Vurderinger og medvirkning (oversikt)
Før en virksomhet tar i bruk KI i HR-prosesser, krever regelverket at risikoer vurderes og at ansatte og deres representanter involveres. Dette handler om to parallelle spor: formelle konsekvensvurderinger etter KI-forordningen og GDPR, og medvirkning etter norsk arbeidsmiljølov. Begge sporene må dokumenteres.
Denne oversiktssiden gir deg en innføring i hva som kreves, og lenker videre til detaljert veiledning.
To typer konsekvensvurdering
Virksomheter som bruker KI i HR kan møte krav om to ulike konsekvensvurderinger:
FRIA – vurdering av grunnleggende rettigheter
KI-forordningen krever at iverksettere av høyrisiko-KI-systemer gjennomfører en vurdering av konsekvenser for grunnleggende rettigheter (Fundamental Rights Impact Assessment, FRIA) før systemet tas i bruk.
FRIA vurderer:
- Hvilke grunnleggende rettigheter systemet kan påvirke (ikke-diskriminering, personvern, rettferdig rettsprosess).
- Hvilke grupper som berøres og hvordan.
- Hvilke tiltak virksomheten iverksetter for å redusere risikoen.
DPIA – vurdering av personvernkonsekvenser
Dersom KI-systemet behandler personopplysninger på en måte som medfører høy risiko for de registrertes rettigheter, krever GDPR en personvernkonsekvensvurdering (Data Protection Impact Assessment, DPIA).
DPIA vurderer:
- Hva slags personopplysninger som behandles.
- Hva som er det rettslige grunnlaget for behandlingen.
- Om behandlingen er nødvendig og forholdsmessig.
- Hvilke sikkerhetstiltak som er iverksatt.
Forskjellen mellom FRIA og DPIA
| FRIA | DPIA | |
|---|---|---|
| Hjemmel | KI-forordningen (art. 27) | GDPR (art. 35) |
| Fokus | Grunnleggende rettigheter bredt | Personvern spesifikt |
| Når | Før iverksetting av høyrisiko-KI | Når behandling medfører høy personvernrisiko |
| Hvem | Iverksetter (virksomheten) | Behandlingsansvarlig |
| Kan de slås sammen? | I prinsippet ja, men begge perspektiver må dekkes |
I praksis vil mange HR-KI-systemer utløse begge kravene. Det kan være hensiktsmessig å gjennomføre dem som ett prosjekt, men dokumentasjonen bør tydelig dekke begge perspektivene.
Medvirkning i norsk arbeidsliv
Norsk arbeidsrett gir ansatte og deres representanter sterkere medvirkningsrettigheter enn det KI-forordningen alene krever. Ved innføring av KI i HR gjelder:
Drøfting med tillitsvalgte
- Hjemmel: AML § 9-2 og eventuelle tariffavtaler.
- Innhold: Behov for systemet, praktiske konsekvenser, personvernaspekter.
- Tidspunkt: Før systemet innføres – ikke etter.
- Dokumentasjon: Drøftingsreferat som viser at tillitsvalgte har fått anledning til å uttale seg.
Verneombudets rolle
Verneombudet skal involveres når nye systemer kan påvirke arbeidsmiljøet. KI-basert overvåkning, scoring eller automatiserte beslutninger vil normalt falle inn under dette.
Informasjon til ansatte
Utover drøfting med tillitsvalgte har den enkelte ansatte rett til informasjon om:
- At KI brukes i prosesser som berører dem.
- Hva systemet gjør og hvilken rolle det spiller i beslutninger.
- Hvordan de kan be om forklaring eller klage.
Hvilken evidens trenger HR?
For å dokumentere at vurderinger og medvirkning er gjennomført, bør HR-avdelingen ha følgende på plass:
| Dokument | Formål |
|---|---|
| Klassifiseringsnotat | Viser at virksomheten har vurdert om systemet er høyrisiko |
| FRIA-rapport | Dokumenterer vurdering av grunnleggende rettigheter |
| DPIA-rapport | Dokumenterer vurdering av personvernkonsekvenser |
| Drøftingsreferat | Viser at tillitsvalgte er involvert |
| Informasjonstekst til ansatte | Viser at informasjonsplikten er oppfylt |
| Tilsynsrutine | Viser at menneskelig kontroll er etablert |
Disse dokumentene trenger ikke være lange – men de må eksistere, være datert og vise at noen faktisk har gjort vurderingen.
Når skal vurderingene gjennomføres?
| Situasjon | Handling |
|---|---|
| Nytt KI-system innføres | Full vurdering (FRIA, eventuelt DPIA) og drøfting før iverksetting |
| Eksisterende system oppdateres vesentlig | Ny vurdering av endrede risikoer |
| Bruksområdet endres | Ny vurdering for det nye bruksområdet |
| Leverandør endrer funksjonalitet | Vurder om endringen påvirker risikoprofilen |
| Regelmessig gjennomgang | Minst årlig gjennomgang av eksisterende vurderinger |
Vanlige utfordringer
- Vurdering etter at systemet er i bruk. Mange virksomheter gjennomfører konsekvensvurdering først når noen spør – da er det for sent. Vurderingen skal gjøres før iverksetting.
- Drøfting som formalitet. Tillitsvalgte involveres, men så sent i prosessen at de ikke har reell innflytelse. Drøfting skal være reell, ikke proforma.
- FRIA og DPIA blandes. Virksomheten gjennomfører én vurdering, men dekker ikke begge perspektivene. Sørg for at både rettighets- og personvernperspektivet er ivaretatt.
- Manglende dokumentasjon. Vurderingen er gjort muntlig, men aldri skrevet ned. Uten dokumentasjon kan du ikke vise at kravet er oppfylt.
- Ingen oppfølging. Vurderingen gjennomføres ved innføring, men oppdateres aldri. Risikoer kan endre seg over tid.
Kom i gang
- Kartlegg: Finn ut hvilke KI-systemer i HR som krever vurdering.
- Klassifiser: Bestem om systemet er høyrisiko etter KI-forordningen.
- Gjennomfør FRIA: Vurder konsekvenser for grunnleggende rettigheter.
- Vurder DPIA: Vurder om personvernkonsekvensvurdering er nødvendig, og gjennomfør den i så fall.
- Drøft: Involver tillitsvalgte og verneombud.
- Dokumenter: Sørg for at alle vurderinger og referater er skriftlige og tilgjengelige.
- Planlegg revisjon: Sett dato for neste gjennomgang.
Videre lesning
- KI i HR (oversikt)
- AI risiko- og konsekvensvurdering i HR (og forskjellen fra DPIA)
- Hvilken evidens må HR ha klar før dere tar i bruk KI?
- Tillitsvalgte, verneombud og KI: hva bør du kunne vise fram?
- Hendelser og klager i HR-AI
Sist oppdatert
2026-02-02