GDPR og AI-chatboter — hva må norske bedrifter vite?

Datatilsynet har fått økt fokus på AI siden 2024, og en feilkonfigurert chatbot er en av de enkleste måtene å havne i unaturlig overskrift på. Her er det du må ha kontroll på — uten juridisk sjargong.

Hva er personopplysninger i en chatbot-sammenheng?

GDPR gjelder så snart en chatbot kan kobles til en identifisert eller identifiserbar person. I praksis betyr dette at de aller fleste chatboter behandler personopplysninger, fordi:

• Brukere oppgir navn, e-post eller telefon i samtalen
• Spørsmålene kan inneholde sensitive opplysninger (helse, økonomi, ansattforhold)
• Chat-loggen lagres med IP-adresse og tidsstempel
• Cookien som identifiserer samtalen er i seg selv en personopplysning under EU-domstolens praksis

Du må altså behandle chatboten som ethvert annet system som lagrer kundedata: med rettslig grunnlag, dokumentert behandling og tekniske tiltak.

Når trenger du databehandleravtale (DPA)?

Hver gang en tredjepart (chatbot-leverandøren, OpenAI, Anthropic, hostingpartner) behandler personopplysninger på vegne av deg, er du behandlingsansvarlig og de er databehandler. Da krever GDPR art. 28 en skriftlig databehandleravtale.

Konkret: hvis chatboten din ringer mot OpenAIs API for å generere svar, sender du brukerens spørsmål til OpenAI. Da må du:

1. Ha DPA med chatbot-leverandøren
2. Sjekke at chatbot-leverandøren har gyldig DPA med OpenAI (standardavtalen er offentlig på openai.com/policies/data-processing-addendum)
3. Sjekke at sub-prosessor-listen er oppdatert og varslet ved endringer

Hvis leverandøren ikke kan vise frem DPA og sub-prosessor-liste innen 24 timer på forespørsel, har de ikke ordnet rommet sitt. Det er rettferdig grunn til ikke å signere.

Hvor lagres dataene — og hvorfor det er viktig

GDPR forbyr ikke overføring av personopplysninger ut av EU/EØS, men krever at mottakerlandet har tilstrekkelig beskyttelsesnivå eller at det finnes egnede garantier (typisk Standard Contractual Clauses + supplerende tiltak).

For chatboter snakker vi om to typer datalagring:

1. Hvor er chatloggen lagret? Database, backup-løsning, analyseplattform.
2. Hvor blir spørsmålet prosessert? Selve AI-modellen som genererer svar.

Idéelt sett bør begge være innenfor EU/EØS. Mulige oppsett i markedet inkluderer egen maskinvare i Norge, eller europeiske skyleverandører som Hetzner (Tyskland), OVHcloud (Frankrike) og Microsoft Azure (Norge). Chatbot Norge kjører selv på egen infrastruktur i Norge. For AI-genereringen er valget i praksis:

• Azure OpenAI Service (Sweden Central, France Central, Germany West Central): data forblir i EU og brukes ikke til trening. Dette er det vanligste alternativet for europeiske aktører.
• OpenAI direkte (USA): krever DPA og SCC, og er teknisk sett en overføring til USA.
• Mistral (Paris): EU-basert alternativ. God ytelse på engelsk, varierende på norsk.
• Selvhostede modeller (Llama 3, Qwen): full kontroll, men krever GPU-infrastruktur.

Schrems II og den amerikanske utfordringen

Schrems II-dommen fra 2020 slår fast at amerikansk lovgivning — saærlig FISA Section 702 og Executive Order 12333 — kan gi amerikanske myndigheter tilgang til data som behandles av amerikanske selskaper, også når dataene fysisk er i Europa.

Det betyr at «data lagret i EU hos amerikansk leverandør» ikke er det samme som «data lagret i EU hos europeisk leverandør». Trans-Atlantic Data Privacy Framework (DPF), vedtatt sommeren 2023, gjør overføring lovlig hvis leverandøren er sertifisert. Personvernorganisasjonen NOYB (Max Schrems’ organisasjon) har varslet at de vil utfordre rammeverket rettslig, og enkelte juridiske vurderinger fra europeiske personvernmyndigheter peker på at situasjonen fortsatt ikke er endelig avklart. Følg med på oppdateringer fra Datatilsynet.

