Kunstig intelligens og personvern: hold deg på riktig side av GDPR

Mange norske bedrifter bruker AI daglig uten å ha tenkt gjennom personvernreglene. Det er ikke nødvendigvis farlig, men det er unødvendig risikabelt. Du kan bruke kunstig intelligens trygt og lovlig. Det handler om å vite hva du sender inn, hvem som lagrer det, og hva GDPR faktisk krever av deg.

Hva GDPR egentlig sier om AI

GDPR skiller ikke mellom menneskelig og automatisert behandling. Hvis du behandler personopplysninger, gjelder regelverket uansett om det er et menneske eller en AI-modell som gjør jobben.

Personopplysninger er alt som kan knyttes til en enkeltperson. Det inkluderer navn, e-postadresser, telefonnumre, IP-adresser og kundehistorikk. Sender du slike data til et AI-verktøy, har du satt i gang en behandling som GDPR regulerer.

Du trenger et rettslig grunnlag for denne behandlingen. Det vanligste er berettiget interesse, samtykke eller oppfyllelse av en kontrakt. Uten et klart grunnlag er behandlingen ulovlig, uavhengig av hvilket verktøy du bruker.

Hva Datatilsynet har sagt om AI-bruk

Datatilsynet i Norge har vært tydelige på at AI-verktøy ikke er et unntak fra personvernregelverket. De har blant annet undersøkt bruk av ChatGPT og andre store språkmodeller i offentlig sektor.

I 2023 fikk den italienske datatilsynsmyndigheten OpenAI til midlertidig å stenge ChatGPT i Italia. Datatilsynet i Norge fulgte utviklingen nøye og kom med egne råd om forsiktighet. Budskapet var enkelt: Vit hva du sender, og til hvem.

Datatilsynet anbefaler at du stiller disse spørsmålene før du bruker et AI-verktøy:

• Behandler leverandøren personopplysningene på dine vegne, og er det inngått en databehandleravtale?
• Lagres dataene utenfor EØS, og er det inngått nødvendige overføringsgrunnlag?
• Bruker leverandøren dataene til å trene modellen sin?

GDPR og AI i praksis: tre vanlige feil

De fleste feilene handler ikke om ond vilje. De handler om at det er enkelt å glemme at AI-verktøy er tredjepartsleverandører.

Du sender inn kundeopplysninger uten databehandleravtale

Hvis du ber en AI om å skrive en e-post basert på informasjon om en navngitt kunde, har du overført personopplysninger til en tredjepart. Da krever GDPR at du har en databehandleravtale på plass. Mange store leverandører tilbyr dette, men du må aktivt inngå avtalen.

Du bruker en gratis versjon som trener på dataene dine

Gratis AI-tjenester finansieres ofte ved at dataene du sender inn, brukes til å forbedre modellen. Det betyr at kundeopplysningene dine kan bli en del av treningsdataene. Sjekk alltid vilkårene, og vurder en betalt versjon med sterkere personverngarantier.

Du logger og lagrer AI-samtaler uten hjemmel

Noen bedrifter lagrer AI-genererte svar og samtalelogger automatisk. Hvis disse loggene inneholder personopplysninger, må du ha hjemmel for lagringen og en klar slettepolicy.

Slik bruker du AI lovlig og trygt

Det er fullt mulig å bruke AI effektivt uten å bryte GDPR. Det krever litt struktur, men ikke juridisk spisskompetanse.

Det første og viktigste trinnet er å anonymisere eller pseudonymisere data før du sender dem inn. Erstatt kundenavn med «Kunde A», fjern e-postadresser og telefonnumre. Da faller mye av GDPR-risikoen bort fordi du ikke lenger behandler personopplysninger.

Det andre trinnet er å bruke verktøy og leverandører med klare databehandleravtaler. Mange bedriftsversjoner av kjente AI-tjenester tilbyr dette. Det koster litt mer, men gir deg dokumenterbar etterlevelse.

Det tredje trinnet er å ha interne rutiner. Bestem hvilke typer informasjon som aldri skal sendes til AI-verktøy, og gjør det kjent for alle i bedriften.

