Innholdsfortegnelse

Artikkel

Er KI-kartlegging av ansatte et kontrolltiltak?

En KI-kartlegging kan være et kontrolltiltak etter arbeidsmiljøloven. Det betyr at anonymitet bør være standard, tillitsvalgte må drøftes, og identifiserbare svar krever dokumentert nødvendighet.

Sist oppdatert · 5 min lesetid

Er KI-kartlegging av ansatte et kontrolltiltak?

Kort svar: Ja, sannsynligvis. Begrepet «kontrolltiltak» i arbeidsmiljøloven § 9-1 er ikke snevert definert, og en kartlegging som behandler opplysninger om ansattes bruk av verktøy i arbeidssituasjonen faller innenfor. Det utløser krav om saklig grunn, forholdsmessighet, drøfting med tillitsvalgte og informasjon til ansatte — og i mange tilfeller bør kartleggingen være anonym.

Hva sier loven?

Arbeidsmiljøloven § 9-1 første ledd fastslår at arbeidsgiver bare kan iverksette kontrolltiltak når tiltaket har saklig grunn i virksomhetens forhold og ikke innebærer en uforholdsmessig belastning for arbeidstakeren.

Forarbeidene til bestemmelsen (Ot.prp. nr. 49 (2004–2005) kap. 9) presiserer at saklighetskravet innebærer at det må foreligge et formål som er forankret i virksomheten og som i seg selv er saklig — for eksempel teknologiske, økonomiske, sikkerhets- eller arbeidsmiljømessige forhold.

Karnov lovkommentar note 1 til § 9-1 og Innføring og oppgavesamling i personvernrett kapittel 10.2 bekrefter at hva som utgjør et «kontrolltiltak» ikke er snevert definert. En kartlegging som innebærer behandling av opplysninger om ansattes bruk av verktøy i arbeidssituasjonen faller innenfor.

Anonym eller identifiserbar kartlegging?

Dette er kanskje det viktigste praktiske spørsmålet, og svaret ligger i samspillet mellom arbeidsmiljøloven og GDPR.

GDPR artikkel 11 nr. 1 fastslår at dersom formålet med behandlingen «ikke krever at den behandlingsansvarlige kan identifisere den registrerte», skal arbeidsgiver ikke innhente eller behandle ytterligere opplysninger for å identifisere vedkommende.

I praksis betyr det: Hvis formålet med kartleggingen er å få oversikt over organisasjonens KI-bruk aggregert — hvilke systemer brukes, i hvilke avdelinger, til hvilke formål — kan arbeidsgiver ikke kreve navngitte svar.

Identifiserbare svar krever at arbeidsgiver kan dokumentere at individuell oppfølging er nødvendig for formålet, for eksempel individuelle opplæringsplaner eller oppfølging av spesifikke risikoforhold.

Når er «anonym» ikke egentlig anonym?

Her kommer GDPR artikkel 4 nr. 1 inn. Personopplysninger er «enhver opplysning om en identifisert eller identifiserbar fysisk person». Identifiserbar omfatter også indirekte identifikasjon via kombinasjon av elementer.

Hvis kartleggingen samler inn avdeling, rolle og verktøynavn — og avdelingen kun har 2 ansatte — peker kombinasjonen entydig til én person. Da er svarene personopplysninger selv uten direkte identifikatorer.

Personvernnemnda har tatt kartleggingsverktøy på alvor. I PVN-2020-13 (Arendal kommune / Spekter) nedla Datatilsynet forbud mot behandling av personopplysninger innhentet via kartleggingsverktøyet Spekter i skolen, og påla kommunen å slette de innhentede opplysningene. Mangelfullt rettsgrunnlag førte til forbud pluss slettepålegg.

Praktisk konsekvens: Kartleggingen må ha en minstetallsgrense for rapportering per enhet. Resultater bør ikke vises per avdeling med færre enn 5 respondenter — de bør aggregeres opp til neste organisasjonsnivå.

Må tillitsvalgte involveres?

Ja, dette er lovpålagt.

Arbeidsmiljøloven § 9-2 første ledd: «Arbeidsgiver plikter så tidlig som mulig å drøfte behov, utforming, gjennomføring og vesentlig endring av kontrolltiltak i virksomheten med arbeidstakernes tillitsvalgte.»

Andre ledd: Før tiltaket iverksettes, skal berørte arbeidstakere informeres om formålet, praktiske konsekvenser og gjennomføringen.

