Martin KvitebergKviteberg AS
Alle innlegg
Tryggleik12. juni 20265 min lesing

AI og GDPR utan panikk

AI kan spare tid i kundeservice, marknadsføring og administrasjon. Men limer du inn kundedata i feil verktøy, kan ein liten snarveg bli eit stort tillitsproblem.

Mange norske verksemder står i same spagat no: Dei ser at AI kan hjelpe, men dei er usikre på kva som er lov. Det er forståeleg. GDPR er ikkje skrive for å vere koseleg lesnad ved kaffimaskina.

Den gode nyheita er at trygg bruk av AI ikkje treng starte med tjukke permar og dyre prosjekt. For dei fleste små og mellomstore verksemder handlar det først om nokre enkle vanar: hald personopplysningar ute av opne AI-verktøy, vel leverandørar med gode avtalar, styr kven som har tilgang, og ha ei kort intern køyreregel for kva som er greitt og ikkje.

Start med spørsmålet: Kva data brukar vi?

GDPR handlar ikkje om AI i seg sjølv. Det handlar om personopplysningar. Namn, e-post, telefonnummer, kundehistorikk, opptak, IP-adresser, helseinformasjon, personalsaker og fritekst der ein person kan kjennast att.

Det farlege med AI er at det er så lett å lime inn litt for mykje. Ein tilsett vil berre få hjelp til å skrive eit svar til ein kunde. Ein leiar vil oppsummere ein personalsak. Ein marknadsførar vil gjere eit webinar om til blogginnlegg. Alt dette kan vere nyttig, men dersom teksten inneheld personopplysningar, må de vite kvar data går, kor lenge dei blir lagra, og kva leverandøren kan bruke dei til.

Ein praktisk hovudregel er denne: Bruk offentlege, opne AI-verktøy som om du stod på eit ope kontorlandskap og las teksten høgt. Viss det ikkje passar der, passar det som regel ikkje i prompten heller.

Tre nivå for trygg bruk

Eg likar å dele AI-bruk inn i tre nivå. Det gjer det lettare å seie ja til det som er trygt, og nei til det som bør ventast med.

Låg risiko er arbeid utan personopplysningar. Til dømes å lage utkast til ei annonse, forenkle ein produkttekst, lage møtestruktur, skrive sjekklister eller få forslag til emneknaggar. Her kan AI brukast ganske fritt, så lenge menneske sjekkar fakta og tone.

Middels risiko er arbeid der personopplysningar kan dukke opp, men kan fjernast før bruk. Til dømes å gjere eit kundemøte om til ei generell oppsummering, lage blogg frå ein video, eller svare på vanlege kundespørsmål. Her bør de anonymisere først: ta vekk namn, e-postar, ordrenummer og andre kjenneteikn.

Høg risiko er område som rekruttering, personalsaker, helse, økonomiske vurderingar og automatiserte avgjerder som påverkar folk. Her bør de vere ekstra varsame. EU sitt AI-regelverk gjer at slike område får meir merksemd, og rekruttering er eit godt døme på bruk som krev klare kriterium, menneskeleg kontroll og dokumentasjon. I praksis: ikkje la AI sile kandidatar åleine.

Dette bør vere på plass før de køyrer

De treng ikkje eit stort AI-program for å kome i gang, men nokre grunnmurar bør vere på plass. Lag heller noko enkelt som faktisk blir brukt, enn eit perfekt dokument ingen les.

  • Ei kort AI-retningsline: kva verktøy er godkjende, kva data er forbode å lime inn, og kven spør ein ved tvil.
  • Databehandlaravtale med leverandørar som behandlar personopplysningar på vegner av dykk.
  • Innstillingar som skrur av bruk av data til trening der det er mogleg.
  • Tilgangsstyring: berre dei som treng verktøyet, får tilgang.
  • Rutine for sletting, logging og kontroll av kva som blir delt.

Passord og tilgang er ikkje kjedeleg IT-pirk her. Det er GDPR i arbeidsklede. Viss alle deler same innlogging til eit AI-verktøy, har de dårleg kontroll. Bruk eigne brukarar, sterke passord, tofaktor der det finst, og fjern tilgang når folk sluttar eller byter rolle.

Typiske brukstilfelle – og korleis gjere dei tryggare

Kundeservice er eit naturleg område for AI. AI kan føreslå svar, sortere førespurnader og oppsummere lange trådar. Men kundedata er personopplysningar. Bruk helst eit verktøy som er sett opp for verksemdsbruk, med avtale, tilgangsstyring og klare innstillingar for lagring. Skal de bruke tale-AI eller opptak frå telefon, må de vere endå meir nøye: opptak og transkripsjonar kan innehalde mykje sensitivt, sjølv når saka verkar vanleg.

Marknadsføring er ofte tryggare, særleg når de jobbar med eigne produkt, tenester og generelle tekstar. AI kan lage førsteutkast, korte ned tekst, lage variantar til sosiale medium eller gjere video om til blogg. Men menneske må framleis sjekke fakta, fjerne personopplysningar og sørgje for at teksten høyrest ut som dykk – ikkje som ein tilfeldig robot med slips.

Internt arbeid er ofte den beste starten. La AI hjelpe med møteagenda, oppsummering av ikkje-sensitive notat, idémyldring, rutinebeskrivingar og opplæringsmateriell. Her får de erfaring utan å starte i den mest risikable enden.

GDPR krev ikkje null risiko

Ein vanleg misforståing er at GDPR betyr at ein ikkje kan bruke nye verktøy. Det stemmer ikkje. GDPR krev at de har kontroll, rett grunnlag og rimelege tiltak.

Spør difor enkelt:

Kvifor brukar vi desse opplysningane? Har vi lovleg grunnlag? Kva leverandør får sjå data? Blir data lagra eller brukt til trening? Kven internt har tilgang? Kan vi oppnå det same med anonymiserte data?

Viss svaret er uklart, stopp litt. Ikkje for å seie nei til AI, men for å bruke det rett. Kundar og tilsette forventar ikkje at de er perfekte, men dei forventar at de ikkje behandlar opplysningane deira lettvint.

Mitt konkrete råd: Ta ein halvtime denne veka og lag ei liste over dei tre AI-verktøya de brukar mest. Skriv ned kva data de puttar inn, kven som har tilgang, og om de har databehandlaravtale. Det er eit enkelt første steg – og ofte nok til å sjå kvar de bør stramme inn først.

Lurer du på korleis dette ser ut hos dykk? Første samtalen er gratis – og heilt utan forplikting.

Nyheitsbrev · to seriar · gratis

Eit forsprang, rett i innboksen.

Vel det som passar deg: AI for bedrifter – det viktigaste som skjer, og kva det betyr for verksemda di. Eller Vibe Coding – for deg som vil byggje appar og verktøy med AI. Eller begge.

Ingen spam. Berre det som faktisk betyr noko.