AI i HR: Hva norske arbeidsgivere må vite
Reglene for bruk av AI-verktøy i ansettelse, oppfølging og oppsigelse — etter at EU AI Act klassifiserer HR-systemer som høyrisiko
Av Kjell Steffner, Partner i Nordia Law Oslo · Mai 2026
Stadig flere norske arbeidsgivere bruker AI-verktøy til å screene jobbsøkere, følge opp ansattes prestasjoner og forberede personalsaker. Få har vurdert at disse verktøyene treffer tre regelverk samtidig — personvernforordningen, EU AI Act og arbeidsmiljøloven. Denne artikkelen forklarer hva som er lov, hva som er risikabelt, og hva som kreves av dokumentasjon.
| KORT OPPSUMMERT
Norske arbeidsgivere kan bruke AI-verktøy i HR, men ikke fritt. AI-systemer brukt til rekruttering og evaluering av ansatte er klassifisert som høyrisiko under EU AI Act fra 2. august 2026. Samtidig gir personvernforordningen artikkel 22 ansatte og søkere rett til ikke å bli underlagt avgjørelser som utelukkende er automatiserte. Og arbeidsmiljøloven krever at en oppsigelse er saklig begrunnet — et krav et AI-system aldri kan oppfylle alene. Hovedregelen er: AI kan støtte beslutningen, men et menneske må ta den. |
AI-verktøy i HR har gått fra eksperiment til hverdag på kort tid. Verktøyene sammenfatter CV-er, rangerer søkere, transkriberer intervjuer, analyserer prestasjonsdata og foreslår til og med formuleringer til personalsaker. For en travel HR-avdeling er gevinsten åpenbar.
Problemet er at de samme verktøyene treffer et regelverkskryss som de færreste arbeidsgivere har kartlagt. Et AI-verktøy som rangerer jobbsøkere er ikke bare et effektiviseringstiltak — det er en automatisert behandling av personopplysninger, et høyrisikosystem under EU AI Act, og potensielt et tiltak som påvirker ansettelsesbeslutninger på en måte arbeidsmiljøloven stiller krav til.
Denne artikkelen går gjennom tre typiske bruksområder — rekruttering, prestasjonsoppfølging og oppsigelse — og forklarer for hvert område hva som er lov, hvor risikoen ligger, og hva arbeidsgiveren må dokumentere.
Hvilke regler gjelder for AI i HR?
AI-verktøy i HR reguleres av tre regelverk samtidig: personvernforordningen (GDPR), EU AI Act, og arbeidsmiljøloven. De gjelder parallelt, og en arbeidsgiver må forholde seg til alle tre. Her er hva hvert regelverk krever.
Hva sier GDPR artikkel 22 om automatiserte beslutninger?
GDPR artikkel 22 gir enhver person rett til ikke å bli underlagt en avgjørelse som utelukkende er basert på automatisert behandling, når avgjørelsen har rettsvirkning eller på tilsvarende måte i betydelig grad påvirker personen. En ansettelse, en forfremmelse eller en oppsigelse er nettopp slike avgjørelser.
EU-domstolen tolket bestemmelsen for første gang i desember 2023, i SCHUFA-saken (C-634/21). Domstolen la til grunn en vid forståelse: også en automatisert scoring som i praksis styrer en menneskelig beslutning, kan rammes av artikkel 22. Det betyr at en arbeidsgiver ikke kan gjemme seg bak at «det var jo en saksbehandler som signerte» — hvis saksbehandleren i realiteten bare bekreftet AI-ens innstilling, kan beslutningen anses som automatisert.
For arbeidsgivere er konsekvensen klar. Hvis AI brukes i en HR-beslutning, må det være en reell menneskelig vurdering i loopen — ikke et gummistempel. Personen som tar beslutningen må ha både kompetanse og faktisk mulighet til å overprøve AI-ens forslag.
Når er et AI-verktøy «høyrisiko» under EU AI Act?
Et AI-system er klassifisert som høyrisiko under EU AI Act når det brukes til rekruttering eller til evaluering av arbeidstakere. Dette følger av forordningens vedlegg III. Høyrisikoklassifiseringen for slike systemer får virkning fra 2. august 2026.
Høyrisikoklassifiseringen utløser konkrete plikter: krav til kvaliteten på treningsdata, dokumentasjon og sporbarhet, åpenhet overfor brukerne, menneskelig tilsyn, og teknisk robusthet. En viktig presisering for norske arbeidsgivere: pliktene fordeler seg mellom leverandøren av AI-systemet og virksomheten som tar det i bruk. Men ansvaret for å sjekke at leverandøren faktisk har dokumentasjonen i orden, ligger hos arbeidsgiveren. Hvis leverandøren ikke kan dokumentere samsvar, er det arbeidsgiveren som bærer risikoen.
