AI Act og GDPR: hva norske bedrifter faktisk må gjøre

Xander Dijkstra

Av Xander Dijkstra, grunnlegger av AI Systemet · Oppdatert 16. juli 2026 · 8 min lesing

For de aller fleste norske bedrifter er regelverket rundt KI mer overkommelig enn overskriftene antyder: GDPR gjelder som før, og EUs AI Act stiller strenge krav først når KI brukes på høyrisiko-områder som rekruttering og kredittvurdering. Denne guiden går gjennom det som faktisk gjelder vanlig kontorbruk – og ender i en sjekkliste på fem punkter. Merk: dette er praktisk veiledning, ikke juridisk rådgivning.

Hva er AI Act, og gjelder den i Norge?

AI Act er EUs forordning om kunstig intelligens – verdens første helhetlige KI-lov. Den trådte i kraft i EU i august 2024 og innføres trinnvis: forbudene mot uakseptabel bruk fra februar 2025, regler for generelle KI-modeller fra august 2025, og hoveddelen av kravene fra august 2026.

Forordningen er EØS-relevant og er på vei inn i norsk rett; norsk KI-lovgivning basert på den har vært under arbeid. Praktisk betyr det: norske bedrifter bør innrette seg som om reglene gjelder – både fordi de kommer, og fordi kunder og partnere i EU allerede er underlagt dem.

Risikonivåene – og hvor din bruk havner

AI Act sorterer KI-bruk i nivåer, med krav som øker med risikoen:

  • Uakseptabel risiko (forbudt): sosial poengsetting, manipulerende systemer, visse former for biometrisk overvåking
  • Høy risiko (strenge krav): KI i rekruttering og utvelgelse, kredittvurdering, utdanning, kritisk infrastruktur
  • Begrenset risiko (åpenhetskrav): chatboter og KI-generert innhold – folk skal vite at de møter en KI
  • Minimal risiko (ingen særskilte krav): det aller meste av kontorbruk – utkast, oppsummering, interne analyser

Det praktiske kravet de fleste møter først: åpenhet

Bruker dere en chatbot mot kunder, skal det være tydelig at det er en KI de snakker med. En ærlig merking («Du chatter med vår digitale assistent») oppfyller poenget – og er uansett god kundebehandling. Det samme gjelder KI-generert innhold som kan forveksles med ekte: ikke utgi det for å være noe annet.

Vær ekstra varsom hvis dere vurderer KI i ansettelsesprosesser: CV-screening og kandidatvurdering er høyrisiko under AI Act, med krav de fleste SMB-er ikke ønsker å ta på seg. Vår anbefaling: la mennesker gjøre utvelgelsen, og bruk KI til det administrative rundt.

GDPR: de fire spørsmålene som avgjør

GDPR har gjeldt hele tiden og endres ikke av KI – men KI-verktøy gjør det lettere å trå feil i farta. Fire spørsmål rydder opp:

  1. 1Hvilke personopplysninger får verktøyet se? Minimer: send det verktøyet trenger, ikke hele kundekartoteket.
  2. 2Hvor behandles dataene? Sjekk leverandørens databehandleravtale og om EU/EØS-behandling kan velges.
  3. 3Brukes dataene til å trene leverandørens modeller? I bedriftsutgavene til seriøse leverandører: nei. I private gratiskontoer: ofte ja.
  4. 4Finnes det en databehandleravtale? Uten den bryter dere GDPR uansett hvor pent verktøyet oppfører seg.

Den største risikoen: skygge-KI

Den vanligste GDPR-glippen er ikke systemet bedriften valgte – det er de private gratiskontoene ansatte bruker i det stille. En selger som limer kundelisten inn i en privat chatbot-konto har flyttet persondata ut av bedriftens kontroll, uten avtale og uten logg.

Løsningen er ikke forbud, men et godt alternativ: gi alle en bedriftskonto med databehandleravtale, og gjør regelen enkel å huske – kundedata kun i bedriftskontoer.

Sjekklisten: fem punkter

Kommer dere gjennom disse fem, er dere bedre stilt enn de fleste – og godt posisjonert for kravene som fases inn. Usikre på hvor deres bruk havner? Det er et naturlig tema i en kartlegging, og vi setter alltid opp databehandleravtale før vi rører kundedata i egne prosjekter.

  1. 1Bedriftskontoer med databehandleravtale på alle KI-verktøy som ser kunde- eller persondata
  2. 2Trening på egne data avslått hos leverandøren (standard i bedriftsutgaver)
  3. 3Chatboter og KI-innhold merket ærlig
  4. 4Menneske i loopen der feil har konsekvens – og alltid i rekruttering og kreditt
  5. 5Én skriftlig KI-regel alle ansatte kjenner: hva som er lov i hvilke kontoer

Ofte stilte spørsmål

Gjelder AI Act for små norske bedrifter?

Reglene er EØS-relevante og på vei inn i norsk rett, og de gjelder etter bruksområde, ikke bedriftsstørrelse. For vanlig kontorbruk er kravene små (i hovedsak åpenhet); de strenge kravene treffer høyrisiko-bruk som rekruttering og kredittvurdering.

Kan vi bruke ChatGPT med kundedata?

Ja – i en bedriftsutgave med databehandleravtale og trening avslått. Nei – i private gratiskontoer. Skillet er kontoen og avtalen, ikke verktøyet.

Må vi merke chatboten vår?

Ja, folk skal vite at de snakker med en KI. En tydelig tekst i chatvinduet er nok, og det er uansett god kundebehandling.

Trenger vi en egen KI-policy?

En side holder for de fleste SMB-er: hvilke verktøy som er godkjent, at kundedata kun brukes i bedriftskontoer, og hvem man spør ved tvil. Det viktigste er at den finnes og at alle kjenner den.

Begreper i denne guiden

Vil du vite hvor deres timer lekker?

Book en gratis kartleggingssamtale på 15–30 minutter. Du får minst ett konkret forslag – også hvis du aldri blir kunde.