AI og bedriftshemmeligheter norske bedrifter lærer hva de ikke skal dele med chatboten

AI og bedriftshemmeligheter — norske bedrifter lærer hva de ikke skal dele med chatboten

Norske ansatte bruker AI-verktøy daglig til å løse arbeidsoppgaver — og deler i den prosessen data som burde vært beskyttet. Det er ikke alltid ondsinnet, men det kan være kostbart. Bedrifter som ikke har satt opp klare retningslinjer risikerer brudd på taushetsplikt, avtalevilkår og potensielt forretningshemmelighetslovens krav.

Hva som faktisk skjer

Scenarioene er gjerne banale: En selger limer inn hele tilbudskalkylen i ChatGPT for å «skrive det litt bedre». En HR-ansatt ber copiloten formulere en oppsigelse og inkluderer persondata. En controller bruker en gratis AI-tjeneste til å analysere en uoffentliggjort kvartalsrapport.

Felles for alle tre: Dataene kan ende opp brukt til trening av modellen, behandles av en tredjepartsleverandør uten databehandleravtale, eller lagres i loggfiler utenfor virksomhetens kontroll.

Datatilsynet har ikke publisert spesifikke retningslinjer for denne type utilsiktet deling per juni 2026, men kontoret har fastslått at GDPR gjelder fullt ut for persondata som behandles via AI-tjenester.

En undersøkelse gjennomført av Infosecurity Magazine i mai 2026 blant 1 200 europeiske kunnskapsarbeidere fant at 38 prosent hadde delt konfidensielle dokumenter med en AI-tjeneste de siste tre månedene. Norske tall finnes ikke, men det er liten grunn til å tro at bildet er vesentlig annerledes.

Hva regelverket faktisk sier

Lov om forretningshemmeligheter (2020) beskytter informasjon bedriften har truffet rimelige tiltak for å holde hemmelig, og som har kommersiell verdi. Dersom en ansatt deler en slik hemmelighet med en ekstern tjeneste — også utilsiktet — kan det utgjøre et brudd.

Det avgjørende er om bedriften faktisk har tatt «rimelige tiltak». En IT-policy som ingen har lest, teller lite. Konkrete tekniske og organisatoriske tiltak — som å blokkere ikke-godkjente AI-tjenester på bedriftsnett, bruke enterprise-varianter med zero-data-retention, og opplæring av ansatte — teller mer.

Hva norske bedrifter gjør

En voksende andel norske bedrifter med over 50 ansatte har begynt å ta stilling til spørsmålet, men modenheten varierer mye:

Tekniske tiltak: Virksomheter med Microsoft 365 Copilot på enterprise-avtale kan konfigurere at data ikke brukes til modelltrening. Azure OpenAI-tjenesten gir tilsvarende garantier. Gratistjenester og consumer-versjoner gir det vanligvis ikke.

Retningslinjer: Noen virksomheter har innført kategorisering — hvilke dataklasser som aldri skal inn i AI-verktøy (f.eks. personopplysninger, finansielle prognoser, M&A-materiale), hvilke som kan bearbeides med godkjente enterprise-verktøy, og hvilke som er frie.

Opplæring: Det er liten nytte av retningslinjer ansatte ikke kjenner. Konkrete eksempler og enkle tommelfingerregler («Ville du sendt dette på e-post til en ekstern konsulent?») viser seg mer effektive enn lange policy-dokumenter.

Hva det betyr for norske bedrifter

Det er ikke nødvendig å forby AI-bruk for å beskytte forretningshemmeligheter. Men det krever at bedriften tar tre konkrete grep:

1. Kartlegg hvilke AI-verktøy ansatte faktisk bruker — ikke bare hvilke som er godkjent.
2. Definer hvilke datakategorier som ikke skal inn i ekstern AI uten zero-retention-garanti.
3. Gi ansatte praktiske eksempler, ikke bare en policy de skriver under på.

For SMB uten egen IT-avdeling: Microsoft Copilot og Google Workspace AI tilbyr begge enterprise-vilkår med klarere databehandlingsgarantier enn gratistjenestene — og kostnadene er ikke nødvendigvis høyere enn flere enkeltabonnementer kombinert.