EU AI Act gjelder i Norge gjennom EØS-avtalen. Den norske gjennomføringsloven er ventet å tre i kraft sensommeren 2026, men selve høyrisikopliktene følger uansett av forordningens innfasing.
Hva krever arbeidsmiljøloven når AI brukes i personalsaker?
Arbeidsmiljøloven stiller krav som AI-verktøy ikke endrer, men som AI-bruk kan komme i konflikt med. Det viktigste er kravet i § 15-7 om at en oppsigelse må være «saklig begrunnet i virksomhetens, arbeidsgivers eller arbeidstakers forhold».
Saklighetskravet innebærer en konkret, individuell vurdering. Et AI-system som rangerer ansatte etter prestasjonsdata, leverer et statistisk gjennomsnitt — ikke en individuell vurdering av den enkeltes situasjon, forutsetninger og kontekst. Hvis en oppsigelse i realiteten hviler på en AI-generert rangering, er risikoen stor for at saklighetskravet ikke er oppfylt.
I tillegg gjelder reglene om kontrolltiltak i arbeidsmiljøloven kapittel 9. Et AI-verktøy som løpende analyserer ansattes prestasjoner, vil som regel være et kontrolltiltak — med tilhørende krav til drøfting med tillitsvalgte, informasjon og jevnlig evaluering.
Bruksområde 1: AI i rekruttering
AI i rekruttering er det vanligste bruksområdet — og det med tydeligst regulering. Verktøyene spenner fra CV-sammenfatning og kandidatkartlegging til automatisert scoring og rangering av søkere. Den juridiske risikoen varierer sterkt mellom disse.
Hva er lov, og hva er risikabelt?
Som hovedregel er det lovlig å bruke AI som støtteverktøy i rekruttering — for eksempel til å sammenfatte CV-er, strukturere notater, hente inn lønnsdata eller bygge oversikt over kandidatlandskapet. Dette er oppgaver der AI sparer tid uten å erstatte den menneskelige vurderingen av hvem som skal ansettes.
Det risikable er automatisert scoring og rangering. Når et AI-verktøy gir hver søker en poengsum og sorterer dem, nærmer man seg en automatisert beslutning etter artikkel 22 — særlig hvis rekruttereren i praksis bare går videre med de tre øverste på listen. Da er det reelt sett algoritmen som har silt ut kandidatene.
To risikoer er særlig viktige. Den første er diskriminering: et AI-verktøy som er trent på historiske ansettelsesdata, kan reprodusere historiske skjevheter — for eksempel systematisk å nedvurdere søkere med hull i CV-en, utenlandske navn eller ikke-lineære karriereløp. Dette kan utgjøre indirekte diskriminering etter likestillings- og diskrimineringsloven. Den andre er innsyn: en søker som blir vraket, har rett til å forstå hvorfor — og «algoritmen rangerte deg lavt» er ikke et tilstrekkelig svar.
Hva må arbeidsgiveren gjøre ved AI i rekruttering?
For arbeidsgivere som bruker eller vurderer AI i rekruttering, er det fem konkrete grep som reduserer risikoen:
- Krev dokumentasjon fra leverandøren: Be om leverandørens dokumentasjon på samsvar med EU AI Act før verktøyet tas i bruk. Kan ikke leverandøren levere, er det arbeidsgiveren som bærer risikoen.
- Hold mennesket i beslutningen: Sørg for at en rekrutterer faktisk vurderer kandidatene — ikke bare bekrefter AI-ens rangering. Vurderingen må være reell og dokumenterbar.
- Informer søkerne: Opplys i rekrutteringsprosessen om at AI brukes, hva det brukes til, og hvilken rolle det spiller i utvelgelsen. Dette følger av GDPR artikkel 13 og 14.
- Gjør en personvernkonsekvensvurdering (DPIA): Automatisert behandling av søkeropplysninger i stor skala krever som regel DPIA etter GDPR artikkel 35.
- Test for skjevhet: Be leverandøren dokumentere hvordan verktøyet er testet for diskriminerende utslag — og vurder selv om resultatene ser systematisk skjeve ut.
Bruksområde 2: AI i prestasjonsoppfølging
AI brukt til å følge opp ansattes prestasjoner er det bruksområdet som vokser raskest — og det som oftest skjer uten en bevisst beslutning. Mange verktøy har innebygd analysekapasitet som aktiveres nærmest umerkelig.
