BraSvar!
Slik kommer du i gangPriserBlogg
5 min

Slik velger du KI-verktøy uten å bryte personvernet

GDPR gjelder også når du bruker kunstig intelligens. Her er det du må ha kontroll på som småbedriftseier.

Mange småbedriftseiere er nysgjerrige på KI, men usikre på personvernet. Og det med god grunn. Når du bruker verktøy som behandler kundedata — en telefonassistent, et bookingsystem med KI, eller en chatbot — er det GDPR som gjelder. Ingen unntak for nye teknologier.

Men personvern trenger ikke å være et hinder. Med noen enkle grep kan du ta i bruk KI-verktøy på en måte som er både lovlig og trygg.

Tre ting du må ha på plass

1. Databehandleravtale med leverandøren

Hvis du bruker et KI-verktøy som behandler personopplysninger på vegne av bedriften din, må du ha en databehandleravtale. Dette er lovpålagt. Avtalen regulerer hva leverandøren kan og ikke kan gjøre med dataene.

Datatilsynet har en gratis mal du kan bruke som utgangspunkt. Sjekk at avtalen dekker hva som behandles, hvor dataene lagres, og hva som skjer når avtalen opphører.

2. Kontroll på underbehandlere

KI-leverandøren din bruker sannsynligvis andre tjenester i bakgrunnen — Googles eller Amazons skytjenester, en talegjenkjenningstjeneste fra en tredjepart. Disse kalles underbehandlere, og du er ansvarlig for at også de behandler data forsvarlig.

Be leverandøren om en liste over underbehandlere. Sjekk om noen ligger utenfor EØS. I så fall kreves ekstra tiltak, som Standard Contractual Clauses (SCCs).

3. Vurder hva du faktisk trenger å dele

GDPR bygger på dataminimering: du skal ikke behandle mer data enn nødvendig. En telefonassistent trenger å vite hva bedriften tilbyr og når dere har åpent. Den trenger ikke tilgang til hele kunderegisteret.

Hva med den nye KI-loven?

Norge er i ferd med å innføre en egen KI-lov basert på EUs AI Act. Loven forventes å tre i kraft sensommeren 2026 og opererer med fire risikonivåer. De fleste KI-verktøy som småbedrifter bruker — telefonassistenter, skriveverktøy og bookingsystemer — faller i kategorien lav risiko og vil ikke være underlagt strenge krav.

Det som likevel er viktig: du som bedriftseier bør kjenne til regelverket og kunne dokumentere at du har tenkt gjennom personvernet. Det handler om tillit — fra kunder og fra myndigheter.

Det trenger ikke å være vanskelig

I praksis handler det om noen få steg:

  • Sørg for databehandleravtale med leverandøren
  • Sjekk hvor dataene lagres og hvem underbehandlerne er
  • Del bare det som er nødvendig
  • Dokumenter at du har gjort vurderingen

Gjør du dette, er du trygt innenfor.

Slik gjør vi det i Bra Svar

Hos Bra Svar tar vi personvern på alvor. Vi tilbyr databehandleravtale basert på Datatilsynets standardmal, dokumenterer alle underbehandlere, og sørger for at kundedata behandles i tråd med GDPR. Ta kontakt om du vil vite mer.

← Alle artiklerPrøv Bra Svar