Her kan et strukturert AI-oppsett hjelpe. Når AI-agentene er konfigurert med klare grenser for hvilke data de håndterer, er det lettere å holde orden. Penny er for eksempel satt opp til å skrive innhold uten å behandle sensitive kundeopplysninger direkte.

Databehandleravtaler: hva du faktisk trenger

En databehandleravtale er en skriftlig avtale mellom deg som behandlingsansvarlig og leverandøren som databehandler. Den skal beskrive hva slags data som behandles, til hvilke formål, og hvilke sikkerhetstiltak som er på plass.

For de fleste SMB-er er dette noe du finner i leverandørens standardvilkår eller ved å aktivere en spesifikk bedriftskonto. Du trenger ikke en advokat for å inngå en standardisert databehandleravtale, men du bør lese den.

Hvis du er usikker på om en avtale er tilstrekkelig, kan det lønne seg å få det vurdert. Linda er Orons juridiske AI-agent og kan hjelpe deg å forstå hva en kontrakt faktisk sier, og om det er noe du bør reagere på.

Overføring av data ut av EØS

Mange AI-tjenester har servere i USA. Overføring av personopplysninger til USA og andre land utenfor EØS er tillatt, men krever et overføringsgrunnlag. Det vanligste er EUs standardkontraktsklausuler, såkalte SCC-er.

Etter EU-US Data Privacy Framework fra 2023 er overføring til sertifiserte amerikanske selskaper igjen tillatt uten ekstra tiltak. Sjekk om leverandøren din er sertifisert under dette rammeverket. Informasjonen finner du vanligvis på leverandørens personvernsider.

Hvis leverandøren verken er sertifisert eller tilbyr SCC-er, bør du vurdere alternativet nøye.

Hva du bør dokumentere

GDPR krever at du kan dokumentere at du etterlever regelverket. Det kalles ansvarlighetsprinsippet. For AI-bruk betyr det i praksis:

• En oversikt over hvilke AI-verktøy bedriften bruker, Hva slags data som sendes inn i hvert verktøy, Rettslig grunnlag for behandlingen, Inngåtte databehandleravtaler, Rutiner for ansatte

Dette trenger ikke å være hundrevis av sider. For en liten bedrift holder det med et enkelt dokument som oppdateres når dere tar i bruk nye verktøy.

---

Vanlige spørsmål om kunstig intelligens og personvern

Er det ulovlig å bruke ChatGPT i bedriften? Nei, det er ikke ulovlig. Men du må sørge for at du ikke sender inn personopplysninger uten rettslig grunnlag og databehandleravtale. Bruk anonymiserte eksempler der det er mulig.

Hva sier Datatilsynet om AI og GDPR? Datatilsynet har slått fast at GDPR gjelder fullt ut ved bruk av AI-verktøy. De anbefaler at bedrifter kartlegger hvilke data som sendes til AI-tjenester, og sikrer at nødvendige avtaler er på plass.

Trenger jeg en databehandleravtale med alle AI-leverandører? Ja, hvis du sender personopplysninger til dem. Hvis du kun bruker anonymiserte data, er behovet mindre. Mange leverandører tilbyr standardavtaler du kan akseptere digitalt.

Kan AI-verktøy bruke dataene mine til å trene modellen? Det avhenger av vilkårene. Gratis versjoner gjør det ofte. Betalte bedriftsversjoner gir vanligvis sterkere garantier mot dette. Les vilkårene, og velg en versjon som passer bedriftens behov.

Hva er risikoen hvis jeg bryter GDPR med AI-bruk? Datatilsynet kan ilegge gebyrer på opptil 20 millioner euro eller fire prosent av global omsetning. I praksis er bøtene mot små bedrifter langt lavere, men omdømmeskaden kan være vel så kostbar.

---

Ønsker du et AI-oppsett der personvern er bygget inn fra start, kan du se hva Orons team av AI-agenter tilbyr. Alle agentene er konfigurert med tydelige grenser for databehandling, slik at du slipper å løse det på egenhånd.