Innholdsfortegnelse

Artikkel

Kan ansatte bruke privat ChatGPT på jobb?

Arbeidsgiver kan forby private KI-verktøy, men det krever retningslinjer, drøfting og dokumentasjon. Her er det juridiske grunnlaget — og hva som skjer hvis noen bryter reglene.

Sist oppdatert · 4 min lesetid

Kan ansatte bruke privat ChatGPT på jobb?

Kort svar: Ja, arbeidsgiver kan forby ansatte å bruke private KI-verktøy som ChatGPT på jobbdata. Hjemmelen er styringsretten, arbeidsmiljøloven § 9-1 og GDPR. Men forbudet må være saklig, forholdsmessig og kommunisert — og arbeidsgiver er normalt behandlingsansvarlig selv når den ansatte bryter instruksen.

Hvorfor dette er et reelt problem

De fleste norske virksomheter har ansatte som allerede bruker KI-verktøy i jobben — ofte uten at arbeidsgiver vet om det. En ansatt som limer inn en jobbsøknad, et elevnotat eller en pasienthenvisning i privat ChatGPT, overfører personopplysninger til en tredjepart utenfor arbeidsgivers kontroll.

Spørsmålet er ikke om det skjer. Spørsmålet er hva arbeidsgiver må gjøre juridisk, organisatorisk og praktisk.

Kan arbeidsgiver forby private KI-verktøy?

Ja. Arbeidsgiver har tre rettslige grunnlag for å forby bruk av private KI-verktøy på jobbdata:

Styringsretten gir arbeidsgiver rett til å gi instrukser om hvilke verktøy som kan brukes i tjenesten. Høyesterett bekreftet styringsrettens rekkevidde innenfor arbeidsavtalens rammer i Nøkk-dommen (Rt. 2000 s. 1602 / HR-2000-46-B).

Arbeidsmiljøloven § 9-1 regulerer kontrolltiltak. Et forbud mot private KI-verktøy er saklig begrunnet i sikkerhet, konfidensialitet og etterlevelse av personvernregelverket — men det må være forholdsmessig og ikke innebære en uforholdsmessig belastning for arbeidstakeren.

GDPR artikkel 24, 25 og 32 pålegger arbeidsgiver som behandlingsansvarlig å gjennomføre egnede tekniske og organisatoriske tiltak for å sikre personopplysninger. Å tillate ukontrollert overføring til eksterne KI-tjenester er vanskelig å forene med disse pliktene.

Forbudet må dokumenteres, begrunnes overfor de ansatte, og drøftes med tillitsvalgte etter arbeidsmiljøloven § 9-2 dersom det anses som et kontrolltiltak.

Hvem er ansvarlig hvis en ansatt deler personopplysninger i ChatGPT?

Arbeidsgiver er normalt behandlingsansvarlig — også når den ansatte handler i strid med instruks.

GDPR artikkel 4 nr. 7 definerer behandlingsansvarlig som den som bestemmer formålet med og midlene for behandlingen. Når personopplysningene stammer fra arbeidsoppgaver (kunder, elever, pasienter, jobbsøkere), er formål og midler fastsatt av arbeidsgiver.

GDPR artikkel 29 fastslår at ansatte kun skal behandle personopplysninger etter instruks fra behandlingsansvarlig. En ansatt som bryter instruksen handler i strid med artikkel 29 — men dette fritar ikke arbeidsgiver fra ansvaret overfor de registrerte.

Det finnes et snevert unntak: Dersom den ansatte bruker opplysningene til rent private formål helt utenfor arbeidsforholdet, kan den ansatte selv anses som behandlingsansvarlig. Men i praksis er dette sjelden tilfellet når jobbdata er involvert.

Konsekvensen er klar: Arbeidsgiver har ansvar for å ha gjennomført tilstrekkelige organisatoriske tiltak — retningslinjer, opplæring, tekniske sperrer — for å forhindre uautorisert bruk. Manglende tiltak betyr at arbeidsgiver ikke har oppfylt GDPR artikkel 24 og 32.

Kan arbeidsgiver kreve at ansatte rapporterer privat KI-bruk?

Ja, innenfor styringsrettens ramme — men med to viktige nyanser.

Et generelt spørsmål som «bruker du KI-verktøy i jobben?» er et lavt inngrep og vil normalt tilfredsstille saklighetskravet i arbeidsmiljøloven § 9-1.

Et spesifikt spørsmål som «har du delt personopplysninger med en ekstern AI-tjeneste?» er mer inngripende og krever sterkere begrunnelse. Her kommer forholdsmessighetsvurderingen inn — arbeidsgiver må dokumentere hvorfor det spesifikke spørsmålet er nødvendig, og bør drøfte det med tillitsvalgte.

Selve rapporteringskravet er også et kontrolltiltak etter § 9-1 og medfører behandling av opplysninger om ansattes bruksmønster, som må ha rettslig grunnlag og ivareta dataminimering.

Hva bør virksomheten gjøre?

  1. Lag interne retningslinjer for bruk av KI på arbeidsplassen. Spesifiser hvilke verktøy som er godkjent, hva som ikke er tillatt, og hva konsekvensene er ved brudd.

  2. Drøft med tillitsvalgte før retningslinjene innføres, i tråd med arbeidsmiljøloven § 9-2.

  3. Kartlegg eksisterende KI-bruk — både godkjente systemer og shadow AI. Du kan ikke lage retningslinjer for noe du ikke vet om.

  4. Gjennomfør opplæring. KI-forordningen artikkel 4 krever at organisasjoner sørger for tilstrekkelig KI-kompetanse hos personell som driver med KI-systemer. Vanebo (Lov & Data 2025 nr. 2 s. 22–25) bekrefter at denne plikten gjelder uavhengig av risikonivå og er en løpende forpliktelse.

  5. Etabler avvikshåndtering. Hvis en ansatt allerede har delt personopplysninger med en ekstern KI-tjeneste, kan det utløse meldeplikt til Datatilsynet innen 72 timer (se egen artikkel om shadow AI og meldeplikt).

Rettskilder brukt i denne artikkelen

  • Arbeidsmiljøloven § 9-1 (vilkår for kontrolltiltak)
  • Arbeidsmiljøloven § 9-2 (drøfting med tillitsvalgte)
  • HR-2000-46-B / Rt. 2000 s. 1602 (Nøkk-dommen — styringsrettens rekkevidde)
  • GDPR artikkel 4 nr. 7 (behandlingsansvarlig)
  • GDPR artikkel 24, 25 og 32 (behandlingsansvarliges plikter, innebygd personvern, sikkerhet)
  • GDPR artikkel 29 (behandling etter instruks)
  • Ot.prp. nr. 49 (2004–2005) kap. 9 (kontrolltiltak)
  • Karnov lovkommentar note 1 og 7 til aml. § 9-1
  • Vanebo, Ove André: «KI-forordningens krav om å sikre kompetanse innenfor kunstig intelligens», Lov & Data 2025 nr. 2 s. 22–25 (LoD-2025-162-22)
  • Innføring og oppgavesamling i personvernrett kap. 2.3 og 10.2

Kilder: EU AI Act (EUR-Lex 2024/1689) · HK-dir Rapport nr. 04/2026 (CC-BY 4.0) · Regjeringen.no · Nkom.no