Innholdsfortegnelse

Artikkel

Kan IT rulle ut Copilot uten risikovurdering?

Nei. Ibruktagelse av et system som behandler personopplysninger uten forutgående risikovurdering er i seg selv et brudd på GDPR. Personvernnemnda har ilagt gebyrer for akkurat dette. Her er reglene.

Sist oppdatert · 4 min lesetid

Kan IT rulle ut Copilot uten risikovurdering?

Kort svar: Nei. GDPR artikkel 24 og 25 krever at personvernhensyn vurderes før et system tas i bruk — ikke etterpå. Manglende risikovurdering er et selvstendig brudd, uavhengig av om det oppstår en konkret hendelse. Personvernnemnda har allerede ilagt gebyrer for dette.

Hva sier GDPR?

Tre bestemmelser gjør risikovurdering obligatorisk:

Artikkel 24 pålegger behandlingsansvarlig å gjennomføre «egnede tekniske og organisatoriske tiltak» tilpasset risikoen. Karnov lovkommentar note 1 til artikkel 35 presiserer at «en grunnleggende risikovurdering må skje også for behandlinger som ikke har en slik høy risiko» som utløser DPIA. Altså: en grunnleggende risikovurdering er alltid nødvendig for å avgjøre om DPIA kreves.

Artikkel 25 krever handlinger «på tidspunktet for fastsettelse av midlene som skal brukes i forbindelse med behandlingen». Karnov note 2 forklarer at dette betyr at bestemmelsen «har stor betydning for utvikling av nye tjenester og produkter, særlig der disse er basert på IT-systemer». Personvernhensyn skal bygges inn når systemet anskaffes eller konfigureres — ikke først når det er i drift.

Artikkel 35 nr. 1 krever DPIA «før behandlingen» dersom den sannsynligvis medfører høy risiko. Karnov note 2: «Personvernkonsekvensvurderingen skal gjennomføres før den aktuelle behandlingen starter.» Ibruktagelse uten DPIA når vilkårene er oppfylt er et selvstendig brudd.

Hva sier Personvernnemnda?

Presedens er klar:

PVN-2021-16 (Sykehuset Østfold): 500.000 kroner i gebyr for manglende tilgangskontroll og logging ved lagring av pasientdata. Manglende organisatoriske tiltak var i seg selv et brudd på artikkel 32 — det var ikke nødvendig å påvise en konkret skadehendelse.

PVN-2024-17 (NAV): Datatilsynet ga pålegg og gebyr for brudd på artikkel 24 og 32. Nemnda bekreftet at manglende sikkerhetstiltak er et selvstendig brudd.

Fellesnevneren: Det er ikke bare uønskede hendelser som straffes. Manglende forberedelse straffes.

Hvem er ansvarlig — IT eller organisasjonen?

Organisasjonen som juridisk person. Ikke IT-avdelingen, ikke den enkelte prosjektleder.

Innføring og oppgavesamling i personvernrett kapittel 2.3 bekrefter: «Det vanligste i tilfeller der personopplysninger blir behandlet innad i en juridisk person, er at det er den juridiske personen som sådan som er ansvarlig.» En avdeling kan ikke fraskrive seg ansvar ved å si at en annen avdeling tok beslutningen.

GDPR artikkel 38 presiserer at personvernombudet skal «på riktig måte og i rett tid involveres i alle spørsmål som gjelder vern av personopplysninger». En utrulling uten at juridisk eller personvernombud er involvert er et tegn på at artikkel 25 og 38 ikke er etterlevd.

Hva med KI-forordningen?

Arnesen (Lov & Data 2024 nr. 2 s. 11) bekrefter at KI-forordningen gir idriftsettere selvstendig ansvar: Brukeren har «et selvstendig ansvar for å foreta en egen vurdering av grunnleggende rettigheter» og «både tilbyder og bruker kan bøtelegges, og holdes ansvarlig, for brudd på KI-forordningen».

Det betyr at utrulling av et KI-system uten vurdering eksponerer organisasjonen for sanksjoner fra begge regelverk — GDPR og KI-forordningen.

Er Copilot høyrisiko?

Det kommer an på bruksformålet. Copilot brukt til e-postskriving er sannsynligvis ikke høyrisiko etter KI-forordningens Annex III. Men Copilot brukt til:

  • vurdering av jobbsøkere (rekruttering)
  • evaluering av ansatte (HR-beslutninger)
  • tildeling av offentlige tjenester
  • analyse av saksbehandlingsdata

kan falle inn under høyrisiko-kategorier og utløse strengere krav, inkludert DPIA og eventuelt FRIA for offentlig sektor.

Uansett risikonivå: en grunnleggende risikovurdering er alltid nødvendig. Artikkel 24 og Karnov note 1 til artikkel 35 er tydelige på dette.

Hva bør IT gjøre før utrulling?

  1. Gjennomfør en grunnleggende risikovurdering — er dette personopplysninger? Hva er risikoen? Utløser dette DPIA-plikt?
  2. Involver juridisk og/eller personvernombud — GDPR artikkel 38 krever det.
  3. Gjennomfør DPIA dersom terskelen er nådd — dokumenter vurderingen.
  4. Sjekk om systemet er høyrisiko etter KI-forordningen — Annex III.
  5. Sett opp tilgangskontroll og logging fra dag én.
  6. Dokumenter alt — Datatilsynet og Personvernnemnda krever reelle, dokumenterte vurderinger.

Rettskilder brukt i denne artikkelen

  • GDPR artikkel 24 (behandlingsansvarliges ansvar)
  • GDPR artikkel 25 (innebygd personvern) + Karnov note 2
  • GDPR artikkel 35 (DPIA) + Karnov note 1 og 2
  • GDPR artikkel 38 (personvernombudets stilling)
  • Innføring og oppgavesamling i personvernrett kap. 2.3
  • PVN-2021-16 (Sykehuset Østfold — 500.000 kr)
  • PVN-2024-17 (NAV — brudd på art. 24/32)
  • Arnesen, Lars: Lov & Data 2024 nr. 2 s. 9–12 (LoD-2024-158-9)

Kilder: EU AI Act (EUR-Lex 2024/1689) · HK-dir Rapport nr. 04/2026 (CC-BY 4.0) · Regjeringen.no · Nkom.no