AI Usage Policy Norway
EU AI Act (forordning (EU) 2024/1689) via EØS; personvernforordningen (GDPR); personopplysningsloven (2018)
AI-BRUK POLICY
[Virksomhet Navn]
Organisasjonsnummer: [Virksomhet Orgnr]
1. INNLEDNING OG FORMÅL
[Virksomhet Navn], organisasjonsnummer [Virksomhet Orgnr], [Virksomhet Adresse], har utarbeidet denne AI-bruk policyen for å sikre ansvarlig, lovlig og etisk bruk av kunstig intelligens (AI) i virksomhetens arbeidsoppgaver. Policyen gjelder alle ansatte, innleide konsulenter og samarbeidspartnere som benytter AI-verktøy på vegne av virksomheten.
Rettslig grunnlag for policyen er EU AI Act (Europaparlaments- og rådsforordning (EU) 2024/1689 om kunstig intelligens), som vil gjelde i Norge via EØS-avtalen, samt personvernforordningen (GDPR), gjennomført i norsk rett ved personopplysningsloven (2018). Datatilsynet fører tilsyn med personvern ved AI-bruk, og Nasjonal sikkerhetsmyndighet (NSM) gir veiledning om informasjonssikkerhet ved AI.
2. AI-SYSTEMER SOM BENYTTES OG RISIKOVURDERING
Virksomheten benytter følgende AI-verktøy og -systemer: [Ai Verktoy Liste].
Risikovurdering etter EU AI Act: [Risiko Nivaa]. EU AI Act (forordning (EU) 2024/1689) inndeler AI-systemer i fire risikokategorier: (a) uakseptabel risiko — forbudt etter artikkel 5, herunder systemer for sosial kredittvurdering og subliminal manipulasjon; (b) høy risiko — strenge krav etter artiklene 8 til 15, herunder AI i rekruttering, kredittscoring, biometri og kritisk infrastruktur; (c) begrenset risiko — transparensplikt etter artikkel 50 for chatboter og AI-generert innhold; (d) minimal risiko — ingen særskilte krav, men god praksis anbefales. Virksomheten forplikter seg til å ikke benytte AI-systemer med uakseptabel risiko.
Personvernkonsekvenser og GDPR-tiltak: [Personvern Vurdering].
3. REGLER FOR BRUK AV AI-VERKTØY
3.1 Tillatt bruk
[Tillatt Bruk]. Ved enhver bruk av AI-verktøy er den ansatte ansvarlig for å kvalitetssikre, korrigere og ta ansvar for det endelige produktet eller resultatet. AI-verktøy erstatter ikke faglig vurdering og skjønn.
3.2 Forbudt eller begrenset bruk
[Forbudt]. Virksomheten forbyr bruk av AI-systemer med uakseptabel risiko etter EU AI Act artikkel 5, herunder systemer som utnytter sårbarhet, anvender subliminale teknikker, foretar sosial kredittvurdering av privatpersoner, eller bruker «real-time» biometrisk fjernidentifisering på offentlig sted.
3.3 Krav til merking og transparens
[Merking Krav]. Etter EU AI Act artikkel 50 skal brukere informeres om at de samhandler med et AI-system der dette ikke er åpenbart. Chatboter og virtuelle assistenter som samhandler med kunder eller externe brukere, skal identifiseres som AI-systemer.
4. PERSONVERN VED AI-BRUK
Behandling av personopplysninger gjennom AI-verktøy er underlagt personvernforordningen (GDPR) og personopplysningsloven (2018). Følgende krav gjelder: (a) det rettslige grunnlaget for behandlingen etter personvernforordningen (GDPR) artikkel 6 skal være vurdert og dokumentert før AI-verktøy tas i bruk; (b) dersom AI-verktøy behandler særlige kategorier av personopplysninger etter artikkel 9, skal det særskilte grunnlaget i artikkel 9 nr. 2 foreligge; (c) databehandleravtale etter personvernforordningen (GDPR) artikkel 28 skal inngås med alle AI-leverandører som behandler personopplysninger på vegne av virksomheten; (d) vurdering av personvernkonsekvenser (DPIA) etter artikkel 35 skal gjennomføres ved høy risiko, herunder ved systematisk profilering eller behandling av sensitive opplysninger i stor skala.
