Som enkeltperson kan du klage til Datatilsynet dersom du har opplevd noe du mener er et brudd på personvernregelverket.

De siste årene har Datatilsynet opplevd en markant økning i antall klager vi mottar, og veksten tok skikkelig fart i 2025. Fra 2024 til 2025 mer enn doblet antallet seg, fra 902 til 1848 klager. Basert på antallet klager så langt i år, er det mye som tyder på at denne trenden fortsetter.

Denne økningen sammenfaller med en annen trend: Offentlig sektor i hele landet opplever en dramatisk økning i saker fra enkeltpersoner som er utformet ved hjelp av generativ kunstig intelligens (KI), mer spesifikt språkmodeller som for eksempel ChatGPT eller Gemini.

I Datatilsynet har vi analysert klagene som virker å være generert ved hjelp av KI. Ikke bare får vi flere klager, men klagene som er skrevet ved hjelp av KI er ofte vanskeligere og mer tidkrevende å behandle på vår kant.

Hvor mange klager får vi som virker å være KI-generert?

For å finne ut i hvor stor grad KI blir brukt i klager, har vi gått igjennom klagene fra noen utvalgte måneder i løpet av det siste året.

Vi delte klagene i tre kategorier:

• Uten KI – Klager som ikke ser ut til å ha vært laget ved hjelp av språkmodeller
• Hybrid – Klager som ser ut til å være delvis skrevet selv og delvis skrevet ved hjelp av språkmodeller
• Med KI – Klager som gjennomgående hadde et karakteristisk preg av å være skrevet av enspråkmodell

Se kriteriene vi brukte for å vurdere hvorvidt en klage er KI-generert eller ikke nederst i denne teksten.

Ett av funnene våre var at andelen klager vi mottok, som hadde et karakteristisk KI-preg gjennom hele teksten, økte fra 15 prosent i mars 2025 til 34 prosent i desember 2025 (se figur over). Dette betyr at ved årets slutt kan så mye som én av tre klager ha blitt utformet med hjelp av KI.  

For å få et innblikk i når denne trenden startet, sammenlignet vi også klagene vi mottok i mai 2024 med samme måned i 2025. I mai 2024 var det kun 2 prosent av klagene som hadde et karakteristisk preg av å være utarbeidet ved hjelp av KI, mot 23 prosent i 2025. Siden den tid har altså andelen vokst ytterligere

Hvordan påvirker KI saksbehandlingen?

Mange av de KI-genererte klagene mangler en beskrivelse av hva som faktisk har skjedd, og dokumentasjon på kontakt med virksomheten eller personen som de ønsker å klage på. Dette gjelder spesielt de tilfellene der klageren i liten grad redigerer tekstforslaget fra språkmodellen før de sender klagen til oss.

Vi ser også ofte at slike klager inneholder overflødig og generell informasjon, og kan dermed bli svært omfattende. Klagere presenterer gjerne en rekke klagemål og henviser til bestemmelser i lovverket som angivelig har blitt brutt, gjerne også bestemmelser som ikke gir klageadgang, eller ikke eksisterer. Resultatet ser imponerende ut, men mangler ofte vesentlig eller korrekt informasjon.

På mottakersiden sitter en saksbehandler som må forholde seg til store mengder tekst, et mangelfullt faktagrunnlag, og hvor det er uklart hva klageren egentlig ønsker å klage på. For å kunne behandle saken må saksbehandleren avgrense klagen og etterspørre nødvendig informasjon fra klager, et merarbeid som gir lengre saksbehandlingstid.   

Klage til Datatilsynet? Bare fakta, takk!

Enten du skriver klagen ved hjelp av KI eller helt for egen maskin: Her er noen tips til deg som skal sende inn en klage som kan bidra til mest mulig effektiv og god behandling.

Sørg for at klagen inneholder:

1.  En kort forklaring om hva den du klager på har gjort med dine personopplysninger som du mener er ulovlig.

For eksempel: «Min arbeidsgiver har satt opp kameraer på min arbeidsplass som peker mot min arbeidsstasjon, lageret og pauserommet. Sjefen min bruker opptakene til å kontrollere eller sjekke om jeg gjør jobben min riktig. Sjefen sitter hjemme og følger med på hva jeg gjør og ringer for å kjefte når hen mener jeg gjør noe galt.»

2. Dokumentasjon på hvilken kontakt det har vært med virksomheten eller personen du klager på. Om dere ikke har vært i kontakt, forklar hvorfor.

