Hvordan lage retningslinjer for bruk av KI på jobb

Kort svar: Retningslinjer for KI-bruk er et organisatorisk tiltak som følger av GDPR artikkel 24 og 32. Fravær av retningslinjer er i seg selv et personvernproblem — Personvernnemnda har ilagt gebyrer for manglende organisatoriske tiltak. Retningslinjene må drøftes med tillitsvalgte etter arbeidsmiljøloven § 9-2, og de bør dekke både godkjent og forbudt bruk.

---

Hvorfor er dette et krav?

Tre rettsgrunnlag gjør retningslinjer nødvendige:

GDPR artikkel 24 pålegger behandlingsansvarlig å gjennomføre «egnede tekniske og organisatoriske tiltak» for å sikre at behandlingen skjer i samsvar med forordningen. Interne retningslinjer for KI-bruk er et slikt organisatorisk tiltak.

GDPR artikkel 32 krever tiltak som sikrer konfidensialitet og integritet, «idet det tas hensyn til [...] risikoene». Ukontrollert bruk av eksterne KI-tjenester på jobbdata er en risiko som krever tiltak.

KI-forordningen artikkel 4 krever at organisasjoner sørger for tilstrekkelig KI-kompetanse. Retningslinjer er et av de konkrete tiltakene Vanebo (Lov & Data 2025 nr. 2 s. 24) lister som egnet for å oppfylle kompetanseplikten — sammen med opplæring, instrukser og bruksmanualer.

Personvernnemnda har i PVN-2021-16 (Sykehuset Østfold, 500.000 kr) og PVN-2024-17 (NAV) bekreftet at manglende organisatoriske tiltak er et selvstendig brudd — uavhengig av om det har oppstått en konkret hendelse.

---

Hva bør retningslinjene inneholde?

1. Hvilke KI-verktøy er godkjent List opp verktøy virksomheten har vurdert og godkjent for bruk. Spesifiser eventuelle vilkår (f.eks. «Copilot er godkjent for intern bruk, men ikke for behandling av personopplysninger i kategori X»).

2. Hva som er forbudt Vær eksplisitt: «Ansatte skal ikke bruke private KI-kontoer (f.eks. privat ChatGPT, Gemini) til å behandle jobbdata.» Arbeidsgiver har hjemmel for dette i styringsretten (Rt. 2000 s. 1602 / Nøkk-dommen) og arbeidsmiljøloven § 9-1.

3. Hvilke data som aldri skal mates inn i KI-verktøy Gi konkrete eksempler: personnummer, helseopplysninger, jobbsøknader, elevdata, klientinformasjon, interne dokumenter merket konfidensielt.

4. Hvem som har ansvar Presiser at arbeidsgiver er behandlingsansvarlig (GDPR art. 4 nr. 7), men at den ansatte har instruksplikt etter GDPR art. 29. Brudd på retningslinjene kan utgjøre brudd på instruksen.

5. Hva ansatte skal gjøre ved usikkerhet Gi en kontaktperson eller prosedyre: «Spør nærmeste leder eller personvernombud før du bruker et nytt KI-verktøy.»

6. Avvikshåndtering Hva gjør den ansatte dersom de allerede har delt personopplysninger med en ekstern tjeneste? Hvem varsles internt? Meldeplikt til Datatilsynet kan utløses innen 72 timer (GDPR art. 33).

---

Prosessen

Steg 1: Kartlegg eksisterende KI-bruk. Du kan ikke lage retningslinjer for noe du ikke vet om. En kartlegging avdekker både godkjente systemer og shadow AI.

Steg 2: Drøft med tillitsvalgte. Retningslinjer som innebærer kontrolltiltak skal drøftes etter arbeidsmiljøloven § 9-2 — behov, utforming og gjennomføring.

Steg 3: Utform retningslinjene. Bruk klart språk. Unngå rent juridisk språk som ansatte ikke forstår.

Steg 4: Informer og opplær ansatte. § 9-2 andre ledd krever informasjon til berørte arbeidstakere om formål, konsekvenser og gjennomføring.

Steg 5: Evaluer jevnlig. KI-landskapet endrer seg raskt. Vanebo (s. 25): KI-kompetanse er «en mer kontinuerlig forpliktelse».

---

---

Rettskilder brukt i denne artikkelen

• Arbeidsmiljøloven § 9-1 (kontrolltiltak)
• Arbeidsmiljøloven § 9-2 (drøfting med tillitsvalgte)
• HR-2000-46-B / Rt. 2000 s. 1602 (Nøkk-dommen — styringsretten)
• GDPR artikkel 4 nr. 7 (behandlingsansvarlig)
• GDPR artikkel 24 (behandlingsansvarliges ansvar)
• GDPR artikkel 29 (behandling etter instruks)
• GDPR artikkel 32 (sikkerhet ved behandlingen)
• GDPR artikkel 33 (meldeplikt)
• PVN-2021-16 (Sykehuset Østfold)
• PVN-2024-17 (NAV)
• Vanebo, Ove André: Lov & Data 2025 nr. 2 s. 22–25 (LoD-2025-162-22)