Overføring av personopplysninger til AI-leverandører i land utenfor EØS skjer kun på grunnlag av overføringsmekanisme etter personvernforordningen (GDPR) artiklene 44 til 49, for eksempel EU–US Data Privacy Framework eller EU-kommisjonens standard personvernbestemmelser.
5. ANSVAR, OPPLÆRING OG OPPFØLGING
Daglig leder er øverste ansvarlig for virksomhetens AI-bruk og etterlevelse av denne policyen. Ansvaret for den daglige oppfølgingen av AI-bruk og personvern er tillagt [Kontakt Epost]. Alle ansatte skal gjennomgå opplæring i forsvarlig AI-bruk ved ansettelse og ved vesentlige endringer i AI-verktøy. Avvik fra denne policyen skal rapporteres til nærmeste leder og til ansvarsperson.
Denne policyen gjennomgås og oppdateres minimum én gang per år, og ved vesentlige endringer i AI-verktøy, i EU AI Act eller i personvernregelverket. Den nyeste versjonen er alltid tilgjengelig internt og kan fås ved henvendelse til [Kontakt Epost].
6. KONTAKT OG KLAGE
Spørsmål om AI-bruk og personvern rettes til [Kontakt Epost]. Den registrerte har rett til å klage til Datatilsynet etter personvernforordningen (GDPR) artikkel 77 og personopplysningsloven (2018). Datatilsynets vedtak kan påklages til Personvernnemnda.
What Is a AI Usage Policy Norway?
An AI Usage Policy in Norway (AI-bruk policy) is an internal governance document in which an organisation sets out the rules, risk categories, permitted and prohibited uses, transparency requirements and data protection obligations governing its employees' use of artificial intelligence tools and systems. The primary legal framework is the EU AI Act (Regulation (EU) 2024/1689 on Artificial Intelligence), which will apply in Norway through the EEA Agreement, together with the General Data Protection Regulation (GDPR) and the Personopplysningsloven (2018). The AI Act classifies AI systems into four risk tiers — unacceptable, high, limited and minimal risk — imposing progressively stricter requirements, and bans systems in the unacceptable-risk category outright under article 5.
When Do You Need a AI Usage Policy Norway?
AI-bruk policy i Norge er nødvendig for alle virksomheter som enten allerede bruker AI-verktøy i sin virksomhet, eller som vurderer å ta slike i bruk. EU AI Act og GDPR skaper juridiske forpliktelser som krever styringsdokumenter.
Virksomheter som bruker generative AI-verktøy. Virksomheter som bruker ChatGPT, Microsoft Copilot, Google Gemini, Claude, GitHub Copilot eller tilsvarende generative AI-verktøy i arbeidshverdagen, trenger en AI-bruk policy. Policyen skal regulere hva verktøyene lovlig kan brukes til, hva som er forbudt (for eksempel å legge inn kunders personopplysninger i offentlig tilgjengelige AI-tjenester), og krav til merking av AI-generert innhold.
Virksomheter som bruker AI i HR og rekruttering. AI-systemer i rekruttering, personlighetstester, prestasjonsvurdering og HR-administrasjon er klassifisert som høy-risiko etter EU AI Act vedlegg III. For slike systemer stilles strenge krav, herunder risikovurdering, menneskelig tilsyn og transparens overfor de berørte. Mange norske bedrifter bruker allerede AI-baserte CV-siling, automatiserte vurderingsverktøy og chatboter i rekrutteringen uten å ha gjennomgått kravene i EU AI Act.
Virksomheter som bruker AI i kundeservice og chatboter. AI-drevne chatboter som samhandler med kunder, er underlagt transparensplikt etter EU AI Act artikkel 50 — kunden skal vite at de snakker med en AI. En AI-bruk policy og tilhørende prosesser for å sikre etterlevelse av transparenskravene er nødvendig for slike virksomheter.
Virksomheter i finanssektoren. AI brukt i kredittscoring, forsikringsprising og risikostyring i finanssektoren er høy-risiko etter EU AI Act. I tillegg gjelder sektorspesifikke krav fra Finanstilsynet og EBA (European Banking Authority). En AI-bruk policy som adresserer de spesifikke risikoene og kravene i finanssektoren er nødvendig for banker, forsikringsselskaper og fintech-aktører i Norge.
