GDPR

GDPR og AI: hva norske SMB bør passe på

Publisert 8. mai 2026 av Ali Reza Nouri

Vi er ikke advokater. Det vi skriver her er praktisk basert på hvordan vi selv jobber, og er ikke juridisk rådgivning. Men det dekker det de fleste norske SMB lurer på når de vurderer AI-verktøy.

De tre tingene som faktisk betyr noe

1. Hvor lagres dataene?

Hvis du bruker ChatGPT (US), Claude (US), eller andre tjenester der dataene ender hos en amerikansk leverandør, må du i prinsippet vurdere overføring ut av EØS. EUs standardkontraktsklausuler (SCC) dekker dette, men du bør vite at det skjer.

Selv bruker vi OpenRouter med no-training-modus mot leverandører som støtter det. Selve hostingen ligger hos Vercel i EU-region. Dataene dine forlater EU bare i selve LLM-anropet — og da i en sammenheng der treningsdata er eksplisitt utelukket.

2. Bruker leverandøren dataene til å trene modeller?

Dette er det spørsmålet flest glemmer. Det er én ting at OpenAI lagrer chat-en din i 30 dager for «sikkerhet». Det er noe annet om de bruker den til å trene fremtidige modeller.

For Native Brands sin del: vi har avtalt med våre LLM-leverandører at innholdet du sender ikke brukes til trening. Du kan be om bekreftelse skriftlig hvis du vil ha det i kontrakten.

3. Hvilket rettslig grunnlag har du?

Hvis du behandler personopplysninger om dine egne kunder, må du ha et grunnlag. De vanlige er:

  • Avtale (art. 6 nr. 1 b) — for dine eksisterende kunder, det vi gjør for dem som ledd i din service
  • Legitim interesse (art. 6 nr. 1 f) — for re-engasjement av tidligere kunder med eksisterende relasjon
  • Samtykke (art. 6 nr. 1 a) — for kalde lister og markedsføring til folk uten relasjon

For Vekker-tjenesten kommer vi tilbake til dette i intro-møtet og avklarer grunnlaget før vi setter opp.

Det du må gjøre selv

  • Skrive personvernerklæring som dekker AI-bruken (vi hjelper med å oppdatere din hvis du vil)
  • Inngå databehandleravtale (DBA) med oss før vi starter
  • Sørge for at folk kan kreve innsyn, retting og sletting i tråd med GDPR — vi har verktøy for dette

Det du ikke trenger å gjøre

  • Ringe Datatilsynet før du tar i bruk en AI-agent. Det er ikke et registreringskrav.
  • Stoppe all AI-bruk fordi NRK har skrevet en sak om AI og personvern. De fleste sakene handler om spesifikke leverandører og spesifikke praksiser — ikke om AI som teknologi.

Vår personvernerklæring dekker alle disse punktene i detalj. Spør oss om mer i intro-møtet.