Når blir et produktivitetsverktøy et kontrolltiltak?
Et AI-verktøy som analyserer ansattes prestasjoner blir et kontrolltiltak etter arbeidsmiljøloven kapittel 9 når det systematisk samler inn og analyserer informasjon om hvordan enkeltansatte arbeider. Det avgjørende er ikke hva verktøyet markedsføres som — det er hva det faktisk gjør.
Microsoft 365 Copilot er det klareste eksempelet. Datatilsynets sandkasseprosjekt med NTNU dokumenterte at Copilot kan brukes til å overvåke og måle ansattes prestasjoner og adferd. Det skjer ikke automatisk — men kapasiteten er innebygd, og når den er tilgjengelig for ledelsen, er vi innenfor kontrolltiltakreglene.
Når et verktøy er et kontrolltiltak, utløses drøftingsplikt med tillitsvalgte før innføring, informasjonsplikt overfor de ansatte, og plikt til jevnlig evaluering. Den vanligste feilen er å rulle ut verktøyet først og vurdere reglene etterpå.
Hva er den største risikoen ved AI-prestasjonsmåling?
Den største risikoen er overdreven og uforholdsmessig overvåking. Amazon France Logistique fikk i 2023 et gebyr på 32 millioner euro nettopp for et altfor inngripende system for produktivitetsovervåking av ansatte. Saken er fransk, men brukes i europeisk tilsynspraksis som en målestokk for hvor grensen går — og den er direkte relevant for norske arbeidsgivere.
Forholdsmessighetsvurderingen er kjernen. Et AI-verktøy som måler levert kvalitet på oppgavenivå, kan være akseptabelt. Et verktøy som registrerer tastetrykk, musebevegelser og sekund-for-sekund-aktivitet, er det normalt ikke. Spørsmålet arbeidsgiveren må stille er: er denne detaljgraden av overvåking nødvendig for formålet — eller samler vi data bare fordi verktøyet kan?
Bruksområde 3: AI i oppsigelser og personalsaker
Å bruke AI i oppsigelsessaker er det mest risikable bruksområdet. Her møtes alle tre regelverk samtidig, og konsekvensene av feil er alvorligst — for både arbeidstaker og arbeidsgiver.
Kan AI brukes til å begrunne en oppsigelse?
AI kan ikke brukes som grunnlag for en oppsigelsesbeslutning, men kan brukes som et hjelpemiddel i det forberedende arbeidet. Skillet er avgjørende. Arbeidsmiljøloven § 15-7 krever at en oppsigelse er saklig begrunnet i en konkret, individuell vurdering. Et AI-system leverer mønstre og gjennomsnitt — ikke den individuelle vurderingen loven krever.
Bruker en arbeidsgiver AI til å rangere ansatte ved en nedbemanning, og lar rangeringen avgjøre hvem som sies opp, er risikoen stor for at utvelgelsen kjennes usaklig. Da kan oppsigelsen bli kjent ugyldig — med krav om erstatning og eventuelt gjeninntreden.
Det er heller ikke trygt å bruke AI til å skrive selve oppsigelsesbrevet eller begrunnelsen. En AI-generert begrunnelse kan inneholde formuleringer som ikke gjenspeiler den faktiske, individuelle vurderingen — og i en tvist vil en slik begrunnelse bli lest kritisk. Begrunnelsen må reflektere arbeidsgiverens reelle vurdering, ikke en språkmodells gjengs formulering.
Hva er trygt og utrygt bruk av AI i personalsaker?
Grensen kan oppsummeres slik:
- Trygt: Bruke AI til å strukturere dokumentasjon, sammenfatte korrespondanse, eller forberede en tidslinje over hendelsesforløpet — så lenge et menneske kvalitetssikrer og den juridiske vurderingen gjøres av en kvalifisert person.
- Utrygt: La AI rangere ansatte ved nedbemanning, generere selve oppsigelsesbegrunnelsen, eller vurdere om det foreligger saklig grunn. Dette er vurderinger som krever menneskelig, juridisk skjønn.
- Forbudt i praksis: La en AI-rangering reelt avgjøre hvem som sies opp, uten en selvstendig menneskelig vurdering av hver enkelt. Dette bryter både artikkel 22 og saklighetskravet.
Ofte stilte spørsmål om AI i HR
Er det lov å bruke AI til å screene jobbsøkere i Norge?