Offentlige virksomheter og myndigheter. Offentlige etater som bruker AI i forvaltningsavgjørelser, for eksempel NAV, Skatteetaten og UDI, er underlagt strenge krav etter EU AI Act og personvernforordningen (GDPR). Automatiserte enkeltvedtak er regulert av forvaltningsloven (1967) og personvernforordningen (GDPR) artikkel 22. En AI-bruk policy som regulerer bruken av AI i forvaltningsprosesser er nødvendig for offentlige virksomheter.
Helsesektoren. AI i medisinsk diagnostikk, behandlingsstøtte og medisinsk utstyr er høy-risiko etter EU AI Act. I tillegg gjelder særskilt regulering for medisinsk utstyr (MDR) og særlige krav til personvern ved behandling av helseopplysninger etter personvernforordningen (GDPR) artikkel 9. Sykehus, klinikker og helseforetak trenger en AI-bruk policy som adresserer disse særlige kravene.
Alle virksomheter med ansatte som bruker AI-verktøy. Selv virksomheter som bare bruker generative AI-verktøy til tekstproduksjon og idégenerering, bør ha en AI-bruk policy for å regulere forsvarlig bruk, beskytte forretningshemmeligheter, sikre etterlevelse av personvernregelverket og unngå at AI-generert innhold brukes på en villedende eller ansvarspåleggende måte.
What to Include in Your AI Usage Policy Norway
En komplett AI-bruk policy Norge inneholder følgende nøkkelelementer for å oppfylle kravene i EU AI Act (forordning (EU) 2024/1689), personvernforordningen (GDPR) og personopplysningsloven (2018).
Virksomhetens identifikasjon og policyens virkeområde. Policyen skal identifisere virksomheten med navn og organisasjonsnummer, og angi hvem policyen gjelder for — ansatte, innleide konsulenter og samarbeidspartnere. Klart definert virkeområde sikrer at alle som bruker AI på vegne av virksomheten, er bundet av policyens regler.
Oversikt over AI-systemer og risikovurdering. Policyen bør inneholde en oversikt over AI-verktøy og -systemer som virksomheten benytter, og en vurdering av risikonivå etter EU AI Act artikkel 6 og vedlegg III. Oversikten bør angi leverandør, formål og vurdert risikokategori. Denne oversikten er grunnlaget for å fastslå hvilke krav som gjelder og hvilke tiltak som er nødvendige.
Tillatt bruk. Policyen skal angi konkret hvilke oppgaver AI-verktøyene lovlig og forsvarlig kan brukes til, for eksempel tekstproduksjon, oppsummering, kodegenerering, oversettelse og idégenerering. Tillatt bruk bør balansere produktivitetsgevinster mot risiko for feil, misbruk og personvernbrudd.
Forbudt eller begrenset bruk. Policyen skal eksplisitt angi hva som er forbudt, herunder bruk av AI-systemer med uakseptabel risiko etter EU AI Act artikkel 5, innlegging av sensitive personopplysninger i offentlig tilgjengelige AI-tjenester, bruk av konfidensielle forretningshemmeligheter i AI-tjenester uten tilstrekkelig avtale, og AI-generert innhold som presenteres som ekte uten merking. Forbudsreglene er viktige for å unngå personvernbrudd og ansvarspålegging.
Krav til merking og transparens. Policyen skal fastsette krav til merking av AI-generert innhold etter EU AI Act artikkel 50, herunder at eksternt publisert innhold som er vesentlig AI-generert, merkes tydelig, og at chatboter og AI-systemer som samhandler med kunder, identifiseres som AI-systemer. Transparens er en kjerne i EU AI Act og personvernforordningen (GDPR). Disse elementene utfyller forms-legal.com bibliotekets maler for virksomhetsretningslinjer.
Personvernforpliktelser. Policyen skal angi at behandling av personopplysninger gjennom AI-verktøy er underlagt personvernforordningen (GDPR), herunder krav til rettslig grunnlag, databehandleravtaler med AI-leverandører etter artikkel 28, DPIA ved høy risiko etter artikkel 35, og overføringsgrunnlag ved overføring av personopplysninger til tredjeland.
