KI på jobben: hva må arbeidsgiver gjøre?

Før man skal ta i bruk en KI-løsning eller et nytt system med KI-funksjonalitet, eller utviklet et eget system, må man forstå hva systemet gjør og hvordan det fungerer. Det er et nødvendig grunnlag for videre vurderinger og en forutsetning for en god prosess videre. 

For en overordnet innføring tilbyr Digital Norway digitalt læringsprogram om kunstig intelligens som tilbys i tre versjoner, tilpasset ulike målgrupper. Tilbudet er gratis for alle brukere.

Ved innføring av ny teknologi som ikke tidligere har vært i bruk i bedriften eller bransjen er det særlig viktig å gjøre en grundig innledende vurdering.  

Eksempler på spørsmål å stille seg kan eksempelvis være:

• Hvordan er verktøyet utviklet, hvilke forutsetninger og data ligger til grunn for eventuelle KI-modeller, hva slags beslutninger eller prediksjoner er algoritmebasert og hva slags beslutningsstruktur har modellen (black box problematikk), er modellen basert på data og parametere av nødvendig kvalitet og presisjon, hvordan vil bedriftens bruk av verktøyet påvirke funksjonalitet og utfall. Det finnes ingen uttømmende sjekkliste, da behovet varierer med type system og bruksområde.

Gjør en innledende vurdering av hvilke regelverk som vil gjelde. Både sektorlovgivning og teknologireguleringer kan være aktuelt (lenke). Du må for eksempel vurdere hvorvidt løsningen er omfattet av KI-loven, dvs. om systemet er et “KI-system” etter loven og hvorvidt bruken faller inn under. Systemet og bruken vil i så fall være underlagt tekniske og organisatoriske krav som stilles til både leverandøren av systemet og bedriften som skal ta det i bruk. Mer om KI-loven her.

Ansatte og tillitsvalgte bør involveres tidlig i prosessen. Åpenhet og god dialog skaper trygghet og bedre løsninger.

Arbeidsgivere bør bruke partssamarbeidet aktivt i prosessen med implementering av KI i virksomheten. Plikt til drøfting finnes i både arbeidsmiljøloven og tariffavtaler. Det finnes mange ulike modeller for hvordan slik drøfting og involvering kan skje, og det er opp til de lokale partene å finne den mest hensiktsmessige modellen for bedriften. Eksempler kan være å oppnevne egne datatillitsvalgte eller involvere tillitsvalgte i pilotprosjekter.

Vurder hvordan KI-løsningen påvirker arbeidshverdagen til de ansatte. 

Sørg for at ansatte og tillitsvalgte forstår hvordan verktøyet eller algoritmen fungerer og hvordan det vil påvirke dem. Bedriften bør utforme og gjennomføre tiltaket på en måte som i størst mulig grad ivaretar hensynet til de ansatte, gjerne i dialog med tillitsvalgte og personvernombud dersom bedriften har dette. 

Bedriften må vurdere om systemet kan justeres for å ta hensyn til ansatte, for eksempel om det må gjøres endringer i programvaren. Målet er å finne løsninger som ivaretar både virksomhetens behov og de ansattes situasjon.

Bruk av KI og algoritmiske verktøy som berører ansatte og ansattes data, innebærer ofte bruk av personopplysninger. Bedriften må da gjøre vurderinger av systemet opp mot personopplysningsloven/GDPR. 

Bedriften må blant annet

• Avklare formålet med behandlingen
• Vurdere og dokumentere rettslig grunnlag 
• Sørge for at alle ansatte hvis personopplysninger behandles er grundig informert om dette. 
• Det er påkrevd å dokumentere alle vurderinger som gjøres, for eksempel gjennom en personvernkonsekvensvurdering (DPIA)

Ny teknologi krever ny kunnskap, og bedriften må vurdere hvilket opplæringsbehov KI-løsningen medfører. Om det finnes et opplæringsbehov, og hva dette behovet eventuelt består i, vil avhenge av løsningen eller systemet som skal tas i bruk, f.eks.

• om det dreier seg om en innbygget KI-funksjonalitet,
• om ansatte skal interagere med verktøyet eller
• om KI-løsningen påvirker ansatte eller arbeidsprosesser direkte.

Generelt vil god kompetanse gi tryggere og bedre bruk av ny teknologi. Arbeidsgiver plikter å sørge for nødvendig opplæring i nye systemer. Ansattes rett til nødvendig opplæring er lovfestet i arbeidsmiljøloven § 4-2.

Bedriften må vurdere om det er hensiktsmessig å lage retningslinjer for bruken av KI-verktøy/løsninger. Der ansattes bruk påvirker risiko og utfall, vil det være viktig å gi ansatte veiledning og prosedyrer. Dersom det algoritmiske verktøyet eller KI-løsningen påvirkes av hvordan ansatte bruker det, har tilgang til eller interagerer med systemet, er retningslinjer viktig for å sikre ansvarlig og forsvarlig bruk, redusere risiko for feil og uønskede konsekvenser. Retningslinjer skal sikre bruk i henhold til de vurderinger som er gjort med hensyn til arbeidsmiljø, personvern mv.

