoverføring: hvor havner dataene?
Det mest kompliserte spørsmålet er geografi. Overføring av personopplysninger til land utenfor EØS – typisk USA – har vært et hett tema siden Schrems II-dommen, og selv med rammeverk som EUs Data Privacy Framework og standard avtaleklausuler (SCC) er det fortsatt noe du må forholde deg til.
Den tryggeste tilnærmingen er å holde behandlingen i EU. Da slipper du mye av usikkerheten rundt tredjelandsoverføring. Vær samtidig ærlig med deg selv: er leverandøren et amerikansk-eid selskap, kan ingen love at de er fullstendig utenfor amerikansk jurisdiksjon. Det realistiske målet er å redusere risiko – EU-prosessering, ingen lagring av innhold, og en avtale om at data ikke brukes til å trene modeller – ikke å påstå at amerikansk tilknytning er helt fjernet.
Sjekklisten før du tar i bruk et AI-verktøy
- Behandlingsgrunnlag på plass for det du faktisk gjør.
- Databehandleravtale med leverandøren hvis persondata er involvert.
- Hvor prosesseres dataene? EU-region er å foretrekke.
- Lagres innholdet? Verktøy som behandler i minnet og sletter med en gang gir minst spor.
- Trenes modellen på dataene dine? Se etter en uttrykkelig nei (ZDR-avtale).
Kort oppsummert
GDPR og AI er fullt forenlige hvis du tenker gjennom grunnlag, mengde og geografi. Velg verktøy som prosesserer i EU og ikke lagrer innholdet ditt, hold en DPA i orden, og send aldri mer persondata enn oppgaven krever. Er du i tvil i en konkret sak, spør en jurist eller sjekk Datatilsynet – denne artikkelen er en oversikt, ikke en fasit. Vil du se hvordan prinsippene ser ut i praksis, prøv et verktøy som oversetteren, som behandler teksten i EU og sletter den straks.