Artikkel
Anonym eller identifiserbar KI-kartlegging: hva er lov?
Anonym kartlegging bør være standard. Identifiserbare svar krever dokumentert nødvendighet, drøfting med tillitsvalgte og personvernerklæring. Pass opp for de facto identifiserbarhet i små avdelinger.
Anonym eller identifiserbar KI-kartlegging: hva er lov?
Kort svar: Anonym kartlegging bør være standard. GDPR artikkel 11 sier at arbeidsgiver ikke skal innhente identifiserende opplysninger dersom formålet kan nås uten. Identifiserbare svar krever dokumentert nødvendighet. Og pass opp: i små avdelinger kan kombinasjonen avdeling + rolle + verktøy gjøre svarene identifiserbare selv uten navn.
Hovedregel: anonymt hvis formålet tillater det
GDPR artikkel 11 nr. 1 er tydelig: Dersom formålet med behandlingen «ikke krever at den behandlingsansvarlige kan identifisere den registrerte», skal arbeidsgiver «ikke ha plikt til å bevare, innhente eller behandle ytterligere opplysninger for å identifisere vedkommende».
Hvis formålet er å kartlegge organisasjonens KI-bruk aggregert — hvilke systemer brukes, i hvilke avdelinger, til hvilke formål — er det ingen grunn til å knytte svarene til enkeltpersoner. Anonym behandling er da påkrevd, ikke bare anbefalt.
Identifiserbare svar kan bare kreves dersom arbeidsgiver kan dokumentere at individuell oppfølging er nødvendig — for eksempel individuelle opplæringsplaner eller oppfølging av spesifikke risikoforhold. Da må det også foreligge saklig grunn etter arbeidsmiljøloven § 9-1.
Når er «anonym» ikke egentlig anonym?
Her er det en felle mange går i.
GDPR artikkel 4 nr. 1 definerer personopplysninger som «enhver opplysning om en identifisert eller identifiserbar fysisk person». Identifiserbar omfatter indirekte identifikasjon — det vil si at en person kan identifiseres via kombinasjon av opplysninger.
Karnov lovkommentar note 1 til artikkel 4 presiserer at vurderingen skal ta hensyn til «alle rimelige hjelpemidler» som kan brukes til gjenidentifikasjon. WP29 Opinion 4/2007 (WP136) utdyper dette grundig.
Praktisk eksempel: En kartlegging som samler inn avdeling, rolle og verktøynavn — uten å spørre om navn — er likevel identifiserbar dersom avdelingen kun har 2 ansatte. Da peker kombinasjonen entydig til én person.
GDPR fortale 26 fastslår at anonymiserte opplysninger faller utenfor forordningens virkeområde — men bare dersom gjenidentifikasjon er usannsynlig «innen rimelige tekniske og økonomiske rammer» (Innføring og oppgavesamling i personvernrett kap. 2.5).
Personvernnemnda har tatt dette på alvor. I PVN-2020-13 (Arendal kommune / Spekter) nedla Datatilsynet forbud mot behandling av personopplysninger innhentet via kartleggingsverktøyet Spekter i skolen, med slettepålegg.
Minstetallsgrense: en praktisk løsning
For å sikre reell anonymitet bør kartleggingen ha en minstetallsgrense for rapportering per enhet. En anbefalt grense er minimum 5 respondenter per avdeling eller enhet — under dette aggregeres resultatene opp til neste organisasjonsnivå.
Dette er en form for k-anonymitet som sikrer at ingen kombinasjon av variabler peker mot én enkeltperson. GDPR artikkel 25 (innebygd personvern) krever at slike tiltak bygges inn som standardinnstilling.
Tre modeller
Modell 1: Anonym (anbefalt standard) Ingen identifiserende opplysninger samles inn. Resultater aggregeres. Minstetallsgrense per enhet. Egner seg for generell kartlegging av KI-bruk.
Modell 2: Pseudonym Svar kobles til en nøkkel, men nøkkelen oppbevares separat. Fortsatt personopplysninger etter GDPR (Karnov note 5 til art. 4). Kan brukes dersom arbeidsgiver trenger mulighet til individuell oppfølging, men ønsker å redusere risiko.
Modell 3: Identifiserbar Svar kobles direkte til den ansatte. Krever dokumentert nødvendighet, saklig grunn etter aml. § 9-1, drøfting med tillitsvalgte etter § 9-2, og personvernerklæring etter GDPR art. 13.
Personvernerklæring er påkrevd uansett modell
GDPR artikkel 13 krever at den behandlingsansvarlige gir informasjon om formål, rettslig grunnlag, mottakere, lagringstid og rettigheter «på tidspunktet for innsamlingen». Dette gjelder også for anonyme kartlegginger dersom svarene de facto kan være personopplysninger.
Erklæringen bør vises til respondenten før utfylling og tilpasses basert på om kartleggingen er anonym eller identifiserbar.
Rettskilder brukt i denne artikkelen
- GDPR artikkel 4 nr. 1 (personopplysninger — indirekte identifiserbarhet)
- GDPR artikkel 4 nr. 5 (pseudonymisering) + Karnov note 5
- GDPR artikkel 5 nr. 1 bokstav c (dataminimering)
- GDPR artikkel 11 nr. 1 (behandling som ikke krever identifikasjon)
- GDPR artikkel 13 (informasjonsplikt)
- GDPR artikkel 25 (innebygd personvern)
- GDPR fortale 26 (anonyme data)
- Arbeidsmiljøloven § 9-1 og § 9-2
- Karnov lovkommentar note 1 til GDPR art. 4
- WP29 Opinion 4/2007 on the Concept of Personal Data (WP136)
- Innføring og oppgavesamling i personvernrett kap. 2.1 og 2.5
- PVN-2020-13 (Arendal kommune / Spekter)
Kilder: EU AI Act (EUR-Lex 2024/1689) · HK-dir Rapport nr. 04/2026 (CC-BY 4.0) · Regjeringen.no · Nkom.no