Ansvar, opplæring og oppfølging. Policyen skal angi hvem i virksomheten som er ansvarlig for AI-bruk og etterlevelse, og fastsette krav til opplæring av ansatte. Policyen bør angi at den gjennomgås og oppdateres jevnlig og ved vesentlige endringer i AI-verktøy eller regelverk.
How to Fill Out Your AI Usage Policy Norway
Å fylle ut en AI-bruk policy Norge korrekt krever at man følger trinnene nedenfor, slik at policyen oppfyller kravene i EU AI Act (forordning (EU) 2024/1689), personvernforordningen (GDPR) og personopplysningsloven (2018).
Trinn 1 — Angi virksomhetens opplysninger. Oppgi virksomhetens fulle navn etter Foretaksregisteret, organisasjonsnummer (ni sifre), adresse og kontaktadresse for AI- og personvernspørsmål. Angi policyens virkeområde, det vil si hvem den gjelder for — ansatte, innleide konsulenter og samarbeidspartnere.
Trinn 2 — List opp AI-verktøy og gjennomfør risikovurdering. List opp alle AI-verktøy og -systemer som virksomheten bruker eller vurderer å bruke, med leverandør og formål. Vurder risikonivå etter EU AI Act: minimal risiko (chatboter, spam-filter, AI-innholdsgenerering), begrenset risiko (transparensplikt, for eksempel chatboter som samhandler med kunder), høy risiko (HR, rekruttering, kredittscoring, kritisk infrastruktur), eller uakseptabel risiko (forbudt).
Trinn 3 — Beskriv personvernkonsekvensene. Vurder om AI-verktøyene behandler personopplysninger, hvilke kategorier av opplysninger som behandles, og om det er nødvendig med en DPIA etter personvernforordningen (GDPR) artikkel 35. Angi at databehandleravtaler er eller vil bli inngått med alle AI-leverandører som behandler personopplysninger. Angi overføringsgrunnlag for leverandører utenfor EØS.
Trinn 4 — Definer tillatt bruk. Beskriv konkret hvilke oppgaver AI-verktøyene lovlig kan brukes til, for eksempel utarbeide utkast til dokumenter, oppsummere tekst, generere kodeutkast, oversette og analysere anonymiserte datasett. Understreke at ansatte er ansvarlige for å kvalitetssikre og ta faglig ansvar for AI-generert innhold.
Trinn 5 — Definer forbudt bruk. Angi eksplisitt hva som er forbudt: bruk av AI-systemer med uakseptabel risiko etter EU AI Act artikkel 5, innlegging av kunders eller kollegers personopplysninger i offentlig tilgjengelige AI-tjenester uten GDPR-vurdering, bruk av konfidensielle forretningshemmeligheter i uverifiserte AI-tjenester, og AI-generert innhold presentert som ekte uten merking.
Trinn 6 — Fastsett krav til merking. Angi kravene til merking av AI-generert innhold som skal publiseres eksternt, i tråd med EU AI Act artikkel 50. Beskriv merkingspraksis for ulike typer innhold (tekst, bilder, kode, presentasjoner).
Trinn 7 — Angi ansvar og opplæringsplan. Angi hvem i virksomheten som har det overordnede ansvaret for AI-bruk og etterlevelse av denne policyen. Angi krav til opplæring: hvem skal gjennomgå opplæring, når (ved ansettelse og ved vesentlige endringer i AI-verktøy), og hva opplæringen skal dekke.
Trinn 8 — Fastsett rutiner for gjennomgang. Angi at policyen gjennomgås og oppdateres minimum én gang per år og ved vesentlige endringer i AI-verktøy, EU AI Act eller personvernregelverket. Angi hvem som er ansvarlig for gjennomgangen.
Trinn 9 — Informer ansatte og integrer i onboarding. Sørg for at alle ansatte er kjent med policyen og at den inngår i onboarding-prosessen. Policyen bør gjøres lett tilgjengelig på virksomhetens intranett og via kontaktadressen angitt i policyen.
