Hjem · Nyheter · Datatilsynet om AI i arbeidslivet — hva norske arbeidsgivere ikke kan gjøre
Nyhet

Datatilsynet om AI i arbeidslivet hva norske arbeidsgivere ikke kan gjøre

Datatilsynet strammet inn juni 2026 — disse AI-praksisene er ulovlige for norske arbeidsgivere. Her er de konkrete grensene.

Av IngarAnsvarlig redaktørOppdatert 22. juniSlik vurderer vi →

Datatilsynet om AI i arbeidslivet — hva norske arbeidsgivere ikke kan gjøre

Datatilsynet har i juni 2026 oppdatert sin veiledning om bruk av kunstig intelligens i arbeidslivet. Budskapet er klart: automatisert overvåking av ansatte, AI-basert atferdsanalyse og automatiserte ansettelsesavgjørelser uten menneskelig kontroll bryter GDPR og arbeidsmiljøloven. Konsekvensene for arbeidsgivere som ikke retter seg etter reglene, kan bli overtredelsesgebyr opp mot fire prosent av global årsomsetning.

Bakgrunn: Hvorfor nå?

AI-verktøy som analyserer e-post, logger tastetrykk, vurderer stemningsleie i møter og rangerer jobbsøkere automatisk, har blitt billige og lett tilgjengelige. Ifølge en undersøkelse FAFO gjennomførte for LO i 2025, oppga nær én av tre norske arbeidstakere at arbeidsgiveren hadde innført nye digitale overvåkings- eller styringsverktøy det siste året — uten at de ansatte var involvert i innføringen.

Datatilsynet svarer på denne utviklingen med oppdatert veiledning, og tydeliggjør at eksisterende regelverk allerede setter harde grenser.

Tre praksiser Datatilsynet peker ut som problematiske

1. Kontinuerlig atferdsovervåking

Verktøy som logger alle handlinger på en arbeidsdatamaskin — inkludert skjermopptak, appbruk og pauser — er som hovedregel ikke lovlig å innføre i norske virksomheter. Datatilsynet understreker at en arbeidsgivers alminnelige styringsrett ikke gir grunnlag for løpende innhenting av detaljerte handlingslogg.

Et mulig lovlig alternativ er periodisk og varslet kontroll med et klart definert formål, for eksempel sikkerhetskontroll etter konkret mistanke. Men selv da krever det behandlingsgrunnlag etter GDPR artikkel 6, og ofte samtykkeavtale eller tariffavtale.

2. AI-analyse av personlighet og følelser

Såkalt «affektiv AI» som hevder å måle arbeidstakeres motivasjon, stress eller pålitelighet gjennom videoanalyse, stemmegjenkjenning eller e-postmønstre, havner i en juridisk gråsone som Datatilsynet behandler med stor skepsis.

Tilsynet viser til at slike analyser lett kategoriserer sensitiv personinformasjon — helse og psykisk tilstand — som faller under særskilte beskyttelsesregler i GDPR artikkel 9. Uten eksplisitt samtykke fra den ansatte, og uten at behandlingen er strengt nødvendig, vil dette normalt være ulovlig.

3. Automatiserte avgjørelser med rettslig virkning

EU AI Act klassifiserer AI-systemer brukt til rekruttering, forfremmelse og oppsigelse som systemer med høy risiko. Det betyr strenge krav til gjennomsiktighet, loggføring og — avgjørende — at det alltid skal være et menneske som tar den endelige avgjørelsen.

Datatilsynet slår fast at norsk rett, gjennom GDPR artikkel 22, allerede i dag gir arbeidstakere rett til å kreve menneskelig behandling av saker som har rettslig virkning for dem. Bedrifter som bruker AI til å sortere ut jobbsøkere uten noen form for menneskelig gjennomgang, kan altså allerede i dag bryte loven.

«Arbeidstakeres personvern er ikke en hindring for å ta i bruk teknologi — det er en forutsetning for at teknologien brukes på en måte som er bærekraftig og tillitsskapende over tid.» — Datatilsynets direktør (sitert i tilsynets blogg, juni 2026)

Hva må arbeidsgivere gjøre?

Datatilsynet anbefaler en trinnvis tilnærming:

  1. Kartlegg hvilke AI-verktøy som behandler personopplysninger om ansatte.
  2. Gjennomfør en personvernkonsekvensvurdering (DPIA) før innføring av verktøy med høy risiko.
  3. Informer og involver de ansatte og tillitsvalgte — arbeidsmiljøloven §9-2 krever drøfting med tillitsvalgte ved innføring av overvåkingssystemer.
  4. Sørg for menneskelig kontroll ved alle avgjørelser med konsekvens for arbeidsforholdet.

Hva betyr dette for norske bedrifter?

Mange norske bedrifter har innført AI-verktøy raskt de siste to årene, ofte uten systematisk juridisk gjennomgang. Datatilsynets oppdaterte veiledning er ikke ny lovgivning — den presiserer regler som allerede gjelder. Det betyr at risikoen er reell nå, ikke om to år.

HR-ledere og IT-sjefer bør gå gjennom verktøy-porteføljen sin i løpet av sommeren og identifisere hvilke systemer som berører ansatte-data. Manglende etterlevelse kan utløse tilsynssaker etter tips fra ansatte — en risiko som øker etter hvert som bevisstheten om rettighetene vokser.

Vanlige spørsmål (FAQ)

Kan arbeidsgivere bruke AI til å vurdere jobbsøkere?

Ja, men med klare begrensninger. AI kan hjelpe til med å strukturere søknader og flagge relevante kandidater, men en automatisert avgjørelse om hvem som ikke kommer videre — uten noen menneskelig vurdering — er i strid med GDPR artikkel 22. Søkere har rett til å kreve en menneskelig gjennomgang av slike avgjørelser.

Er det lov å logge hva ansatte gjør på jobben?

Begrenset kontroll er mulig dersom det finnes lovlig grunnlag, de ansatte er informert og formålet er klart avgrenset — for eksempel IT-sikkerhet. Kontinuerlig og detaljert atferdslogging uten spesifikt grunnlag er ikke lovlig etter norsk rett.

Hva skjer hvis en bedrift bryter reglene?

Datatilsynet kan ilegge overtredelsesgebyr på inntil fire prosent av global årsomsetning eller 20 millioner euro, avhengig av hva som er høyest. I tillegg kan berørte ansatte ha krav på erstatning.

Slik vurderer vi

Vi baserer innholdet på offisielle priser, leverandørenes egne sider og uavhengige kilder, oppdatert løpende. Vi tjener provisjon på enkelte lenker, men det påvirker ikke vurderingen.

Ansvarlig redaktør
Ingar

Ingar er ansvarlig redaktør i altai og jobber til daglig med AI-rådgivning og digitale tjenester for norske virksomheter. altai er hans uavhengige oversikt over AI-verktøy for et norsk publikum.

← Alle nyheter