Risiko- og konsekvensvurdering vs. DPIA

Når HR tar i bruk KI-systemer, møter dere krav om vurderinger fra flere regelverk. GDPR krever personvernkonsekvensvurdering (DPIA) i visse tilfeller, mens KI-forordningen krever risikovurdering og i noen tilfeller formell konsekvensvurdering. Disse overlapper delvis, men har ulike fokusområder.

To ulike vurderinger

DPIA etter GDPR

En Data Protection Impact Assessment (DPIA) eller personvernkonsekvensvurdering fokuserer på risikoen for de registrertes personvern. Den vurderer:

• Hvilke personopplysninger som behandles
• Behandlingens nødvendighet og forholdsmessighet
• Risiko for de registrertes rettigheter og friheter
• Tiltak for å redusere risikoen

DPIA er påkrevd når behandlingen sannsynligvis vil medføre høy risiko for personvernet, for eksempel ved systematisk overvåkning av ansatte eller automatiserte beslutninger med vesentlig virkning.

AI-risikovurdering etter KI-forordningen

KI-forordningens risikovurdering fokuserer på systemets påvirkning på helse, sikkerhet og grunnleggende rettigheter i videre forstand. Den vurderer:

• Systemets risikoklasse basert på bruksområde
• Om systemet oppfyller kravene for sin klasse
• Risiko for diskriminering, feilbeslutninger og manglende transparens
• Tiltak for å sikre menneskelig tilsyn

For høyrisikosystemer i HR kan det i tillegg kreves en formell konsekvensvurdering (Fundamental Rights Impact Assessment).

Hvor overlapper de?

Automatiserte beslutninger

Begge regelverk er opptatt av automatiserte beslutninger som påvirker enkeltpersoner. GDPR fokuserer på personvernet, mens KI-forordningen fokuserer bredere på rettigheter.

Diskriminering

Risiko for diskriminering er relevant for begge. GDPR beskytter mot ulovlig forskjellsbehandling i behandling av personopplysninger. KI-forordningen krever at systemer ikke diskriminerer.

Informasjonsplikt

Begge krever at berørte personer informeres. GDPR stiller krav om informasjon om behandling av personopplysninger. KI-forordningen krever transparens om at KI brukes.

Menneskelig kontroll

GDPR artikkel 22 gir rett til menneskelig overprøving ved automatiserte beslutninger. KI-forordningen krever menneskelig tilsyn for høyrisikosystemer.

Hvor skiller de seg?

Fokusområde

DPIA ser på personvern og datasikkerhet. AI-risikovurdering ser på bredere samfunnsmessig risiko, inkludert sikkerhet, helse og demokratiske verdier.

Utløsende kriterier

DPIA utløses av høy personvernrisiko. AI-risikovurdering utløses av systemets klassifisering etter KI-forordningen.

Ansvarlig regelverk

DPIA reguleres av GDPR med Datatilsynet som tilsynsmyndighet. AI-risikovurdering reguleres av KI-forordningen med en egen tilsynsmyndighet.

Når trenger HR hva?

Rekrutteringssystemer med KI

Typisk behov:

• DPIA: Ja, fordi det behandles personopplysninger om kandidater og det kan fattes automatiserte beslutninger
• AI-risikovurdering: Ja, fordi rekruttering er listet som høyrisiko i Annex III

Ytelsesstyringssystemer med KI

Typisk behov:

• DPIA: Ja, ved systematisk vurdering av ansattes ytelse
• AI-risikovurdering: Ja, fordi overvåkning og vurdering av ansatte er høyrisiko

Chatboter for intern HR-støtte

Typisk behov:

• DPIA: Vurder om det behandles personopplysninger utover det nødvendige
• AI-risikovurdering: Trolig lav eller minimal risiko, men klassifiser for å være sikker

Én samlet dokumentasjonslinje

I stedet for å lage helt separate dokumenter for DPIA og AI-risikovurdering, kan dere strukturere dokumentasjonen slik at den dekker begge.

Felles systembeskrivelse

Start med én beskrivelse av systemet som dekker:

• Hva systemet gjør
• Hvilke data det bruker
• Hvem som berøres
• Hva output brukes til

Kombinert risikovurdering

Lag en risikovurdering som har seksjoner for:

• Personvernrisiko (DPIA-fokus)
• Risiko for grunnleggende rettigheter (AI-fokus)
• Risiko for diskriminering (begge)
• Risiko ved automatiserte beslutninger (begge)

Samlet tiltaksliste

Dokumenter tiltak som adresserer begge regelverk:

• Tilgangskontroll og datasikkerhet (primært DPIA)
• Menneskelig tilsyn og overprøving (begge)
• Informasjon til berørte (begge)
• Testing for bias (primært AI)

Felles beslutningslogg

Dokumenter beslutninger om systemet i én logg:

• Dato og ansvarlig person
• Hvilken vurdering som ble gjort
• Konklusjon og begrunnelse
• Eventuelle vilkår eller tiltak

Praktisk tilnærming

Start med systemkartlegging

Før du vurderer hvert enkelt system, kartlegg alle KI-systemer HR bruker. For hvert system noter:

• Navn og leverandør
• Formål
• Hvilke personopplysninger som behandles
• Om det fattes automatiserte beslutninger

Vurder begge regelverk samtidig

Når du skal vurdere et system, ta med begge perspektiver fra starten. Det er mer effektivt enn å gjøre to separate vurderinger.

Bruk én dokumentmal

Lag en mal som har felter for begge regelverk. Da sikrer du at begge perspektiver vurderes for hvert system.

Oppdater samlet

Når systemet endres eller bruken endres, oppdater dokumentasjonen for begge regelverk samtidig.

Videre lesning

• KI i HR
• Vurderinger og medvirkning
• Hvilken evidens må HR ha klar
• Tillitsvalgte, verneombud og KI: hva vise
• Rekruttering
• Overvåkning og ytelse

Sist oppdatert

2026-02-02