Legal Requirements for AI Usage Policy Norway
AI-bruk policy Norge er forankret i EU AI Act (forordning (EU) 2024/1689) og personvernforordningen (GDPR), som til sammen skaper et nytt rettslig rammeverk for kunstig intelligens i Europa og Norge.
EU AI Act (forordning (EU) 2024/1689). EU AI Act ble vedtatt av EU i 2024 og vil gjelde i Norge via EØS-avtalen. Forordningen inndeler AI-systemer i fire risikokategorier med ulike krav: (1) uakseptabel risiko — forbudt etter artikkel 5, herunder AI for sosial kredittvurdering, subliminal manipulasjon og de fleste former for biometrisk fjernidentifisering; (2) høy risiko — strenge krav etter artiklene 8 til 15 og vedlegg III, herunder risikovurdering, teknisk dokumentasjon, menneskelig tilsyn og robusthet; (3) begrenset risiko — transparensplikt etter artikkel 50 for chatboter og AI-generert innhold; og (4) minimal risiko — ingen særlige krav. Forordningen er under implementering med utfasede frister frem til 2027.
Personvernforordningen (GDPR) og personopplysningsloven (2018). Personvernforordningen (GDPR) gjelder i Norge gjennom EØS-avtalen og er gjennomført ved personopplysningsloven (2018). Der AI-systemer behandler personopplysninger, gjelder GDPR fullt ut: det rettslige grunnlaget for behandlingen etter artikkel 6 skal foreligge, databehandleravtaler etter artikkel 28 skal inngås med AI-leverandører, og DPIA etter artikkel 35 skal gjennomføres ved høy risiko. Datatilsynet har utgitt veiledning om AI og personvern, og EDPB har publisert retningslinjer om AI og rettigheter.
Forbud mot automatiserte enkeltvedtak etter personvernforordningen (GDPR) artikkel 22. Der AI-systemer brukes til automatiserte enkeltvedtak med rettslige følger for den registrerte, gjelder artikkel 22. Den registrerte har rett til å ikke være gjenstand for utelukkende automatiserte avgjørelser. Unntak gjelder ved samtykke, avtale eller lovpålagt plikt, men da stilles krav til menneskelig inngripen, innsyn og klageadgang. Dette er særlig relevant ved AI i HR, kreditt og offentlig forvaltning.
Transparensplikt etter EU AI Act artikkel 50. Brukere av chatboter, virtuelle assistenter og AI som genererer innhold, skal sikre at brukerne er informert om at de samhandler med et AI-system der dette ikke er åpenbart. Leverandører av generative AI-modeller skal sikre at AI-generert innhold merkes som sådant. Merking av syntetisk medieinnhold (deepfakes) er spesielt regulert.
Sikkerhetskrav og DPIA etter personvernforordningen (GDPR) artiklene 32 og 35. Der AI-systemer behandler personopplysninger i stor skala, ved systematisk profilering eller ved bruk av nye teknologier, skal det gjennomføres en DPIA etter personvernforordningen (GDPR) artikkel 35. EU AI Act stiller i tillegg egne krav til sikkerhet og robusthet for høy-risiko AI-systemer etter artiklene 9 og 10. Datatilsynet fører tilsyn med etterlevelsen av DPIA-plikten.
Arbeidsrettens og arbeidsmiljølovens krav. Bruk av AI i arbeidslivet, herunder overvåking og evaluering av ansatte gjennom AI-systemer, er regulert av arbeidsmiljøloven (2005) kapittel 9, som krever saklig grunn og drøfting med tillitsvalgte. Personvernforordningen (GDPR) artikkel 88 og personopplysningsloven (2018) gir regler om behandling av ansattes personopplysninger. AI-bruk policyen bør adressere disse kravene der AI brukes i personalledelse.
Klageadgang og sanksjoner. Den registrerte kan klage til Datatilsynet etter personvernforordningen (GDPR) artikkel 77 ved brudd på personvernregelverket ved AI-bruk. Datatilsynet kan ilegge overtredelsesgebyr etter artikkel 83. EU AI Act gir i tillegg egne sanksjonsmuligheter for brudd på forordningens krav, med gebyr opp til 35 millioner euro eller 7 prosent av global omsetning for de alvorligste bruddene (bruk av forbudte AI-systemer).
