KI-feller – tips om lovlig KI-bruk

KI er ikke lenger et fremtidsfenomen

Norske virksomheter og ansatte tar KI-løsninger i bruk for å styrke konkurransekraften og egen effektivitet. I iveren etter å lede an i KI-kappløpet er det lett å overse juridiske fallgruver som kan få alvorlige konsekvenser for virksomheten og i verste fall føre til store økonomiske tap.

Ledere, styremedlemmer og eiere må sikre verdi og beskytte virksomheten, og det må skje nå.

I en tredelt artikkelserie vil vi se på noen klassiske feil som ofte gjøres med tips til hvordan de kan unngås.

Felle: Feil bruk av KI kan bryte regler og andres rettigheter

Ansatte i privat og offentlig virksomhet tar i bruk KI på ulike måter. Vi har erfart at dette skjer på måter som gjør at forretningshemmeligheter og personopplysninger deles i strid med både lovregler og med bedriftens eller tredjeparts rettigheter.

Tips: KI-leverandører må bli kjent med ny KI lov kalt AI Act

Hver virksomhet må ha og følge rutiner som sikrer lovlig KI-bruk.

KI-leverandører har i tillegg til ekstra strenge krav til personvern og sikkerhet, også flere regler fra EU å forholde seg til. EUs forordning AI Act trådte i kraft i EU 1. august 2025, og det kommer stadig flere krav og dokumenter som aktører med virksomhet i EU må overholde.

Senere i 2025 vil flere deler av slik ny lov også tre i kraft Norge. Det betyr at norske KI-leverandører snart må påse at mange ekstra krav overholdes til den KI-løsning de tilbyr markedet.

Kravene er strengere avhengig av hva slags KI-løsning som virksomheten er ansvarlig for, for eksempel blir noen KI-systemer forbudte, mens KI-løsning kalt høyrisiko må oppfylle en rekke krav.

Felle: Bryter personvernregler – GDPR gjelder også for KI

Personvernregler som den generelle personvernforordningen kalt GDPR, gjelder i høyeste grad også for KI–løsninger. Bruk KI på en slik måte at din virksomhet ikke bryter slike personvernregler som kan føre til høye gebyrer og negative sensasjonsoppslag.

Vi har erfart flere ganger at leverandører bruker feil standardavtale, bl.a. er ikke den danske databehandleravtalemalen kalt Standard Contractual Clauses samtidig gyldig som overføringsgrunnlag til en leverandør i India eller annet usikkert tredjeland.

Tips til KI-løsning internt

Pass på å ha behandlingsgrunnlag dersom personopplysninger behandles. Ledelsen må informere de ansatte om hvilke KI-verktøy som kan brukes, og sørge for god opplæring i slike verktøy. 

Tips til egen løsning utad

Informer på egen hjemmeside og i avtaler at løsning til kunder oppfyller personvernkrav. Leverandører bør publisere egen databehandleravtale med informasjon om egen informasjonssikkerhet og potensielle underdatabehandlere – det kan være et konkurransefortrinn når kunder skal velge tjeneste.

Hvis din virksomhet også lager eller baserer sin løsning på andres KI-verktøy, bør en Data Protection Impact Assessment (DPIA) publiseres slik at kunder enklere kan vurdere personvernrisikoen for de registrerte.

Oppsummering - og neste del

Det er viktig at hver virksomhet sørger for å ta i bruk KI på en måte som er lovlig – dermed kan virksomheten bruke resultater fra KI fremover uten å risikere erstatningsansvar og negative sensasjonsoppslag.

I neste uke går vi i dybden på andre feller med tips til å sikre immaterielle rettigheter ved registrering og gode avtaler. Følg med på neste del!

Artikkelen ble først publisert i Finansavisen.