KI, GDPR og arbeidsmiljøloven: overlapp
Når norske virksomheter tar i bruk KI-systemer, møter de krav fra flere regelverk samtidig. EU KI-forordningen kommer i tillegg til GDPR og arbeidsmiljøloven, og disse regelverkene har delvis overlappende dokumentasjonskrav.
Å forstå hvor de overlapper kan hjelpe deg med å unngå både hull og unødvendig dobbeltarbeid.
Tre regelverk, ulike perspektiver
KI-forordningen
Fokuserer på risikoen KI-systemet utgjør for helse, sikkerhet og grunnleggende rettigheter. Kravene varierer med risikonivå og omfatter teknisk dokumentasjon, risikovurdering, menneskelig tilsyn og transparens.
GDPR
Fokuserer på beskyttelse av personopplysninger. Kravene omfatter behandlingsgrunnlag, informasjonsplikt, rettigheter for den registrerte, og i visse tilfeller personvernkonsekvensvurdering (DPIA).
Arbeidsmiljøloven
Fokuserer på arbeidsmiljø og ansattes rettigheter. Kravene omfatter drøfting med tillitsvalgte, saklig grunn for kontrolltiltak, informasjon til ansatte og forholdsmessighet.
Hvor overlapper kravene?
Informasjonsplikt
Alle tre regelverk krever at berørte personer informeres:
- KI-forordningen: Personer skal vite at de interagerer med eller vurderes av KI
- GDPR: Den registrerte skal informeres om behandling av personopplysninger
- Arbeidsmiljøloven: Ansatte skal informeres om kontrolltiltak
I praksis kan mye av dette dekkes i samme informasjon, men vinklingen er ulik.
Risikovurdering
- KI-forordningen: Krever klassifisering og risikovurdering av systemets påvirkning
- GDPR: Krever DPIA ved høy risiko for personvernet
- Arbeidsmiljøloven: Krever vurdering av om kontrolltiltak er saklig og forholdsmessig
Disse vurderingene har ulike fokusområder, men kan ofte gjøres i sammenheng.
Dokumentasjon av formål
Alle tre regelverk krever at du kan begrunne hvorfor du bruker systemet:
- KI-forordningen: Bruk skal være i tråd med tiltenkt formål
- GDPR: Behandling krever lovlig grunnlag og definert formål
- Arbeidsmiljøloven: Kontrolltiltak krever saklig grunn
Menneskelig kontroll
- KI-forordningen: Høyrisikosystemer krever menneskelig tilsyn
- GDPR: Artikkel 22 gir rett til menneskelig overprøving ved automatiserte beslutninger
- Arbeidsmiljøloven: Beslutninger om ansatte bør ikke være fullt automatiserte
Særlig relevant for HR
I HR-sammenheng er overlappet størst fordi alle tre regelverk er direkte relevante:
- KI-verktøy i rekruttering kan være høyrisiko etter KI-forordningen
- Behandling av personopplysninger om kandidater og ansatte reguleres av GDPR
- Overvåkning og vurdering av ansatte reguleres av arbeidsmiljøloven
Dette betyr at samme system kan utløse krav fra alle tre regelverk.
Hvordan unngå hull og dobbeltarbeid
Samkjør vurderingene
Når du vurderer et nytt KI-system, gjør vurderingene for alle tre regelverk samtidig. Bruk en felles mal som dekker alle perspektiver.
Én dokumentasjonspakke
Opprett én systemfil som inneholder all relevant dokumentasjon. Organiser den slik at du enkelt kan trekke ut det som trengs for ulike tilsyn.
Involver riktige personer
Sørg for at HR, IT, juridisk og personvernombud samarbeider om vurderingene. Ingen av dem har alene kompetanse på alle tre regelverk.
Dokumenter sammenhengen
Vis eksplisitt i dokumentasjonen hvordan de ulike kravene er ivaretatt. Dette gjør det enklere ved tilsyn å vise at du har tenkt helhetlig.
Vanlige feil
- Å tro at DPIA dekker KI-forordningens krav til risikovurdering
- Å glemme arbeidsmiljølovens krav om drøfting med tillitsvalgte
- Å lage separate, ufullstendige dokumenter for hvert regelverk
- Å anta at leverandørens dokumentasjon dekker alt
Videre lesning
- EU KI-forordningen
- Hva betyr den for norske virksomheter
- Tidslinje og hva du må dokumentere
- Risikonivåer: enkel oversikt
- Hvem er deployer, og hvorfor det betyr noe
- Gjelder den hvis du bare kjøper programvare?
Sist oppdatert
2026-02-02