Common Mistakes to Avoid in Your AI Usage Policy Norway
Vanlige feil ved utforming av AI-bruk policy Norge kan medføre at ansatte ikke vet hva som er tillatt, at virksomheten bryter personvernregelverket, eller at EU AI Act ikke overholdes.
Feil 1 — Ingen AI-bruk policy. Den vanligste feilen er at virksomheter bruker AI-verktøy i stor skala uten noen form for intern policy. Ansatte bruker verktøyene uten retningslinjer, noe som kan medføre at sensitive personopplysninger legges inn i offentlig tilgjengelige AI-tjenester, at forretningshemmeligheter eksponeres, eller at AI-generert innhold brukes uten kvalitetssikring. Løsning: utarbeid en AI-bruk policy og kommuniser den til alle ansatte.
Feil 2 — Manglende risikovurdering etter EU AI Act. En policy uten vurdering av risikonivå for de AI-systemene som brukes, overholder ikke EU AI Acts krav om risikobasert tilnærming. Løsning: kartlegg AI-systemene virksomheten bruker og vurder risikokategori etter EU AI Act vedlegg III; iverksett tiltak tilpasset risikonivå.
Feil 3 — Ingen databehandleravtaler med AI-leverandører. Å bruke AI-tjenester som behandler personopplysninger uten databehandleravtale etter personvernforordningen (GDPR) artikkel 28, er et brudd. Løsning: inngå databehandleravtaler med alle AI-leverandører som behandler personopplysninger på vegne av virksomheten; sjekk at leverandørens datavilkår oppfyller kravene i artikkel 28.
Feil 4 — Ansatte legger inn sensitive data i offentlige AI-tjenester. En policy uten klare regler om hvilke data som kan legges inn i offentlig tilgjengelige AI-tjenester, kan medføre at ansatte legger inn kunders personopplysninger, helseopplysninger eller forretningshemmeligheter. Løsning: forby eksplisitt innlegging av sensitive personopplysninger og konfidensielle forretningshemmeligheter i offentlige AI-tjenester; bruk virksomhetsspesifikke AI-løsninger med tilstrekkelig datasikkerhet for sensitive data.
Feil 5 — Manglende merking av AI-generert innhold. Å publisere AI-generert innhold eksternt uten merking kan være i strid med EU AI Act artikkel 50 og kan skade virksomhetens troverdighet. Løsning: fastsett tydelige krav til merking av AI-generert innhold i policyen, og opprett en rutine for merking av alt eksternt publisert innhold som er vesentlig AI-generert.
Feil 6 — Ingen opplæring av ansatte. En policy uten opplæring er lite effektiv. Ansatte som ikke forstår regelverket og de interne reglene, vil ikke overholde dem. Løsning: sørg for at alle ansatte gjennomgår opplæring i AI-bruk policyen ved ansettelse og ved vesentlige endringer, og integrer opplæring i onboarding-prosessen.
Feil 7 — Policyen oppdateres ikke. EU AI Act er under implementering og regelverket og beste praksis endres raskt. En policy som ikke oppdateres, kan raskt bli utdatert og misvisende. Løsning: fastsett i policyen at den gjennomgås og oppdateres minimum én gang per år og ved vesentlige endringer i AI-verktøy eller regelverk.
Sources & Citations
Statutory citations link to official government sources.
- EU AI ActEU official
- Regulation (EU) 2024/1689EU official
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). AI Usage Policy Norway (Norway) [Legal document template]. Forms Legal. https://forms-legal.com/norge/business/policies/ai-usage-policy
"AI Usage Policy Norway (Norway)." Forms Legal, 2026, https://forms-legal.com/norge/business/policies/ai-usage-policy.
