KI, GDPR OG PERSONVERN I NORGE OG EØS

AI og personvern.

Kunstig intelligens behandler enorme mengder personopplysninger — og det utløser en rekke krav etter GDPR. Fra behandlingsgrunnlag og dataminimering til automatiserte avgjørelser og personvernkonsekvensvurderinger: her er det regulatoriske landskapet norske og europeiske virksomheter navigerer i 2026.

Editorial illustrasjon av kunstig intelligens og personvern — ILLUSTRASJON GENERERT AV 24AI

Kort oppsummert

GDPR gjelder fullt ut når KI-systemer behandler personopplysninger — enten under trening, i produksjon eller ved inferens.
Artikkel 22 forbyr som hovedregel rene automatiserte avgjørelser med rettsvirkning; unntak finnes, men krever særskilte sikkerhetstiltak og rett til menneskelig overprøving.
Personvernkonsekvensvurdering (DPIA) er obligatorisk for KI med høy risiko; dersom risikoen forblir høy etter tiltak, skal Datatilsynet konsulteres på forhånd.
KI-forordningen gjelder fra seinsommaren 2026 i Norge — og GDPR-beredskap gir et solid utgangspunkt for de nye pliktene.

Personvern og kunstig intelligens er uløselig knyttet til hverandre. KI-systemer trenes på enorme datasett, trekker slutninger om enkeltpersoner og fatter avgjørelser med virkelige konsekvenser. Dermed utløses en bred vifte av plikter etter personvernforordningen — fra kravet om lovlig behandlingsgrunnlag til forbud mot visse typer automatiserte beslutninger. Datatilsynet har gjort arbeid med ansvarlig KI til en av sine kjerneprioriteringer, og EUs personvernråd (EDPB) har i desember 2024 vedtatt en banebrytende uttalelse om KI-modeller og GDPR.

105 %

Økning i klager til Datatilsynet fra 2024 til 2025

18. des. 2024

EDPB-uttalelse om KI-modeller og GDPR vedtatt

Seinsommaren 2026

KI-forordningen gjelder fullt i Norge

Behandlingsgrunnlag: det juridiske fundamentet

Enhver behandling av personopplysninger i et KI-system — enten det dreier seg om innsamling, lagring, trening, inferens eller logging — krever et gyldig behandlingsgrunnlag etter GDPR artikkel 6. De mest aktuelle grunnlagene for KI-bruk er berettiget interesse (artikkel 6 nr. 1 bokstav f), samtykke (bokstav a) og nødvendig for avtaleoppfyllelse(bokstav b). For særlige kategorier personopplysninger — helse, etnisitet, politisk overbevisning, fagforeningsmedlemskap m.m. — kreves i tillegg et grunnlag etter artikkel 9.

EUs personvernråd understreket i sin uttalelse fra desember 2024 (Opinion 28/2024) at berettiget interesse kan være et lovlig grunnlag for utvikling og bruk av KI-modeller, men kun når behandlingen er «strengt nødvendig og avveiningen av rettigheter er overholdt». Rådet legger til grunn en tredeltstrinntest: interessens eksistens og legitimitet, nødvendighet, og interesseavveiningen mot de registrertes grunnleggende rettigheter. Sju konkrete kriterier er listet opp for å vurdere om enkeltpersoner med rimelighet kan forvente den aktuelle databruken — deriblant dataenes opprinnelse, konteksten for forholdet mellom aktørene og kjennskap til tilgjengeligheten av opplysningene på nettet.

Automatiserte avgjørelser: artikkel 22

Et av de mest kritiske skjæringspunktene mellom KI og personvern er forbudet mot rene automatiserte individuelle avgjørelser i GDPR artikkel 22. Forbudet gjelder når to vilkår begge er oppfylt: avgjørelsen er utelukkende basert på automatisert behandling, og den har rettsvirkning eller tilsvarende betydelig påvirkningpå personen. Typiske eksempler er avvisning av lånesøknader via algoritme, automatisert vurdering av trygdeytelser eller grensepasseringskontroll basert på risikomodeller.

Artikkel 22 gir tre snevre unntak: avgjørelsen er nødvendig for inngåelse av en avtale, er tillatt etter EØS-rettslig lovgivning med egnede garantier, eller den registrerte har gitt eksplisitt samtykke. Dersom ett av unntakene benyttes, har den registrerte alltid rett til å uttrykke sitt syn, til å be om menneskelig overprøving og til å bestride avgjørelsen. Datatilsynet presiserer at kravet om menneskelig innblanding innebærer en reell og faktisk vurdering — ikke formell gummistempeling.