Siden KI-kartlegging sannsynligvis er et kontrolltiltak etter § 9-1, utløses § 9-2 direkte. Dette gjelder selv når kartleggingen er pålagt av KI-forordningen — EØS-loven § 2 gir materiell forrang til EØS-plikter ved motstrid, men prosessuelle krav om drøfting, informasjon og evaluering i § 9-2 er ikke i motstrid med forordningen. De er komplementære.

Karnov lovkommentar note 1 til § 9-1 bekrefter at saklighetsvurderingen etter arbeidsmiljøloven og personopplysningslovens krav «langt på vei vil kunne sammenfalle». Når kartlegging er pålagt av en EØS-forordning, gir selve forordningsplikten et sterkt saklig grunnlag — men arbeidsgiver må fortsatt dokumentere forholdsmessigheten.

Må kartleggingen inneholde personvernerklæring?

Ja. GDPR artikkel 13 nr. 1 krever at den behandlingsansvarlige gir den registrerte informasjon om identitet, formål, rettslig grunnlag, mottakere, lagringstid og rettigheter «på tidspunktet for innsamlingen». Ingen unntak for spørreundersøkelser.

Dette gjelder også når kartleggingen er «anonym» i intensjon — dersom svarene de facto er personopplysninger (se avsnittet om identifiserbarhet), utløses informasjonsplikten.

Kan kartleggingsdata brukes til reaksjoner mot en ansatt?

Ikke automatisk. GDPR artikkel 5 nr. 1 bokstav b fastslår at personopplysninger ikke skal viderebehandles på en måte som er «uforenlig med» det opprinnelige innsamlingsformålet.

Hvis kartleggingen ble gjort for formålet «kartlegge KI-bruk for planlegging og opplæring», er bruk til disiplinære reaksjoner et annet formål. Arbeidsgiver må vurdere forenlighet etter GDPR artikkel 6 nr. 4. Disiplinære tiltak har vesentlig større konsekvenser for den registrerte enn opplæring — dette taler mot forenlighet.

Karnov lovkommentar note 3 til artikkel 5 nr. 1 bokstav b og PVN-2020-13 (Arendal/Spekter) bekrefter at kartleggingsverktøy må ha klart rettslig grunnlag og formål fra starten.

Hva bør virksomheten gjøre?

  1. Sett anonym kartlegging som standard. Identifiserbar modus bør kun aktiveres etter dokumentert nødvendighet og gjennomført drøfting med tillitsvalgte.

  2. Drøft kartleggingen med tillitsvalgte før utsending. Dokumenter drøftingen.

  3. Innfør minstetallsgrense for rapportering per enhet (anbefalt: minimum 5 respondenter).

  4. Vis personvernerklæring til alle respondenter før utfylling, med informasjon om formål, behandlingsgrunnlag, mottakere, lagringstid og rettigheter.

  5. Definer formålet tydelig ved opprettelse og ikke endre det i ettertid. En formålslås beskytter mot formålsglidning.

  6. Sett slettepolicy. Individuelle kartleggingssvar bør slettes når formålet er oppnådd. Anonyme aggregater kan bevares.

Rettskilder brukt i denne artikkelen

  • Arbeidsmiljøloven § 9-1 (vilkår for kontrolltiltak)
  • Arbeidsmiljøloven § 9-2 (drøfting, informasjon og evaluering)
  • Ot.prp. nr. 49 (2004–2005) kap. 9 (kontrolltiltak)
  • EØS-loven § 2 (forrang ved konflikt)
  • GDPR artikkel 4 nr. 1 (personopplysninger — indirekte identifiserbarhet)
  • GDPR artikkel 5 nr. 1 bokstav b og e (formålsbegrensning, lagringsbegrensning)
  • GDPR artikkel 6 nr. 4 (test for forenlige formål)
  • GDPR artikkel 11 nr. 1 (behandling som ikke krever identifikasjon)
  • GDPR artikkel 13 (informasjonsplikt)
  • GDPR fortale 26 (anonyme data)
  • Karnov lovkommentar note 1 og 3 til aml. § 9-1
  • Karnov lovkommentar note 3 til GDPR art. 5(1)(b)
  • Innføring og oppgavesamling i personvernrett kap. 2.1, 2.5 og 10.2
  • WP29 Opinion 4/2007 on the Concept of Personal Data (WP136)
  • PVN-2020-13 (Arendal kommune / Spekter — kartleggingsverktøy)

Kilder: EU AI Act (EUR-Lex 2024/1689) · HK-dir Rapport nr. 04/2026 (CC-BY 4.0) · Regjeringen.no · Nkom.no