@misc{formslegal-ai-usage-policy,
author = {{Forms Legal}},
title = {AI Usage Policy Norway (Norway)},
year = {2026},
howpublished = {\url{https://forms-legal.com/norge/business/policies/ai-usage-policy}},
note = {Free legal document template}
}Frequently Asked Questions
EU AI Act (Europaparlaments- og rådsforordning (EU) 2024/1689 om kunstig intelligens) er det første bindende rammedirektivet for kunstig intelligens i verden. Forordningen ble vedtatt i EU i 2024 og vil gjelde i Norge via EØS-avtalen. Det er per 2026 ikke endelig avklart nøyaktig når forordningen inkorporeres i EØS-avtalen, men norske virksomheter bør tilpasse seg kravene i forkant. EU AI Act gjelder for alle som tilbyr, distribuerer eller bruker AI-systemer som påvirker personer i EØS-området, uavhengig av om virksomheten er etablert innenfor eller utenfor EØS. For norske virksomheter som bruker AI-systemer med høy risiko, for eksempel i HR, kreditt eller offentlig forvaltning, stilles det strenge krav. For virksomheter som bruker AI til minimal eller begrenset risiko, som tekstgenerering og chatboter, er kravene mindre inngripende, men transparensplikten etter artikkel 50 gjelder. Datatilsynet ventes å bli den nasjonale tilsynsmyndigheten for EU AI Act i Norge.
EU AI Act inndeler AI-systemer i fire risikokategorier. Den første er uakseptabel risiko: AI-systemer i denne kategorien er forbudt etter EU AI Act artikkel 5. Forbudet gjelder AI som anvender subliminale teknikker for å manipulere atferd på en skadelig måte, AI som utnytter sårbarhet, AI for sosial kredittvurdering av privatpersoner av offentlige myndigheter, og de fleste former for «real-time» biometrisk fjernidentifisering på offentlig sted. Den andre er høy risiko: AI-systemer i EU AI Act vedlegg III, herunder AI i rekruttering, HR, kredittscoring, medisinsk utstyr, biometri, rettshåndhevelse, migrasjon, kritisk infrastruktur og utdanning. Høy-risiko systemer er underlagt strenge krav til risikovurdering, teknisk dokumentasjon, menneskelig tilsyn og robusthet. Den tredje er begrenset risiko: AI-systemer med transparensplikt etter EU AI Act artikkel 50, herunder chatboter som samhandler med mennesker, og AI-generert innhold som syntetiske bilder og tekst. Den fjerde er minimal risiko: AI som AI-filtre, spammfiltre og videospill, uten særlige krav. Virksomheter bør kartlegge sine AI-systemer og vurdere hvilken kategori de tilhører.
EU AI Act artikkel 50 fastsetter transparensplikt for visse AI-systemer. Brukere av chatboter og AI-assistenter som interagerer med mennesker, skal sikre at brukerne er informert om at de kommuniserer med et AI-system, med mindre dette er åpenbart. Leverandører av generative AI-modeller skal sikre at AI-generert innhold, herunder tekst, bilder, lyd og video som kan forveksles med menneskeskapt innhold, er merket som AI-generert ved hjelp av maskinlesbare markører. Syntetisk medieinnhold som «deepfakes» — realistiske bilder, lyd eller video av reelle personer — skal merkes uttrykkelig. Norske virksomheter som publiserer eksternt innhold som er vesentlig AI-generert, bør implementere tydelig merking, for eksempel med teksten «[Utarbeidet med AI-støtte]» eller tilsvarende. Manglende merking kan i fremtiden gi overtredelsesgebyr etter EU AI Act. Internasjonale standarder for AI-merking er under utarbeidelse av ISO og C2PA (Coalition for Content Provenance and Authenticity).
Der AI-verktøy behandler personopplysninger, gjelder personvernforordningen (GDPR) og personopplysningsloven (2018) fullt ut. De sentrale kravene er: (1) rettslig grunnlag etter personvernforordningen (GDPR) artikkel 6 for behandlingen av personopplysninger i AI-systemet; (2) databehandleravtale etter artikkel 28 med AI-leverandøren dersom leverandøren behandler personopplysninger på vegne av virksomheten; (3) DPIA etter artikkel 35 ved høy risiko, for eksempel ved systematisk profilering, bruk av sensitive personopplysninger, eller innføring av ny teknologi; (4) overføringsgrunnlag etter artiklene 44 til 49 der AI-leverandøren er etablert utenfor EØS; (5) oppfyllelse av de registrertes rettigheter ved bruk av AI, herunder rett til innsyn og rett til ikke å være gjenstand for automatiserte avgjørelser etter artikkel 22. Datatilsynet har understreket at innlegging av personopplysninger i offentlig tilgjengelige AI-tjenester som ChatGPT kan innebære behandling uten rettslig grunnlag og uten gyldig databehandleravtale, og bør unngås uten nærmere vurdering.
