AI Act og GDPR: hva norske bedrifter faktisk må gjøre

Av Xander Dijkstra, grunnlegger av AI Systemet · Oppdatert 16. juli 2026 · 8 min lesing
For de aller fleste norske bedrifter er regelverket rundt KI mer overkommelig enn overskriftene antyder: GDPR gjelder som før, og EUs AI Act stiller strenge krav først når KI brukes på høyrisiko-områder som rekruttering og kredittvurdering. Denne guiden går gjennom det som faktisk gjelder vanlig kontorbruk — og ender i en sjekkliste på fem punkter. Merk: dette er praktisk veiledning, ikke juridisk rådgivning.
Hva er AI Act, og gjelder den i Norge?
AI Act er EUs forordning om kunstig intelligens — verdens første helhetlige KI-lov. Den trådte i kraft i EU i august 2024 og innføres trinnvis: forbudene mot uakseptabel bruk fra februar 2025, regler for generelle KI-modeller fra august 2025, og hoveddelen av kravene fra august 2026.
Forordningen er EØS-relevant og er på vei inn i norsk rett; norsk KI-lovgivning basert på den har vært under arbeid. Praktisk betyr det: norske bedrifter bør innrette seg som om reglene gjelder — både fordi de kommer, og fordi kunder og partnere i EU allerede er underlagt dem.
Risikonivåene — og hvor din bruk havner
AI Act sorterer KI-bruk i nivåer, med krav som øker med risikoen:
- Uakseptabel risiko (forbudt): sosial poengsetting, manipulerende systemer, visse former for biometrisk overvåking
- Høy risiko (strenge krav): KI i rekruttering og utvelgelse, kredittvurdering, utdanning, kritisk infrastruktur
- Begrenset risiko (åpenhetskrav): chatboter og KI-generert innhold — folk skal vite at de møter en KI
- Minimal risiko (ingen særskilte krav): det aller meste av kontorbruk — utkast, oppsummering, interne analyser
Det praktiske kravet de fleste møter først: åpenhet
Bruker dere en chatbot mot kunder, skal det være tydelig at det er en KI de snakker med. En ærlig merking («Du chatter med vår digitale assistent») oppfyller poenget — og er uansett god kundebehandling. Det samme gjelder KI-generert innhold som kan forveksles med ekte: ikke utgi det for å være noe annet.
Vær ekstra varsom hvis dere vurderer KI i ansettelsesprosesser: CV-screening og kandidatvurdering er høyrisiko under AI Act, med krav de fleste SMB-er ikke ønsker å ta på seg. Vår anbefaling: la mennesker gjøre utvelgelsen, og bruk KI til det administrative rundt.
GDPR: de fire spørsmålene som avgjør
GDPR har gjeldt hele tiden og endres ikke av KI — men KI-verktøy gjør det lettere å trå feil i farta. Fire spørsmål rydder opp:
- 1Hvilke personopplysninger får verktøyet se? Minimer: send det verktøyet trenger, ikke hele kundekartoteket.
- 2Hvor behandles dataene? Sjekk leverandørens databehandleravtale og om EU/EØS-behandling kan velges.
- 3Brukes dataene til å trene leverandørens modeller? I bedriftsutgavene til seriøse leverandører: nei. I private gratiskontoer: ofte ja.
- 4Finnes det en databehandleravtale? Uten den bryter dere GDPR uansett hvor pent verktøyet oppfører seg.
Den største risikoen: skygge-KI
Den vanligste GDPR-glippen er ikke systemet bedriften valgte — det er de private gratiskontoene ansatte bruker i det stille. En selger som limer kundelisten inn i en privat chatbot-konto har flyttet persondata ut av bedriftens kontroll, uten avtale og uten logg.
Løsningen er ikke forbud, men et godt alternativ: gi alle en bedriftskonto med databehandleravtale, og gjør regelen enkel å huske — kundedata kun i bedriftskontoer.
Sjekklisten: fem punkter
Kommer dere gjennom disse fem, er dere bedre stilt enn de fleste — og godt posisjonert for kravene som fases inn. Usikre på hvor deres bruk havner? Det er et naturlig tema i en kartlegging, og vi setter alltid opp databehandleravtale før vi rører kundedata i egne prosjekter.
- 1Bedriftskontoer med databehandleravtale på alle KI-verktøy som ser kunde- eller persondata
- 2Trening på egne data avslått hos leverandøren (standard i bedriftsutgaver)
- 3Chatboter og KI-innhold merket ærlig
- 4Menneske i loopen der feil har konsekvens — og alltid i rekruttering og kreditt
- 5Én skriftlig KI-regel alle ansatte kjenner: hva som er lov i hvilke kontoer
Ofte stilte spørsmål
Gjelder AI Act for små norske bedrifter?
Reglene er EØS-relevante og på vei inn i norsk rett, og de gjelder etter bruksområde, ikke bedriftsstørrelse. For vanlig kontorbruk er kravene små (i hovedsak åpenhet); de strenge kravene treffer høyrisiko-bruk som rekruttering og kredittvurdering.
Kan vi bruke ChatGPT med kundedata?
Ja — i en bedriftsutgave med databehandleravtale og trening avslått. Nei — i private gratiskontoer. Skillet er kontoen og avtalen, ikke verktøyet.
Må vi merke chatboten vår?
Ja, folk skal vite at de snakker med en KI. En tydelig tekst i chatvinduet er nok, og det er uansett god kundebehandling.
Trenger vi en egen KI-policy?
En side holder for de fleste SMB-er: hvilke verktøy som er godkjent, at kundedata kun brukes i bedriftskontoer, og hvem man spør ved tvil. Det viktigste er at den finnes og at alle kjenner den.
Begreper i denne guiden
Vil du vite hvor deres timer lekker?
Book en gratis kartleggingssamtale på 15–30 minutter. Du får minst ett konkret forslag — også hvis du aldri blir kunde.