Et godt GDPR-rammeverk er et solid utgangspunkt for å møte KI-forordningens nye plikter — særlig kravene om konsekvensvurdering for grunnleggende rettigheter. — Datatilsynet, 2025

Personvernkonsekvensvurdering (DPIA) og KI

GDPR artikkel 35 pålegger virksomheter å gjennomføre en personvernkonsekvensvurdering (DPIA) når planlagt behandling sannsynligvis vil medføre høy risiko. For KI-systemer er dette regelen snarere enn unntaket. Datatilsynet angir tre situasjoner som typisk utløser DPIA-plikt:

Systematisk og omfattende evaluering av personlige aspekter basert på automatisert behandling — inkludert profilering som danner grunnlag for avgjørelser med rettslig eller tilsvarende effekt
Behandling av særlige kategorier personopplysninger (helse, etnisitet m.m.) i stor skala til algoritmisk trening
Systematisk overvåking av offentlig tilgjengelige områder i stor skala

DPIA-en skal minimum dokumentere behandlingsbeskrivelse og formål, nødvendighets- og proporsjonalitetsvurdering, risikovurdering for den registrertes rettigheter og planlagte risikoreduserende tiltak. Dersom risikoen forblir høy etter at alle tiltak er iverksatt, plikter virksomheten å konsultere Datatilsynet før behandlingen starter, jf. artikkel 36.

Bruk av innovativ teknologi som KI utløser som regel DPIA-plikt etter GDPR artikkel 35. Datatilsynet skal konsulteres på forhånd dersom risikoen forblir høy etter iverksatte tiltak.

Dataminimering og treningsdata

Dataminimeringsprinsippet i GDPR artikkel 5 nr. 1 bokstav c — at kun nødvendige opplysninger skal behandles — er krevende å etterleve for KI-systemer som typisk trenes på store og varierte datasett. Datatilsynet har identifisert en rekke personvernvennlige metoder som kan redusere behovet for ekte personopplysninger i KI-trening:

Syntetiske data (GAN): Generative motstridende nettverk kan produsere store mengder høykvalitets treningsdata uten å bruke ekte personopplysninger
Federert læring: Modellen trenes lokalt på den enkeltes enhet; kun modellendringene — ikke rådata — sendes til sentralserveren
Differensiell personvern: Bevisst støy legges til databasespørringer slik at enkeltindividers data ikke kan identifiseres med sikkerhet
Homomorf kryptering: Data kan behandles i kryptert form, noe som opprettholder konfidensialitet selv under analyse

EDPB fastslo i sin desember 2024-uttalelse at en KI-modell kan anses som anonym dersom det er svært usannsynlig å direkte eller indirekte identifisere enkeltpersoner hvis data ble brukt under trening. Vurderingen må gjøres fra sak til sak. Dersom en modell er trent på ulovlig behandlede personopplysninger, kan dette undergrave modellens lovlighet ved bruk, med mindre tilstrekkelig anonymisering er gjennomført i etterkant.

Datatilsynets rolle og regulatoriske sandkasse

Datatilsynet er tilsynsorgan for GDPR i Norge og har gjort ansvarlig KI til en strategisk kjerneprioritering. Tilsynet har siden 2020 drevet en regulatorisk sandkasse for KI der private og offentlige virksomheter kan utvikle og teste KI-løsninger under veiledning. Sandkassen har blant annet behandlet prosjekter fra NAV (KI-verktøy for å forutsi sykefraværsutvikling), Helse Bergen (KI i oppfølging av sårbare pasienter) og NTNU (Microsoft Copilot i akademisk kontekst). Prosjektene belyser sentrale problemstillinger om lovlighet, transparens og rettferdighet i KI.

I 2025 annonserte Datatilsynet at det skal bygge en ny KI-sandkassei samarbeid med Digitaliseringsdirektoratet (Digdir) og Nkom. Den nye sandkassen er påbudt etter KI-forordningen — alle EØS-land skal ha minst én. Mens Datatilsynets eksisterende sandkasse fokuserer på personvernregelverk, vil den nye sandkassen veilede virksomheter i kravene etter KI-forordningen og samspillet med annet regelverk. Sandkassen integreres i regjeringens nasjonale KI-satsing «KI Norge» under Digdir.