Et KI-verktøy eller en teknologisk løsning som inneholder KI-funksjonalitet er ikke nødvendigvis positivt eller negativt i seg selv – ofte kan ulik bruk av verktøy medføre positive eller negative konsekvenser for individer og omgivelsene for øvrig. Der ulik type bruk av et KI-verktøy kan medføre risiko, bør du ha retningslinjer for bruken – for å veilede ansatte og minimere risiko. Retningslinjene må ta utgangspunkt i bedriftens behov og hvilke konkrete KI-verktøy som benyttes.

Bruk av språkmodell-verktøy som ChatGPT, er et eksempel på KI hvor ansattes bruk har stor påvirkning på hvilken risiko verktøyet kan utgjøre. Retningslinjer for bruk er viktig der det er de ansatte som selv skal bruke et KI-verktøy. Det er helt nødvendig at alle som skal benytte språkmodell-verktøy forstår disse modellenes iboende egenskaper, for eksempel hallusinasjoner og faktafeil.

Der KI-teknologi er til stede i bedriftens produksjonssystemer, og det eksempelvis finnes mindre eller ingen mulighet for ansatte til å påvirke utfall i det daglige, er ikke retningslinjer for bruk nødvendigvis det mest passende tiltaket for å sikre at systemer fungerer etter hensikten. Da vil tekniske krav og tiltak i programvaren være mer relevant.

Når du skal vurdere å utvikle eller innføre et verktøy som bruker maskinlæring eller kunstig intelligens, må bedriften vurdere flere ulike regelverk.

De viktigste regelverkene er personopplysningsloven/GDPR og arbeidsmiljøloven. I tillegg forventes EU-forordningen AI Act å gjennomføres i Norge i 2026 i form av den norske KI-loven. Her er en kort oversikt over regelverkene og hvordan disse påvirker virksomhetene: 

KI-loven

EUs forordning for kunstig intelligens inneholder krav til kunstig intelligens-systemer. Ulike krav gjelder for virksomheter som henholdsvis utvikler eller tar i bruk KI-systemer, og de mest omfattende kravene gjelder definitivt virksomheter som utvikler slike. Merk at ikke all type maskinlæring eller algoritmer vil utgjøre en KI-system, det krever en viss grad av autonomi i systemet for at det skal kategoriseres som kunstig intelligens.

KI-forordningen stiller krav til KI-systemer etter risikonivå, og det mest relevante for en bedrift vil være å vurdere hvorvidt virksomheten utvikler eller tar i bruk systemer som kategoriseres som høyrisiko. Listen over høyrisiko-bruksområder finnes i KI-forordningen vedlegg III (link), og det kan være verdt å merke seg at KI-systemer som benyttes for sysselsetting, arbeidsledelse og tilgang til selvstendig næringsvirksomhet kategoriseres som høyrisiko. Dette vil gjelde for KI-systemer beregnet på å brukes til rekruttering eller utvelgelse av fysiske personer, særlig for å publisere målrettede stillingsannonser, analysere og filtrere jobbsøknader og evaluere kandidater. Det gjelder også KI-systemer beregnet på å brukes for å treffe beslutninger som påvirker vilkårene for arbeidsrelaterte forhold, forfremmelser eller oppsigelser i arbeidsrelaterte kontraktsforhold, til å fordele oppgaver på grunnlag av individuell atferd, personlighetstrekk eller egenskaper eller til å overvåke og evaluere prestasjonene og atferden til personer i slike forhold.

Den nærmere tolkningen av KI-loven og kravene som gjelder for utvikling og bruk av høyrisiko-systemer vil vi få de neste årene med implementering av loven i Norge, utvikling av praksis og publisering av nærmere veiledning fra EU. Les mer her: Dette betyr KI-loven for deg - Nkom.

Personopplysningsloven/GDPR

Dersom algoritmen eller KI-verktøyet skal behandle personopplysninger, omfattes verktøyet av GDPR. Dette vil gjelde for eksempel for språkmodeller som skal få tilgang til dokumenter der det finnes personopplysninger, eller der personopplysninger deles som input-data. Det vil også gjelde ved algoritmer som brukes til organisering av arbeidsoppgaver eller dersom verktøyet på annen måte skal “interagere” med ansatte. Slike verktøy vil ofte registrere bruksdata fra ansatte og prosesserer dermed personopplysninger.

Etter GDPR kreves såkalt rettslig grunnlag for behandling av opplysninger. For private virksomheter baseres slik behandling på oppfyllelse av arbeidsavtalen, lovkrav eller såkalt berettiget interesse (en avveining av bedriftens interesser og arbeidstakers personvern). Samtykke som rettslig grunnlag vil relativt sjelden være et aktuelt rettslig grunnlag for arbeidsgivers behandling av personopplysninger om ansatte, med mindre et slikt samtykke vil føles fullstendig frivillig fra den ansattes side.

GDPR inneholder også krav til formålsbestemthet, ansvarlighet og omfattende dokumentasjon av etterlevelse. Arbeidsgivere må også være klar over at ansatte har betydelige rettigheter knyttet til sine personopplysninger, som eksempelvis rett til informasjon om behandlinger og innsyn i sine opplysninger. Les med om GDPR og personopplysninger på Arbinn.

