Skip to content

Sikkerhet og personvern i kunstig intelligens - Oslo kommune

Innledning

Sikkerhet og personvern er fundamentale forutsetninger for tillitsvekkende bruk av kunstig intelligens i offentlig sektor. Som databehandlingsansvarlig for sensitive personopplysninger må Oslo kommune sikre at alle KI-systemer overholder strengeste standarder for datasikkerhet og personvern.

Disse retningslinjene gir konkret veiledning for å implementere robust sikkerhet og personvernsbeskyttelse i KI-systemer, basert på GDPR, norsk personvernlovgivning og etablerte sikkerhetsstandarder. Retningslinjene skal sikre at innbyggernes grunnleggende rettigheter beskyttes samtidig som kommunen kan utnytte KI-teknologi for bedre tjenester.

Etterlevelse av GDPR i KI-kontekst

Vi må etterleve GDPR også når vi bruker KI, så lenge det behandles personopplysninger. "Behandling av personopplysninger" skal tolkes vidt og kan handle om alt fra innloggingsinformasjonen til ansatte som bruker KI-tjenester til personopplysninger oppgitt i fritekstfelt ved bruk av større språkmodeller.

Les mer om de ulike personvernprinsippene og Oslo kommune sine rutiner på Origo Hub.

Når DPIA er påkrevet

Bruk av KI betyr ikke at det alltid er behov for DPIA. DPIA skal i utgangspunktet kun gjennomføres når det er en høy risiko for personvernet ved behandlingen. Ta kontakt med JIPI, så kan de hjelpe deg med å vurdere behovet for DPIA.

EUs KI-forordning (AI Act) og KI-loven

KI-forordningen trådte i kraft i EU våren 2024. Den er per dags dato ikke gjeldende rett i Norge. Det foregår nå et arbeid med å etablere et rammeverk for vurdering av KI for å sikre etterlevelse, men det er ikke ferdigstilt per dags dato.

I praksis, betyr det at du for øyeblikket ikke trenger å gjøre noe utover den vanlige personvernsvurderingen og ROS med mindre du vurderer å ta i bruk høyrisiko-KI. Ta kontakt med JIPI dersom du tenker det er relevant.

Sist oppdatert: 16. september 2025