Shadow AI: når må hendelsen meldes til Datatilsynet?

Kort svar: Ja, uautorisert deling av personopplysninger med en ekstern KI-tjeneste kan utløse meldeplikt til Datatilsynet innen 72 timer. Arbeidsgiver er normalt behandlingsansvarlig — også når den ansatte handler i strid med instruks. Personvernnemnda har allerede ilagt gebyrer for forsinket melding.

Hva er shadow AI?

Shadow AI er bruk av KI-verktøy i virksomheten som skjer uten ledelsens kjennskap, godkjenning eller kontroll. Det vanligste eksempelet er en ansatt som bruker privat ChatGPT, Gemini eller Copilot med personlig konto til å behandle jobbdata — jobbsøknader, klientinformasjon, elevdata, pasientnotater, interne dokumenter.

Det som gjør shadow AI til et juridisk problem er ikke KI-bruken i seg selv, men at personopplysninger overføres til en tredjepartstjeneste utenfor arbeidsgivers kontroll og uten databehandleravtale.

Er dette en personvernhendelse?

Ja, i de fleste tilfeller. GDPR artikkel 4 nr. 12 definerer brudd på personopplysningssikkerheten som et sikkerhetsbrudd som fører til «utilsiktet eller ulovlig [...] spredning av eller tilgang til personopplysninger».

Når en ansatt limer inn personopplysninger i en ekstern KI-tjeneste uten arbeidsgivers instruks, skjer det en ulovlig spredning — opplysningene gjøres tilgjengelig for en tredjepartsleverandør uten rettslig grunnlag og uten databehandleravtale. Det er et konfidensialitetsbrudd etter GDPR artikkel 32.

Hvem har meldeplikt?

Arbeidsgiver som behandlingsansvarlig har meldeplikten. Ikke den ansatte.

GDPR artikkel 33 nr. 1: Den behandlingsansvarlige skal «uten ugrunnet opphold og, når det er mulig, senest 72 timer» etter å ha fått kjennskap til bruddet, melde det til tilsynsmyndigheten.

Arbeidsgiver er behandlingsansvarlig for de aktuelle personopplysningene (kunder, elever, pasienter, jobbsøkere) fordi formål og midler for behandlingen er fastsatt av arbeidsgiver — selv når den ansatte bryter instruksen. GDPR artikkel 4 nr. 7 og artikkel 29 er tydelige her, og vi har behandlet dette grundig i artikkelen om privat ChatGPT på jobb.

Når er meldeplikt utløst — og når er det unntak?

Meldeplikten gjelder med mindre bruddet «sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter». Det er altså en risikovurdering som avgjør.

Vurderingen tar hensyn til:

Opplysningstype: Vanlige kontaktopplysninger vs. helseopplysninger, straffedom, økonomiske forhold
Omfang: Én jobbsøknad vs. en hel elevdatabase
Antall berørte: Én person vs. hundrevis
Sannsynlighet og konsekvens: Risiko for identitetstyveri, diskriminering, økonomisk tap

I praksis: Hvis en ansatt limer inn én e-post med en kundes navn og telefonnummer, er risikoen lav og meldeplikt er kanskje ikke utløst. Hvis en ansatt limer inn 50 jobbsøknader med personnummer og helseopplysninger, er risikoen høy og meldeplikten klar.

Ved tvil: Meld. Det er bedre å melde unødvendig enn å la være og få gebyr for forsinket melding.

Hva sier Personvernnemnda?

Nemndspraksis er tydelig:

PVN-2025-30: Et selskap fikk overtredelsesgebyr for manglende overholdelse av 72-timers fristen. Nemnda fant at det var en «vesentlig oversittelse av meldefristen» og at det var «klart uaktsomt» å ikke melde innen fristen.

PVN-2021-16 (Sykehuset Østfold): Sykehuset fikk gebyr på 500.000 kroner for manglende tilgangskontroll og logging. Avviket omfattet uttrekk og lagring av pasientdata over flere år. Manglende organisatoriske tiltak var i seg selv et brudd på artikkel 32.

PVN-2024-17 (NAV): Datatilsynet ga pålegg og gebyr for brudd på artikkel 24 og 32. Nemnda bekreftet at manglende sikkerhetstiltak er et selvstendig brudd.

PVN-2023-9 (Karmøy kommune): 300.000 kroner i gebyr for manglende tilgangskontroll. Relevant analogi for manglende kontroll over KI-bruk.

Fellesnevneren: Manglende organisatoriske tiltak — retningslinjer, opplæring, tilgangskontroll — er i seg selv et brudd på GDPR artikkel 32. Du trenger ikke vente på at en konkret hendelse inntreffer. Fravær av tiltak er nok.