For å vurdere og etterleve GDPR kreves god innsikt i systemet, og forståelse for hvordan det påvirker individer (arbeidstakere). Åpenhet og forklarbarhet i KI-modeller og algoritmer er viktig når systemet skal beskrives for ansatte.

Arbeidsmiljøloven

Arbeidsmiljøloven inneholder krav til arbeidsgiver og rettigheter for ansatte og tillitsvalgte. Som alltid må all utøvelse av arbeidsgivers styringsrett være saklig, forsvarlig og forholdsmessig. Arbeidsgiver har ansvar for et fullt forsvarlig arbeidsmiljø, det gjelder også dersom arbeidshverdagen til ansatte helt eller delvis er styrt av algoritmer. Arbeidsgivere må være særlig oppmerksom på algoritmisk skjevhet og vernet mot diskriminering i arbeidslivet etter arbeidsmiljøloven kapittel 13. Algoritmer og kunstig intelligens kan avhengig av hvilke data som er benyttet til å trene modellene, inneholde skjevheter som kan føre til eller forsterke diskriminerende praksis. Dette innebærer ikke at bedrifter skal unngå å benytte KI-verktøy i virksomheten, men at dette krever kunnskap og etterrettelighet ved vurderingen og innføringen av slike.

I tillegg vil Arbeidsmiljøloven kapittel 9 være spesielt relevant i konteksten av verktøy som benytter algoritmer og kunstig intelligens på arbeidsplassen. Ved innføring eller utvikling av et nytt slikt verktøy, må bedriften vurdere hvorvidt innføringen utgjør et kontrolltiltak etter arbeidsmiljøloven kapittel 9. Reglene vil gjelde dersom formålet med tiltaket er kontroll av ansatte, eller om tiltaket på annen måte er særlig inngripende overfor ansatte - for eksempel dersom det er et betydelig kontrollpotensial. Mange KI-verktøy vil være i denne kategorien.  Les mer om kontrolltiltak og overvåkning på arbeidsplassen på Arbinn.  Kontrolltiltak skal drøftes med tillitsvalgte, og ansatte skal informeres. 

Spesielt om involvering av ansatte og tillitsvalgte

Vi har et godt om omfattende regelverk for samarbeid og involvering av ansatte i Norge. Det er viktig å huske på at dette regelverket også gjelder for innføring av ny teknologi. Vi anbefaler å gjøre bruk av eksisterende fora for dialog og involvering av tillitsvalgte, men også vurdere om det er formålstjenlig at bedriften legger opp til andre og nye samarbeidsfora- eller former når det gjelder KI og ny teknologi.

Både arbeidsmiljøloven og tariffavtaler inneholder flere krav til involvering av ansatte og tillitsvalgte i saker som berører ansatte. Etter arbeidsmiljøloven skal arbeidsgiver drøfte spørsmål av betydning for arbeidstakernes arbeidsforhold med arbeidstakernes tillitsvalgte (dette gjelder for bedrifter over 50 ansatte). Innføring av kontrolltiltak skal alltid drøftes (uansett bedriftens størrelse). Hovedavtalen gir nærmere regler for involvering av ansattes tillitsvalgte, der innføring av ny teknologi er spesielt regulert i tilleggsavtale IV til Hovedavtalen. Innføring av ny teknologi skal drøftes med tillitsvalgte.

Ved innføring av språkmodellverktøy som Microsoft Copilot eller ChatGPT Enterprise, er det ikke alltid lett å kartlegge og bestemme bruksområder på forhånd. Konsekvenser for ansatte er gjerne heller ikke fullt ut avklart på forhånd. Mange bedrifter har derfor en utforsknings- og utprøvingsfase, hvor man ser at det kan være formålstjenlig å ta med tillitsvalgte på råd helt fra start. Flere bedrifter har god erfaring med å inkludere tillitsvalgte i tidligfase pilotprosjekter.

Enkelte av NHOs medlemsbedrifter har sett det som nyttig å oppnevne egne datatillitsvalgte som ivaretar ansattes interesser ved innføring av ny teknologi. Tidlig og god dialog og involvering av tillitsvalgte er særlig viktig der bruk av KI vil kunne føre til store endringer i bedriften og for de ansatte, her kan partene lokalt vurdere hva som er hensiktsmessig i sin bedrift.

Som med etterlevelse av de andre regelverkene, er det helt nødvendig at bedriften har god forståelse for KI-systemet og hvordan det vil påvirke ansatte, arbeidsmiljøet og arbeidsprosessene. Det er en nødvendig forutsetning når bedriften skal redegjøre for og drøfte innføring og bruk med ansatte eller deres representanter. 

Generelt kan man si at kunstig intelligens er digitale systemer som utfører oppgaver som normalt sett krever menneskelig intelligens. En annen måte å beskrive det på er informasjonsteknologi som justerer sin egen aktivitet etter hva som blir puttet inn i den av data/informasjon.  Mer om det her: Hva er kunstig intelligens?