For eksempel: «Jeg har sendt en epost til sjefen min og sagt ifra om at dette ikke er ok, og fikk beskjed om at jeg bare måtte finne meg i det eller slutte. Se vedlagt e-postutveksling».

Det er ikke nødvendig å vise til hvilke bestemmelser i regelverket som kan ha blitt brutt, eller hva Datatilsynet skal gjøre for å løse saken. Dette er oppgaver som Datatilsynet selv vil kunne identifisere basert på faktagrunnlaget.

Hva så vi på for å vurdere om klagen var utformet ved hjelp av KI?

• Format: Hyppig bruk av fet skrift, punktlister, lange tankestreker m.m.
• Språk og tone: Uvanlig korrekt og polert språk, henvisninger til lovhjemler, krav m.m.
• Struktur: Rapportformat, lange avsnitt, generelle argumenter m.m.
• Innhold: Mangler detaljer som dato, navn, hendelser og steder, kommunikasjon m.m.

Personvernundersøkelsen 2024, utført av analyseselskapet Opinion på vegne av Datatilsynet, gir innsikt i dette spørsmålet.

Kjenner folk flest sine rettigheter?

En viktig forutsetning for at vi skal kunne ta vare på rettighetene våre er at vi kjenner til dem. Kjenner den norske befolkningen egentlig til sentrale rettigheter i personvernregelverket?

De aller fleste har hørt om retten til informasjon om hva en virksomhet samler inn, innsyn i personopplysninger, retten til å slette og at det i blant er lov å protestere mot bruk. Det er et godt utgangspunkt. Det betyr, i det minste i teorien, at de har noen verktøy de kan bruke når de føler at opplysningene ikke blir brukt i tråd med forventningene.

Opplever folk at de har kontroll?

Når så mange har kjennskap til sentrale rettigheter i personvernregelverket – betyr det at folk flest opplever at de har kontroll over hvordan personopplysningene deres brukes på internett?

Svaret på det spørsmålet er mer sprikende. Det er flest som velger «verken eller» på påstanden om opplevd kontroll, noe som kan tyde på at mange er usikre, eller at graden av opplevd kontroll er avhengig av hvilken tjeneste det er snakk om. Totalt sett er det flere som føler at de i svært liten eller liten grad har kontroll, enn som føler at de har stor eller svært stor grad av kontroll.

Undersøkelsen viser også at eldre mennesker i større grad enn yngre oppgir å ha kontroll over personopplysningene sine. Dette kan ha en sammenheng med at de trolig bruker færre tjenester på internett enn sine yngre, mer digitalt avanserte landsmenn. Jo flere tjenester som samler inn opplysninger, desto mer krevende kan det være å ta kontroll over opplysningene sine. Variasjonen i svarene kan også henge sammen med graden av tillit til de ulike tjenestene. Undersøkelsen viser at nordmenn flest har tillit til at offentlige virksomheter og banker behandler opplysningene deres på en god måte, mens kommersielle tjenester som sosiale medier og spill ikke nyter den samme tilliten.

Forstår folk flest hva som samles inn om dem?

De fleste har altså kjennskap til personvernrettighetene sine, men mange opplever at de ikke har kontroll over personopplysningene sine. En forutsetning for å kunne ta kontroll er å i første instans forstå hva de ulike virksomhetene samler inn av informasjon. I undersøkelsen har vi bedt respondentene ta stilling til om de forstår hva som samles inn gjennom ett av mange eksempler på sporingsteknologi vi omgir oss med, nemlig informasjonskapsler.

Informasjonskapsler er sporingsteknologi som vi som brukere stadig blir bedt om å ta stilling til. Hva skal virksomheten få lov til å samle inn? Kapslene brukes til å huske informasjon om de som besøker et nettsted, slik som foretrukne innstillinger eller innloggingsdetaljer, som gjør det enklere å bruke tjenesten. Andre kapsler kartlegger i detalj hvilke sider brukerne besøker, hvor lenge de er der og hva de gjør.

Det er flere som sier at de ikke forstår, enn som forstår, hva de bes om å ta stilling til når et nettsted ber om samtykke til å samle inn opplysninger om dem. Vi stilte også et oppfølgingsspørsmål om i hvilken grad folk flest tenkte seg om før de valgte innstilling. Selv blant de som tenker seg om sier halvparten at de fortsatt ikke forstår hva virksomheten ber om å få samle inn av opplysninger. Dette indikerer at det er vanskelig å få en oversikt over hva som samles inn om oss når vi besøker ulike nettsteder. Og jo flere nettsteder vi besøker, desto vanskeligere er det å opprettholde en oversikt, og dermed også å ha kontroll over egne personopplysninger.

