6 ting du bør vite om KI og persondata

La oss starte med det grunnleggende: Nei, det vil aldri være helt "trygt" å bruke verken KI-verktøy, e-post og andre teknologiverktøy du lagrer data i. Du har ingen garanti for at dataen din er trygg, ikke lekkes eller brukes til trening av KI-modeller, uansett hvilken leverandør du velger.

Men du kan velge leverandør med omhu, du kan gjøre due dilligence av vilkårene som gjelder, hvor dataen lagres og hvilke belslutninger du kan bruke KI til.

Her er 6 ting du bør kunne for å bruke KI-verktøy trygt og lovlig.

1. Gratisversjoner = ikke trygt, bedriftsversjoner = bedre

KI-verktøy finnes i to versjoner, og det er en del forskjeller fra leverandør til leverandør.

Vanligvis har leverandøren i gratisversjoner rett til å trene KI-modellen på alt du skriver inn, og de er ikke forpliktet av en databehandleravtale. Du har i praksis null kontroll over hva som skjer med dataene.

ChatGPT Free/Plus, Claude Free/Pro, Copilot i Bing og Gemini er eksempler på gratis KI-verktøy, og du bør selv sjekke personvernserklæringen deres for å finen ut hva som gjelder om din bruk.

Gratisversjoner trener på dataene dine. En CV, et kundenummer eller en sykefraværsrapport kan bli en del av treningsdataen, og det er ikke forsvarlig behandling.

I bedriftsversjoner vil leverandøren normalt gi garanti om at dataen ikke brukes til modelltrening. Hvordan de har lov til å behandle dataen du legger inn følger av databehandleravtalen.

ChatGPT Enterprise/Team, Claude for Work, Copilot for Microsoft 365 og Gemini for Workspace er eksempler på bedriftsversjoner som også tilbyr databehandleravtale.

I Lexolve gjelder det for eksempel ulike vilkår for bruk av persondata når du legger inn persondata i hhv. betalt og gratisversjonen av vår juridiske KI.

I Lexolve bruker vi enterprise-versjonene av Google og Anthropic, som gir garanti for at dataen ikke brukes til modelltrening, og for betalende kunder har vi en egen databehandleravtale. Bruker du vår gratisversjon (som ikke krever innlogging på lexolve.com) må du være oppmerksom på at vi ikke garanterer at modellen vi bruker behandler data i Europa.

Usikker på om bedriften din bruker KI riktig?

Svar på noen spørsmål om hva du vil bruke KI til, og få generert konkrete råd og tiltak automatisk.

✓ Gratis og uforpliktende
✓ Oppdatert med kommende lovkrav for KI

Start sjekk

2. Valg av leverandør er en del av personvernvurderingen

Selv om du velger enterprise-versjoner med databehandleravtale, m å du fortsatt sjekke hvilken leverandør du skal inngå avtalen med.

Pentagon-saken i februar 2026 viser at det kan være forskjell på leverandører. Der hvor Anthropic nektet å gi Pentagon ubegrenset tilgang til Claude, signerte OpenAI avtale med dem dagen etter.

Reaksjonen i markedet var massiv: ChatGPT-avinstalleringer økte 295 % på én dag, Claude føk opp som den mest nedlastede KI-appen i USA. Over 2,5 millioner mennesker sluttet seg til #QuitGPT-bevegelsen. OpenAIs leder Sam Altman innrømte senere at avtalen så "opportunistic and sloppy" ut.

Leverandører og deres ledere kan ha ulike verdier, ulike regler og ulike grenser for hva de gjør med dataene dine. Da koker det ned til et tillittspørsmål: Hvilken leverandør stoler du på?

Inga Strümke (NTNU) og Michael A. Riegler (SimulaMet) skrev det klarest i DN 5. mars 2026: "Det er forskjell på selskaper som prøver å sette grenser og de som ikke gjør det."

I Lexolve bruker vi primært Google i våre juridiske KI, men bytter straks til Antrophic. Les mer om hva vi bruker i vår personvernserklæring.

3. Det er lov å bruke personopplysninger i KI-verktøy

Noen tror det ikke er lov å bruke personopplysninger i KI-verktøy. Svaret er: Det kommer an på. Med riktig oppsett og lovlig behandlingsgrunnlag, er det fullt lovlig å bruke personopplysninger i KI-verktøy.

Samtykke er sjelden et gyldig grunnlag i arbeidsforhold fordi Datatilsynet og det europeiske personvernsrådet er tydelige på at det er et ubalansert maktforhold og de ansatte kan føle seg "tvunget" til å samtykke.

Berettiget interesse kan være et lovlig grunnlag for å behandle personopplysninger med KI-verktøy.

GDPR åpner for behandling basert på berettiget interesse, og i EDPB Opinion 28/2024 bekrefter det europeiske personvernrådet at berettiget interesse kan brukes som behandlingsgrunnlag, også for KI-trening, forutsatt at tre-stegs-testen er gjennomført.

Den avveiningen får du hjelp til å gjøre og dokumentere ved å bruke vår interaktive veiviser for berettiget interesse.

Når du bruker andres persondata er du behandlingsansvarlig og må sjekke at dataen behandles på en lovlig måte. Du må sjekke om bruken er underlagt databehandleravtale, ikke-treningsgaranti og behandles ved europeiske datasenter.

Når er du databehandler og når er du behandlingsansvarlig? Ta vår interaktive quiz og finn det ut!

