AI og GDPR: hva norske bedrifter maa passe paa

Kort svar: Du kan godt bruke AI i bedriften din uten å bryte loven, men du må vite hvilke data du sender inn, hvor de lagres, og hvem som behandler dem. AI og GDPR henger sammen fordi de fleste AI-verktøy behandler personopplysninger på en eller annen måte. Det betyr at de samme reglene som ellers gjelder for kundedata, også gjelder når du bruker et AI-verktøy.

Dette er generell informasjon, ikke juridisk rådgivning. For konkrete vurderinger bør du sjekke veilederne hos Datatilsynet eller snakke med en jurist. Men her får du en praktisk oversikt over hva du må passe på.

Hva betyr AI og GDPR i praksis?

GDPR er personvernforordningen som gjelder i hele EU og EØS, også i Norge. Den regulerer hvordan virksomheter samler inn, lagrer og bruker personopplysninger. En personopplysning er enhver opplysning som kan knyttes til en person. Navn, e-post, telefonnummer, kundehistorikk eller et bilde teller alt sammen.

Når du limer inn en kundeklage i et AI-verktøy for å få hjelp til et svar, sender du personopplysninger til en ekstern leverandør. Det utløser krav. Du er fortsatt ansvarlig for dataene, selv om det er en maskin som behandler dem.

Dette er kjernen i personvern og kunstig intelligens: AI-verktøyet er bare et verktøy. Ansvaret ligger hos deg som bruker det.

Hvilke data kan du sende til AI-verktøy?

Det er stor forskjell på data som er ufarlige og data som krever forsiktighet. En tommelfingerregel: jo mer en opplysning kan knyttes til en bestemt person, jo mer må du tenke deg om.

Dette kan du som regel sende inn uten større betenkeligheter:

• Generelle spørsmål og utkast uten personopplysninger
• Anonymiserte tekster der navn og kjennetegn er fjernet
• Markedsføringstekster og produktbeskrivelser
• Interne notater uten sensitiv informasjon

Dette bør du være forsiktig med:

• Kundenavn, e-poster og telefonnumre
• Helseopplysninger, etnisitet, religion eller fagforeningsmedlemskap
• Fødselsnummer og kontonummer
• Ansattes personalsaker

Sensitive personopplysninger har ekstra strenge regler. Slike data bør du i utgangspunktet ikke sende til et AI-verktøy uten en grundig vurdering og et tydelig rettslig grunnlag.

Et enkelt grep er å anonymisere før du limer inn. Bytt ut «Kari Nordmann, kunde siden 2019» med «kunden». Da får du fortsatt hjelp fra AI-en uten å eksponere identiteten til en virkelig person.

Databehandleravtale: papiret du ikke kan hoppe over

Når en ekstern leverandør behandler personopplysninger på dine vegne, krever GDPR en databehandleravtale. Det gjelder også AI-leverandører. Avtalen regulerer hva leverandøren har lov til å gjøre med dataene, hvor lenge de lagres, og hva som skjer hvis noe går galt.

Mange seriøse AI-tilbydere tilbyr dette gjennom sine forretningsavtaler. Du må aktivt sjekke at du har en slik avtale på plass før du tar verktøyet i bruk med ekte kundedata.

Noen ting å se etter i en databehandleravtale:

• At leverandøren ikke bruker dine data til å trene egne modeller uten samtykke
• Hvor dataene lagres geografisk
• Hvor lenge data oppbevares før de slettes
• Hvordan du får tilgang til eller får slettet data ved behov

Hvis du bruker et AI-verktøy for kontrakter og juridiske spørsmål, er en ryddig databehandleravtale ekstra viktig. Da behandler du ofte sensitiv informasjon.

Lagring i EU og EØS

GDPR setter krav til hvor personopplysninger kan overføres. Lagring innenfor EU og EØS er trygt. Overføring til land utenfor, som USA, krever et eget rettslig grunnlag.

For AI og GDPR betyr dette at du bør vite hvor leverandøren faktisk lagrer dataene. Mange store amerikanske tilbydere har nå datasentre i Europa, og enkelte tilbyr garantier om at data ikke forlater EØS. Andre overfører data til USA under rammeverk som EU-US Data Privacy Framework.

Sjekk leverandørens dokumentasjon. Står det at data behandles i EU, er du på tryggere grunn. Er det uklart, bør du være forsiktig med å sende personopplysninger.

Dette er et tema Datatilsynet følger tett. Reglene for tredjelandsoverføring har endret seg flere ganger de siste årene, så det lønner seg å holde seg oppdatert.