Ja, det er lov å bruke AI til å screene jobbsøkere, men bruken er regulert. AI kan brukes som støtteverktøy — for eksempel til å sammenfatte CV-er. Automatisert scoring og rangering nærmer seg en automatisert beslutning etter GDPR artikkel 22, og krever at en rekrutterer gjør en reell vurdering før utvelgelse. Søkerne må informeres om at AI brukes.
Når blir AI-verktøy i HR klassifisert som høyrisiko?
AI-systemer brukt til rekruttering og til evaluering av arbeidstakere er klassifisert som høyrisiko under EU AI Act, etter forordningens vedlegg III. Høyrisikopliktene for disse systemene får virkning fra 2. august 2026. Klassifiseringen utløser krav til dokumentasjon, åpenhet, menneskelig tilsyn og teknisk robusthet.
Kan en arbeidsgiver si opp en ansatt basert på AI-analyse?
Nei, en oppsigelse kan ikke bygge på AI-analyse alene. Arbeidsmiljøloven § 15-7 krever at en oppsigelse er saklig begrunnet i en konkret, individuell vurdering. AI kan brukes til å forberede dokumentasjon, men selve vurderingen av om det foreligger saklig grunn må gjøres av et menneske med juridisk kompetanse.
Hvem har ansvaret hvis et AI-rekrutteringsverktøy bryter reglene?
Arbeidsgiveren som tar verktøyet i bruk, bærer ansvaret overfor søkere og ansatte. Selv om leverandøren har egne plikter under EU AI Act, er det arbeidsgiverens ansvar å kontrollere at leverandøren kan dokumentere samsvar. Kan leverandøren ikke det, bør verktøyet ikke tas i bruk.
Må ansatte informeres når arbeidsgiver bruker AI til prestasjonsoppfølging?
Ja. Et AI-verktøy som analyserer ansattes prestasjoner, er som regel et kontrolltiltak etter arbeidsmiljøloven kapittel 9. Det utløser plikt til å drøfte tiltaket med tillitsvalgte før innføring, informere de ansatte om formål og gjennomføring, og evaluere tiltaket jevnlig.
Sjekkliste: Slik tar dere AI i bruk i HR på en forsvarlig måte
De fleste feil skjer fordi AI-verktøy tas i bruk uten en samlet juridisk vurdering. Denne sjekklisten oppsummerer de viktigste grepene:
- Kartlegg AI-bruken: Skaff oversikt over hvilke AI-verktøy som allerede brukes i HR — også funksjoner som er innebygd i eksisterende systemer som Microsoft 365.
- Klassifiser hvert verktøy: Avgjør om verktøyet er høyrisiko under EU AI Act, om det innebærer automatisert beslutning etter artikkel 22, og om det er et kontrolltiltak etter arbeidsmiljøloven kapittel 9.
- Krev leverandørdokumentasjon: Innhent dokumentasjon på samsvar med EU AI Act før verktøyet tas i bruk.
- Sikre reell menneskelig vurdering: Sørg for at en kvalifisert person tar de faktiske beslutningene — og kan overprøve AI-ens forslag.
- Gjennomfør DPIA: Gjør en personvernkonsekvensvurdering for AI-bruk som behandler personopplysninger i stor skala eller til høyrisikoformål.
- Drøft og informer: For kontrolltiltak: drøft med tillitsvalgte før innføring, og informer de ansatte om formål og gjennomføring.
- Dokumenter vurderingene: Skriv ned de juridiske vurderingene mens de gjøres. Det er den dokumentasjonen som beskytter dere ved tilsyn eller tvist.
| Vurderer dere AI-verktøy i HR?
AI-blindsone-vurderingen er en rask gjennomgang der vi kartlegger hvor AI-bruken deres møter juridisk risiko — i HR og ellers i virksomheten. Dere får en konkret oversikt over hva som er på plass, hva som mangler, og hva som haster. Vurderingen tar 30–60 minutter og er gratis og uforpliktende. → Les mer om vår personvernpraksis: nordialaw.com/personvern → Book en AI-blindsone-vurdering: nordialaw.com/ai-blindsone |
Om forfatteren
Kjell Steffner er partner i Nordia Law Oslo og leder firmaets praksis innen teknologi og IT. Han spesialiserer seg på IT-kontrakter, personvern, arbeidsrett og de juridiske spørsmålene som oppstår når virksomheter tar i bruk AI. Kombinasjonen av personvern, arbeidsrett og teknologirett gjør at han kan vurdere AI-verktøy i HR opp mot alle de tre regelverkene som gjelder samtidig.