4. Personvern og forretningshemmeligheter er to ulike ting

Det er lett å blande sammen rutiner for å beskytte sensitiv data og persondata. Fallgruven er at du tror du har løst begge når du bare har løst ett.

Personvern (GDPR) handler om personopplysninger: Navn, e-post, fødselsdato, ansattdata. Her er regelverket klart, og løsningen er kjent: DPA, behandlingsgrunnlag og informasjonsplikt.

Forretningshemmeligheter handler om bedriftsinformasjon: Kildekode, kundedatabaser, strategidokumenter, møtereferater. Her gjelder lov om forretningshemmeligheter, og den krever at du har gjort "rimelige tiltak" for å holde informasjonen hemmelig.

Limer du kildekode inn i gratisversjonen til ChatGPT som gir rett til å trene modellen på dataen din, har du i praksis gitt fra deg kontrollen. Da blir det vanskelig å hevde at rimelige tiltak er gjort.

Les mer i vår guide til: Forretningshemmeligheter: Slik beskytter du dem

Samsung opplevde dette i 2023. Tre ansatte brukte ChatGPT til å feilsøke kildekode, teste et program for å identifisere defekte komponenter, og generere møtereferat fra et internt møte. Alt dette ble en del av OpenAIs treningsdata. Samsung innførte et totalforbud mot KI-verktøy kort tid etter.

Så dramatisk trenger du likevel ikke å være.

Bruker du KI-verktøy med enterprisevilkår og lager retningslinjer for ansattes bruk av KI, er det ingen grunn til å innføre totalforbud.

KI-policy for de ansatte kan du lage gratis her.

5. Vil du unngå GDPR-pliktene? Anonymiser i Excel, ikke i KI-verktøyet

Hvis du bruker gratisversjoner, eller behandler data uten DPA, bør du alltid anonymisere. Og ett poeng er avgjørende: Skriv aldri "anonymiser dette" i KI-verktøyet. Da har du allerede sendt personopplysningene. Det er for sent.

Eksporter heller data til Excel først. Fjern identifiserende informasjon: Navn, e-post, telefon, fødselsdato, adresse. Erstatt med generiske ID-er som «Kandidat 1» eller «Kunde A», og lim deretter inn i KI-verktøyet.

Med enterprise og DPA er anonymisering valgfritt, men er fortsatt lurt der det er praktisk.

Tommelfingerregelen er: Trenger KI-en å vite hvem personen er for å gjøre jobben? Hvis nei, anonymiser. Hvis ja, bruk persondata med enterprise-verktøy og riktig grunnlag.

→ Vil du ha konkrete tips til trygg og lovlig KI-bruk? Prøv trygg KI-sjekken gratis

6. Bruk KI som beslutningsstøtte, aldri som beslutningstaker

Den kommende KI-loven klassifiserer visse bruksområder for KI som høyrisiko, blant annet KI i rekruttering, HR-beslutninger og kredittvurdering.

GDPR artikkel 22 gir personer rett til å ikke være gjenstand for beslutninger som utelukkende er basert på automatisert behandling.

KI-verktøy kan fabrikkere fakta med høy selvtillit, og du må alltid kontrollere det du får tilbake.

I praksis betyr dette: Bruk KI til å analysere og foreslå, men la et menneske ta den endelige beslutningen.

Eksempel: Å bruke KI til å rangere CVer og foreslå kandidater er greit. Å la KI avgjøre hvem som får jobben er det ikke.

KI-loven innfører også et kompetansekrav: Slle virksomheter som bruker KI-systemer skal sørge for at personalet har tilstrekkelig KI-kompetanse.

Tips: Dokumenter bruken i en KI-policy, gjennomfør DPIA for høyrisiko-bruk som rekruttering og HR og gjør en jevnlig internkontroll.

I Lexolve bygger vi pålitelig juridisk KI ved å kvalitetssikre svar i norsk lov og rettspraksis. Resultatet er en KI som er mer treffsikker enn gjennomsnittsadvokaten. Men verken en advokat eller KI vil alltid ha rett. Bruk egen dømmekraft og sjekk kildene. Husk at KI er et verktøy som gjør deg bedre, ikke et verktøy som erstatter vurderingen din.

7. Bonus: Vurder hver type bruk for seg

Det kan gjelde særlige hensyn og regler avhengig av hvilken data og hva du vil bruke KI-verktøyet til.

For eksempel innebærer arbeidsmiljøloven kapittel 9 at innføring av KI-verktøy som behandler ansattes personopplysninger kan anses som kontrolltiltak. Da må du drøfte med tillitsvalgte, og informer ansatte.

Bruker du KI til å lage personaliserte e-poster til kunder? Da gjelder også markedsføringslovens § 15 om samtykke til elektronisk markedsføring (til forbrukere), uavhengig av om e-posten er skrevet av KI eller et menneske.

Sjekk din KI-bruk på 2 minutter

Velg hva du ønsker å bruke KI til, og få en skreddersydd handlingsplan med konkrete steg, verktøylenker og lovhenvisninger.

Start sjekken

***

Denne artikkelen er skrevet med utgangspunkt i gjeldende regelverk per mars 2026. GDPR gjelder fullt ut. KI-forordningen er vedtatt i EU og forventes innført i norsk lov tidligst august 2026. Les mer om status på ki-loven.lexolve.com.