Praktisk betydning for chatbot-valget ditt:

• Behandler du vanlige kundeforespørsler («når kommer ordren min?») er risikoen lav, og DPF-sertifiserte amerikanske leverandører er akseptabelt for de fleste.
• Behandler du sensitive opplysninger (helse, fagforening, religion, seksuell legning, biometrisk) eller jobber innen offentlig sektor — velg europeisk leverandør med data fysisk i EU og ingen amerikansk eierskapsstruktur.

Hva med «bare bruk ChatGPT»?

Mange bedrifter har ansatte som bruker ChatGPT til kundeservice-utkast eller direkte i samtaler. Dette skaper noen konkrete risikoer:

Forbruker-versjonen (chat.openai.com gratis/Plus)

Standardinnstilling lagrer samtaler og bruker dem til trening. Det betyr at hvis en ansatt limer inn en kundes melding, sendes innholdet potensielt inn i fremtidige modellversjoner. For nesten alle GDPR-relevante data er dette ulovlig uten samtykke fra den registrerte. Du kan slå av treningen, men det er ikke standardvalget.

ChatGPT Team / Enterprise

OpenAI lover at data ikke brukes til trening, og DPA/SCC er på plass. Dette er teknisk gyldig under GDPR — men du har fortsatt overføring til USA og avhengighet av DPF-sertifiseringen.

Embedded chatbot på nettsiden

En chatbot integrert på din side, som henter sin kunnskap fra din dokumentasjon, og svarer kunder i sann tid — her har du som behandlingsansvarlig kontrollen. Om motoren bak er ChatGPT, Claude eller Mistral handler om hvilken DPA-kjede du etablerer.

Må vi gjennomføre DPIA (personvernkonsekvensvurdering)?

Datatilsynet anbefaler DPIA når minst to av følgende kriterier er oppfylt: bruk av ny teknologi, automatiserte beslutninger med rettsvirkning, behandling av sensitive opplysninger, behandling i stort omfang, sammenstilling av datasett, behandling av data om sårbare grupper, eller systematisk overvåking.

For en standard kundeservice-chatbot på en nettbutikk eller håndverksbedrift er svaret som regel nei, fordi:

• Den fatter ingen rettslig bindende beslutninger (sender ikke faktura, avslår ikke søknader)
• Den behandler ikke sensitive kategorier i seg selv
• Volumet er typisk under terskelen for «stort omfang»

Hvis chatboten tar avgjørelser om priser, kreditt, ansøkninger, helsebehandling eller søknader, er svaret derimot ja — og DPIA må gjennomføres før lansering.

Informasjonsplikt og samtykke

Tre konkrete krav du må oppfylle:

1. Synlig informasjon om at brukeren snakker med en AI, ikke et menneske. Dette kommer som krav under EU AI Act fra august 2026 (det er allerede god praksis).
2. Lenke til personvernerklæringen i selve chatboten. Må være tilgjengelig før brukeren skriver noe.
3. Rettslig grunnlag. For kundeservice er det normalt «berettiget interesse» (art. 6.1.f) eller «avtaleoppfyllelse» (art. 6.1.b). For markedsføring trenger du samtykke.

Personvernerklæringen må nærmest beskrive: hva samles inn, hvor lenge lagres det, hvem mottar det (sub-prosessorer), hva er formålet, og hvordan registrerer utøver sine rettigheter (innsyn, sletting, dataportabilitet).

Sjekkliste før lansering

• Signert DPA med chatbot-leverandøren
• Liste over sub-prosessorer (AI-modell-leverandør, hosting, analyse)
• Vurdert hvor data lagres og om Schrems II-tiltak er nødvendig
• DPIA gjennomført (eller dokumentert hvorfor det ikke er nødvendig)
• Personvernerklæring oppdatert med chatbot-bruk
• Synlig «du chatter med en AI-assistent»-melding før samtalen starter
• Lenke til personvern tilgjengelig i widgeten
• Avklart sletteperiode for chatlogger (vi anbefaler 30–90 dager med mindre du har konkret behov for lenger)
• Ansatte er instruert i hvilke data de ikke skal lime inn i administrasjonspanelet
• Beredskapsplan for innsyns- og sletteforespørsler — hvem håndterer dem og innen hvilken frist (1 måned)

Oppsummering

GDPR forbyr ikke AI-chatboter. GDPR krever at du har orden i papirene, vet hvor dataene går, og kan informere brukerne om det. Det er fullt mulig — men det krever at leverandøren din spiller på lag.

Vårt enkleste råd: velg en aktør som uoppfordret publiserer DPA, sub-prosessor-liste og hvor data lagres. Hvis du må mase for å få det, er det et signal.