Samtykke, rettslig grunnlag og innsyn

For å behandle personopplysninger trenger du et rettslig grunnlag. Samtykke er ett av flere. Andre er at behandlingen er nødvendig for å oppfylle en avtale, eller at du har en berettiget interesse.

Når du tar i bruk AI for å behandle personopplysninger om kunder, endrer ikke det grunnlaget du allerede har. Men du bør være åpen om at du bruker AI. Mange velger å nevne det i personvernerklæringen sin.

Kundene dine har også rettigheter etter GDPR:

• Rett til innsyn i hvilke opplysninger du har om dem
• Rett til å få rettet feil
• Rett til sletting
• Rett til å protestere mot behandlingen

Dette betyr at du må ha kontroll på hvor data faktisk havner. Hvis et AI-verktøy lagrer kundedata du ikke kan hente fram eller slette, blir det vanskelig å oppfylle innsynsretten.

AI, Datatilsynet og bedrifter

Datatilsynet er den norske myndigheten som håndhever personvernreglene. De har laget veiledere om kunstig intelligens og personvern, og de driver en regulatorisk sandkasse der virksomheter kan teste AI-løsninger sammen med tilsynet.

For de fleste smbedrifter handler ikke AI og Datatilsynet om store inngrep. Det handler om å gjøre rimelige vurderinger og kunne dokumentere dem. Hvis du behandler personopplysninger i stor skala eller bruker sensitive data, kan du være forpliktet til å gjennomføre en vurdering av personvernkonsekvenser.

De fleste små bedrifter som bruker AI til tekst, kundeservice eller markedsføring, trenger ikke noe omfattende. Men du bør ha tenkt gjennom hvilke data du bruker og hvorfor.

Du kan bruke AI til mye nyttig uten å havne i trøbbel. En AI som hjelper deg med å skrive, eller en AI som tar telefonen i resepsjonen, kan settes opp på måter som respekterer personvernet. Det handler om å velge verktøy med ryddige avtaler og bruke dem fornuftig.

Praktisk sjekkliste for AI og GDPR

Gå gjennom disse punktene før du tar et nytt AI-verktøy i bruk med ekte data:

• Kartlegg hvilke personopplysninger du faktisk planlegger å sende inn
• Sjekk om du har en databehandleravtale med leverandøren
• Finn ut hvor dataene lagres geografisk
• Vurder om data brukes til å trene leverandørens modeller
• Anonymiser der det er mulig
• Unngå å sende sensitive personopplysninger uten et tydelig grunnlag
• Oppdater personvernerklæringen din om at du bruker AI
• Sørg for at du kan oppfylle innsyn og sletting
• Les Datatilsynets veiledere ved tvil

Denne listen erstatter ikke en juridisk vurdering, men den gir deg et godt utgangspunkt. De fleste bedrifter kommer langt med sunn fornuft og litt struktur.

Mini-FAQ

Er det lov å bruke ChatGPT i en norsk bedrift?

Ja. Men hvis du sender inn personopplysninger, må du ha et rettslig grunnlag og helst en databehandleravtale. Bruk forretningsversjoner som tilbyr slike avtaler, og unngå å lime inn sensitive kundedata.

Trenger jeg en databehandleravtale med AI-leverandøren?

Hvis leverandøren behandler personopplysninger på dine vegne, ja. Sjekk om tilbyderen har en standard databehandleravtale du kan godta. Mange seriøse leverandører har dette tilgjengelig.

Hvor må AI-data lagres etter GDPR?

Lagring i EU og EØS er trygt. Overføring til land utenfor krever et eget rettslig grunnlag. Sjekk hvor leverandøren lagrer data før du sender inn personopplysninger.

Hva regnes som personopplysninger?

Enhver opplysning som kan knyttes til en bestemt person. Navn, e-post, telefonnummer, bilde og kundehistorikk teller. Anonymiserte data uten kjennetegn regnes som regel ikke som personopplysninger.

Må jeg fortelle kundene at jeg bruker AI?

Du bør være åpen om det. Mange nevner bruk av AI i personvernerklæringen. Det styrker tilliten og gjør det lettere å oppfylle kravene om åpenhet.

Vil du komme trygt i gang?

Det kan være vanskelig å vite hvilke AI-verktøy som passer for nettopp din bedrift, og hvordan du tar dem i bruk på en måte som respekterer personvernet. Markus, gründeren av Oron, hjelper deg gjerne med å finne ut hvor du bør begynne. Book en prat med Markus for en uforpliktende samtale om hvordan du kan bruke AI uten å miste kontrollen på dataene dine. Vil du se hva et helt AI-team koster, finner du oversikten på prissiden.