EU AI Act artikkel 5 forbyr AI-systemer med uakseptabel risiko. Forbudene gjelder fra 2. februar 2025 i EU og vil gjelde i Norge via EØS-avtalen. Følgende er forbudt: (1) AI-systemer som anvender subliminale teknikker eller målrettet utnytter sårbarhet hos spesifikke grupper for å manipulere atferd på en måte som forårsaker skade; (2) AI brukt av offentlige myndigheter for sosial kredittvurdering av privatpersoner basert på adferd i en sosial kontekst; (3) AI for biometrisk kategorisering basert på sensitive egenskaper som politisk syn, fagforeningstilhørighet, religion, seksuell legning og rase; (4) AI-systemer for «real-time» biometrisk fjernidentifisering på offentlige steder av rettshåndhevende myndigheter, med svært begrensede unntak; og (5) AI-systemer for å forutsi kriminalitet basert på profiler. Brudd på forbudsbestemmelsene kan gi overtredelsesgebyr på inntil 35 millioner euro eller 7 prosent av global omsetning, etter det høyeste beløpet. Virksomheter bør gjennomgå sine AI-systemer for å sikre at ingen faller innenfor forbudskategoriene.
EU AI Act artikkel 14 fastsetter krav til menneskelig tilsyn for høy-risiko AI-systemer. Leverandører av høy-risiko AI skal utforme systemene slik at de effektivt kan overvåkes av fysiske personer. Brukere (deployers) av høy-risiko AI har særlige forpliktelser: de skal sikre at ansatte som bruker systemet, har nødvendig kompetanse, opplæring og ferdigheter; de skal tildele menneskelig tilsyn til kompetente personer med myndighet til å overstyre systemets avgjørelser; og de skal overvåke driften av AI-systemet på grunnlag av bruksanvisningen. Menneskelig tilsyn innebærer at en kompetent person faktisk vurderer AI-systemets output og tar ansvar for avgjørelsen, og ikke bare godkjenner automatisk. Dette er særlig relevant i rekruttering, kredittscoring og helsediagnostikk, der AI-avgjørelser har direkte konsekvenser for enkeltpersoner. Personvernforordningen (GDPR) artikkel 22 supplerer dette med forbud mot automatiserte enkeltvedtak uten menneskelig inngrep.
Bruk av AI-systemer som er forbudt etter EU AI Act artikkel 5, kan medføre overtredelsesgebyr på inntil 35 millioner euro eller 7 prosent av total global omsetning for det foregående regnskapsåret, etter det høyeste beløpet, etter EU AI Act artikkel 99 nr. 3. For brudd på andre krav i EU AI Act, som kravene til høy-risiko systemer, er gebyrene inntil 15 millioner euro eller 3 prosent av global omsetning. EU AI Act vil ha egne nasjonale markedstilsynsmyndigheter i hvert land; i Norge ventes Datatilsynet å ha en sentral rolle. I tillegg til gebyr kan tilsynsmyndighetene pålegge virksomheten å stanse bruken av det forbudte AI-systemet umiddelbart. Der AI-bruken også innebærer brudd på personvernforordningen (GDPR), kan det komme tilleggssanksjoner etter personvernregelverket. Privates rett til erstatning for skade som AI-systemer forårsaker, er regulert i EU AI Liability Directive, som er under behandling i EU.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Personvernerklæring Norge
Personvernerklæring for nettsteder og virksomheter etter personvernforordningen (GDPR) artiklene 13 og 14, personopplysningsloven (2018) og ekomloven. Beskriver behandlingsansvarlig, kategorier av opplysninger, rettslige grunnlag, lagringstid, de registrertes rettigheter, informasjonskapsler og klage til Datatilsynet.
Databehandleravtale Norge
Databehandleravtale som regulerer behandling av personopplysninger på vegne av behandlingsansvarlig etter personvernforordningen (GDPR) artikkel 28 og personopplysningsloven (2018). Fastsetter instrukser, taushetsplikt, sikkerhetstiltak, underdatabehandlere, avviksmeldeplikt og sluttbehandling av opplysninger.