Antall klager til Datatilsynet økte med 105 prosent fra 2024 til 2025 — en økning som delvis gjenspeiler voksende bevissthet om KI-relaterte personvernspørsmål blant befolkningen.

Samspillet med KI-forordningen

KI-forordningen (EU AI Act) og GDPR er tett sammenvevde, fordi KI-systemer i praksis nesten alltid behandler personopplysninger. KI-forordningens forbud mot visse høyrisikopraksiser — som sosial skåring, utnyttelse av sårbare grupper og manipulasjonsteknikker — gjaldt allerede fra 2. februar 2025. Det fullstendige regelverket trer i kraft i Norge fra seinsommaren 2026, med Nkom som koordinerende nasjonal tilsynsmyndighet og Datatilsynet som sektortilsyn for personvern.

Et særlig viktig overlappspunkt er forholdet mellom GDPRs DPIA og KI-forordningens krav om grunnrettighetskonsekvensvurdering (FRIA — Fundamental Rights Impact Assessment). Datatilsynet har fremhevet at et velfungerende DPIA-rammeverk gir et solid fundament for å oppfylle de nye FRIA-pliktene. EDPB samarbeider i 2025 tett med EUs KI-kontor om retningslinjer for samspillet mellom de to regelverkene.

Praktiske råd for virksomheter

For norske virksomheter som bruker eller utvikler KI-systemer, gir Datatilsynet følgende anbefalinger:

Kartlegg alle behandlinger av personopplysninger i KI-løsningen og dokumenter behandlingsgrunnlag for hvert trinn
Gjennomfør DPIA tidlig i prosjektet — ikke etter at systemet er satt i produksjon
Bygg personvern inn i systemarkitekturen fra start («privacy by design»), ikke som et ettermontering
Vurder personvernvennlige alternativer som syntetiske data, federert læring eller differensiell personvern der det er mulig
Sikre at automatiserte avgjørelser med rettsvirkning alltid har en reell mulighet for menneskelig overprøving
Kontakt Datatilsynets sandkasse tidlig dersom dere er usikre på regelverket for en planlagt KI-løsning

Ofte stilte spørsmål.

Gjelder GDPR for systemer med kunstig intelligens?

Ja. Personvernforordningen (GDPR) gjelder fullt ut når KI-systemer behandler personopplysninger — enten i trening, i produksjon eller ved inferens. Det kreves et gyldig behandlingsgrunnlag etter artikkel 6, og for særlige kategorier (helse, etnisitet, politisk overbevisning m.m.) også et tilleggsgrunnlag etter artikkel 9. Datatilsynet understreker at personvern må bygges inn i KI-løsninger fra starten, ikke ettermontereres.

Hva sier GDPR om automatiserte avgjørelser og KI?

Artikkel 22 i GDPR forbyr som hovedregel avgjørelser som utelukkende er basert på automatisert behandling og som har rettsvirkning eller tilsvarende betydelig påvirkning på personen. Unntak gjelder ved kontraktsinngåelse, lovhjemmel eller eksplisitt samtykke. Ved unntak har den registrerte rett til menneskelig overprøving og til å klage på beslutningen. Datatilsynet presiserer at kravet om menneskelig innblanding innebærer en reell og faktisk vurdering.

Når må virksomheter gjennomføre DPIA for KI-systemer?

En personvernkonsekvensvurdering (DPIA) er obligatorisk etter GDPR artikkel 35 når KI-behandlingen sannsynligvis vil medføre høy risiko. Dette gjelder blant annet ved systematisk og omfattende evaluering av personlige aspekter basert på automatisert behandling, profilering som danner grunnlag for avgjørelser med rettslig eller tilsvarende effekt, og behandling av særlige kategorier personopplysninger i stor skala. Dersom risikoen forblir høy etter at tiltak er iverksatt, skal Datatilsynet konsulteres før behandlingen starter.

Hva er forholdet mellom KI-forordningen og GDPR?

KI-forordningen (EU AI Act) og GDPR er tett sammenvevde fordi KI-systemer ofte behandler personopplysninger. KI-forordningen gjelder fra seinsommaren 2026 i Norge, med Nkom som koordinerende nasjonal tilsynsmyndighet. Datatilsynet påpeker at et godt GDPR-rammeverk er et solid utgangspunkt for å oppfylle KI-forordningens plikter, særlig kravet om grunnrettighetskonsekvensvurdering (FRIA) som overlapper med DPIA. Forbudte KI-praksiser gjaldt allerede fra 2. februar 2025.