Hva skal meldingen til Datatilsynet inneholde?

GDPR artikkel 33 nr. 3 angir minstekrav:

Beskrivelse av bruddet, inkludert kategorier og antall berørte registrerte
Navn og kontaktopplysninger til personvernombud eller annet kontaktpunkt
Beskrivelse av sannsynlige konsekvenser
Beskrivelse av tiltak som er truffet eller foreslås truffet

Dersom ikke all informasjon er tilgjengelig umiddelbart, kan informasjon gis trinnvis.

Må de registrerte også varsles?

Hvis bruddet sannsynligvis medfører høy risiko, skal også de registrerte (de personene opplysningene gjelder) underrettes uten ugrunnet opphold. GDPR artikkel 34 krever en «klar og tydelig beskrivelse» av bruddet og informasjon om kontaktpunkt, konsekvenser og tiltak.

Terskelen for å varsle registrerte er høyere enn for å melde til Datatilsynet. I praksis: Meld alltid til Datatilsynet først, og vurder deretter om de registrerte skal varsles.

Særlig ansvar for offentlig sektor

Kommuner og andre offentlige virksomheter har ekstra eksponering. Personopplysningsloven § 26 andre ledd fastslår at Datatilsynet kan ilegge offentlige myndigheter overtredelsesgebyr. PVN-2023-9 (Karmøy) og PVN-2021-16 (Sykehuset Østfold) viser at gebyrer rammer offentlige virksomheter direkte.

Hva bør virksomheten gjøre — før noe skjer?

Shadow AI-hendelser er lettere å forebygge enn å håndtere i etterkant. Det viktigste er å ha tiltak på plass før noe skjer:

Lag interne retningslinjer for bruk av KI. Spesifiser hva som er tillatt, hva som er forbudt, og hva konsekvensene er. Fravær av retningslinjer er i seg selv et artikkel 32-problem.
Kartlegg eksisterende KI-bruk. Du kan ikke lage retningslinjer for noe du ikke vet om. En kartlegging avdekker både godkjente systemer og shadow AI.
Gjennomfør opplæring. KI-forordningen artikkel 4 krever tilstrekkelig KI-kompetanse. Vanebo (Lov & Data 2025 nr. 2 s. 24) bekrefter at plikten gjelder uavhengig av risikonivå.
Etabler avvikshåndtering. Ha en mal klar for 72-timers melding. Når en hendelse oppdages, er det for sent å begynne å lage prosedyrer.
Definer rapporteringslinje. Ansatte må vite hvem de skal varsle internt når de oppdager at personopplysninger er delt med en ekstern tjeneste.
Dokumenter tiltakene. Datatilsynet og Personvernnemnda krever at tiltak er reelle og dokumenterte, ikke bare planlagt (PVN-2024-17).

Sammenhengen mellom kartlegging, retningslinjer og avvikshåndtering

Disse tre henger uløselig sammen:

Kartleggingen avdekker status quo — hvilke systemer brukes, av hvem, og er noe uautorisert?

Retningslinjene setter forventningene fremover — hva er tillatt, hva er forbudt, og hva forventes av ansatte?

Avvikshåndteringen sikrer at når noe likevel går galt, kan virksomheten reagere innenfor 72-timers fristen og dokumentere at den hadde egnede tiltak på plass.

Virksomheter som har alle tre på plass, står vesentlig sterkere — både overfor Datatilsynet og overfor de registrerte.

Rettskilder brukt i denne artikkelen

GDPR artikkel 4 nr. 7 (behandlingsansvarlig) og nr. 12 (brudd på personopplysningssikkerheten)
GDPR artikkel 24 (behandlingsansvarliges ansvar)
GDPR artikkel 29 (behandling etter instruks)
GDPR artikkel 32 (sikkerhet ved behandlingen)
GDPR artikkel 33 (melding til tilsynsmyndigheten — 72-timers frist)
GDPR artikkel 34 (underretning av den registrerte)
Personopplysningsloven § 26 (overtredelsesgebyr for offentlige myndigheter)
PVN-2025-30 (gebyr for forsinket melding — «klart uaktsomt»)
PVN-2021-16 (Sykehuset Østfold — manglende tilgangskontroll, 500.000 kr)
PVN-2024-17 (NAV — brudd på art. 24/32)
PVN-2023-9 (Karmøy kommune — 300.000 kr for manglende tilgangskontroll)
Karnov lovkommentar note 2–4 til GDPR art. 33
EDPB Guidelines 9/2022 on personal data breach notification
Vanebo, Ove André: Lov & Data 2025 nr. 2 s. 22–25 (LoD-2025-162-22)