AI-databehandleravtaler standardiseres norske virksomheter slipper å forhandle fra bunnen

AI-databehandleravtaler standardiseres — norske virksomheter slipper å forhandle fra bunnen

Å ta i bruk et AI-verktøy som behandler personopplysninger har krevd egne juridiske ressurser for å vurdere databehandleravtalen. Bransjeorganisasjoner og europeiske myndigheter jobber nå med standardiserte avtalemal, noe som særlig letter hverdagen for SMB-er og kommuner uten intern juridisk ekspertise.

Problemet som drives frem

GDPR artikkel 28 krever at en behandlingsansvarlig — typisk bedriften som bruker et AI-verktøy — inngår en databehandleravtale med leverandøren som behandler data på vegne av dem. For skybaserte AI-tjenester betyr dette: nesten enhver bruk av ChatGPT Enterprise, Microsoft Copilot, Google Workspace AI eller tilsvarende i en arbeidskontekst krever en slik avtale.

Problemet er at disse avtalene historisk har vært tilpasset leverandørenes premisser. Å forhandle dem krever juridisk kompetanse de fleste SMB-er ikke har internt, og advokatkostnaden overstiger gjerne verdien av verktøyet det første året.

Hva som er på vei

EU-kommisjonens standardklausuler for databehandling er ikke spesifikt utformet for AI, men Datatilsynene i flere europeiske land — inkludert det norske — har signalisert at de arbeider med veiledning for AI-spesifikke kontraktsvilkår. Datatilsynets veiledning om skybasert AI fra 2025 peker på hvilke elementer som må adresseres, men gir ikke ferdige malverk.

IKT-Norge publiserte i mai 2026 et utkast til bransjestandard for databehandleravtaler mellom norske virksomheter og AI-leverandører. Utkastet er ute på høring og forventes ferdigstilt i september 2026. Det dekker minimumskrav til instrukser om behandlingsformål, sletting, underleverandører og sikkerhetstiltak.

Digdir arbeider med en referansearkitektur for offentlig sektors anskaffelse av AI-tjenester, som inkluderer avtalemal. Denne er forventet høst 2026 og vil være bindende som minstekrav for statlige anskaffelser.

"Vi ser at mange kommuner og mellomstore bedrifter bruker AI-verktøy uten å ha inngått GDPR-konform databehandleravtale, rett og slett fordi prosessen er for krevende. Standardmaler vil senke terskelen betraktelig." — Juridisk rådgiver, IKT-Norge, mai 2026

Hva eksisterer av løsninger i dag

Noen AI-leverandører tilbyr nå standardiserte databehandleravtaler som er forhåndsgodkjent for europeisk bruk. Microsoft Copilot og Google Workspace AI har slik dokumentasjon tilgjengelig. OpenAIs Enterprise-avtale inkluderer DPA. Problemet er at disse er utformet for å beskytte leverandøren — ikke for å gi kunden kontroll.

For norske virksomheter som ikke kan vente på bransjestandarden: Datatilsynets sjekkliste for skylagringsavtaler fra 2023 er fremdeles et brukbart utgangspunkt, selv om den ikke er AI-spesifikk.

Hva det betyr for norske bedrifter

Ikke vent. Dersom din virksomhet allerede bruker et AI-verktøy som behandler ansattes, kunders eller brukers personopplysninger, er sjansen stor for at en GDPR-vurdering mangler. Start med å kartlegge hvilke verktøy som behandler hva — et enkelt regneark over verktøy, datatype og eksisterende avtale.

Bruk leverandørens DPA som utgangspunkt, men verifiser at den dekker kravene i GDPR art. 28: instrukser om formål, konfidensialitet, sikkerhetstiltak, underleverandørvilkår, bistand ved forespørsler og sletting etter oppdragets slutt.

Følg IKT-Norges standardiseringsarbeid. Når malen ferdigstilles i september, vil den trolig bli de facto-standard for norsk næringsliv og spare mange forhandlingsrunder. Registrer deg for høringsdokumentet på iktno.no.

Kommuner og statlige etater bør merke seg Digdirs arbeid — de standardiserte kravene vil sannsynligvis bli en forutsetning for fremtidige anskaffelser.

Spørsmål og svar