Innsikt
Praktiske artikler om KI-loven, shadow AI, kartlegging og compliance. Skrevet for norske virksomheter som forbereder seg på KI-forordningen.
KI-loven i Norge
KI-loven, KI-forordningen og AI Act: forskjellen forklart
Tre begreper, én regulering. Nkom bruker «KI-loven», EU sier «AI Act», og mange norske kilder bruker «KI-forordningen». Her er hva som gjelder, hva forskjellen er, og hva norske virksomheter bør forholde seg til.
Les artikkelen →Gjelder KI-loven også ChatGPT og Copilot?
Ja — kompetansekravet i artikkel 4 gjelder uavhengig av risikonivå. Det betyr at ChatGPT, Copilot, Gemini og andre lavrisiko-verktøy også er omfattet. Her er hva det betyr i praksis.
Les artikkelen →Shadow AI og personvern
Kan ansatte bruke privat ChatGPT på jobb?
Arbeidsgiver kan forby private KI-verktøy, men det krever retningslinjer, drøfting og dokumentasjon. Her er det juridiske grunnlaget — og hva som skjer hvis noen bryter reglene.
Les artikkelen →Shadow AI: når må hendelsen meldes til Datatilsynet?
Hvis en ansatt deler personopplysninger med privat ChatGPT, kan det utløse meldeplikt til Datatilsynet innen 72 timer. Personvernnemnda har allerede ilagt gebyrer for forsinket melding. Her er reglene.
Les artikkelen →Hvem er ansvarlig hvis ansatte deler personopplysninger i KI-verktøy?
Arbeidsgiver er normalt behandlingsansvarlig — også når den ansatte handler i strid med instruks. Her er det juridiske grunnlaget og hva det betyr for organisatoriske tiltak.
Les artikkelen →Hvordan lage retningslinjer for bruk av KI på jobb
Retningslinjer for KI-bruk er ikke valgfritt — det er et krav etter GDPR artikkel 24 og 32, og en nødvendig forutsetning for å oppfylle KI-forordningen artikkel 4. Her er hva de bør inneholde og hvordan prosessen bør gjennomføres.
Les artikkelen →Kartlegging av ansatte
Er KI-kartlegging av ansatte et kontrolltiltak?
En KI-kartlegging kan være et kontrolltiltak etter arbeidsmiljøloven. Det betyr at anonymitet bør være standard, tillitsvalgte må drøftes, og identifiserbare svar krever dokumentert nødvendighet.
Les artikkelen →Må tillitsvalgte drøfte KI-kartlegging før utsending?
Ja — drøftingsplikten etter arbeidsmiljøloven § 9-2 gjelder selv når kartleggingen er pålagt av KI-forordningen. EØS-regler gir materiell hjemmel, men prosessuelle krav om drøfting og informasjon gjelder parallelt.
Les artikkelen →Anonym eller identifiserbar KI-kartlegging: hva er lov?
Anonym kartlegging bør være standard. Identifiserbare svar krever dokumentert nødvendighet, drøfting med tillitsvalgte og personvernerklæring. Pass opp for de facto identifiserbarhet i små avdelinger.
Les artikkelen →Kan kartleggingsdata brukes til reaksjoner mot ansatte?
Ikke automatisk. Formålsbegrensningen i GDPR betyr at data samlet inn for kartlegging og opplæring ikke uten videre kan brukes som grunnlag for disiplinære tiltak. Her er reglene.
Les artikkelen →Kommune og offentlig sektor
Må kommunen kartlegge alle KI-systemer?
Ja — og plikten finnes allerede i dag, ikke bare i KI-forordningen. GDPR, likestillingsloven og Digitaliseringsrundskrivet gir selvstendig grunnlag. Her er det juridiske bildet for offentlig sektor.
Les artikkelen →Må kommunen registrere høyrisiko-KI i EU-databasen?
Ja — offentlige virksomheter som bruker høyrisiko-KI har en egen registreringsplikt i EU-databasen. Tilbyderen skal registrere systemet, men kommunen som idriftsetter har selvstendig plikt til å registrere sin bruk.
Les artikkelen →Risikovurdering og compliance
DPIA eller FRIA — hva trenger vi?
DPIA og FRIA har forskjellig formål og metode. De kan samkjøres, men er ikke det samme. Her er forskjellen, hvem som trenger hva, og hvordan de kan kombineres i ett dokument.
Les artikkelen →Kan IT rulle ut Copilot uten risikovurdering?
Nei. Ibruktagelse av et system som behandler personopplysninger uten forutgående risikovurdering er i seg selv et brudd på GDPR. Personvernnemnda har ilagt gebyrer for akkurat dette. Her er reglene.
Les artikkelen →Trenger du hjelp med KI-compliance?
KI-Krav hjelper norske virksomheter med å kartlegge KI-systemer og dokumentere etterlevelse.
Se hva KI-Krav gjør →