Undersøkelsen viser også at mange av de som forstår hva virksomhetene ber om å få samle inn ikke har kontroll over personopplysningene sine. Resultatet gir sterke indikasjoner om at det er vanskelig å ha oversikt over sporingen som foregår på internett, og at det oppleves som vanskelig å ta kontroll over egne personopplysninger.

Det kan altså se ut som at det ikke er mangelen på kunnskap som hindrer oss fra å ta kontroll over personopplysningene våre, men at det snarere er måten de samles inn på og brukes som er vanskelig å få oversikt over. Uten reelle verktøy for å ivareta rettighetene våre, ligger vårt personvern i stor grad i virksomhetenes hender.

2023 har vært et sammenhengende gjennombrudd for generativ kunstig intelligens, og «KI-generert» er årets nyord. Verktøyene er både artige og nyttige, men utfordrer også personvernet. Vi markerte dagen med et arrangement om tematikken, og løfter her frem noen høydepunkter fra dagen.

Hva skjedde i 2023?

Med Open AI ble generativ KI allemannseie og representerer denne generasjonens viktigste teknologigjennombrudd. Mange mener at hemmeligheten bak suksessen ligger i at modellen oppleves menneskelig når du bruker den. Det ligger dessuten stor variasjon av muligheter i store språkmodeller, fra å lage chatbots og programmeringskode til å skape kunst og oversette tekster, for å nevne noe.

Denne kraftige teknologien har også noen skyggesider knyttet til de enorme datamengdene modellen er trent på, slik som manglende åpenhet og potensial for misbruk av ondsinnede aktører. Som konsekvens krevde 1000 eksperter et midlertidig forbud, og idet italienske datatilsynet påla OpenAI om å stanse all behandling av data fra italienske brukere, kunne direktør i Datatilsynet, Line Coll, fortelle.

Av andre saker med stor betydning i 2023 trakk Line frem følgende:

• EU-U.S. Data Privacy Framework: Et nytt avtaleverk som gjør det mulig å overføre personopplysning mellom EU og USA.   
• Meta-saken: Datatilsynet fattet et vedtak om at Metas behandling av personopplysninger for adferdsbasert markedsføring var ulovlig på Facebook og Instagram.
• Barns personvern neglisjeres: Amazon fikk bot for å lagre taledata gjennom Alexa og klokker som primært brukes av barn. TikTok fikk bot for ikke å ha godt nok personvern for mindreårige. I Norge har strømming av barneidrett vært en het potet.

Trender i 2024

Direktør i Teknologirådet, Tore Tennøe, gikk gjennom noen trender og forsøkte å se inn i personvernets umiddelbare fremtid. Det knyttes blant annet stor interesse til bruken av ansiktsgjenkjenningsteknologi i tiden fremover, som for eksempel under OL i Paris. Skal man kunne gjenkjenne ansikter, eller bare posisjoner og mistenkelige objekter? Diskusjonen aktualiserer etterretningsbehov mot retten til privatliv.

AI Act er nylig vedtatt, og blir et avgjørende rammeverk for utviklingen av KI fremover, også med hensyn til bruken av biometri, som i ansikts- og følelsesgjenkjenningsteknologi.

2024 markerer antakeligvis begynnelsen på slutten på den opprinnelige overvåkingsteknologien – informasjonskapselen. Google vil kutte det ut i sin nettleser Chrome i løpet av 2024.

Nysgjerrig på å se dypere inn i spåkula? Se opptaket! (link nederst i dette blogginnlegget).

Kan man trene språkmodeller med data fra nettet?

I utviklingen av Open AI ble det brukt enorme mengder data fra en stor variasjon av kilder. Selskapet er sparsomme med å fortelle hvor de har hentet data fra. Tore viste imidlertid en analyse av et snapshot som viste kilder som sosiale medier, nettsider, elektroniske bøker, et valgregister og personlige blogger. Både Google og Open AI har fått søksmål mot seg grunnet denne typen praksis.

Det sentrale i en personvernsammenheng er at man må ha et lovlig behandlingsgrunnlag for å kunne behandle personopplysninger. Vi diskuterte behandlingsgrunnlaget «berettiget interesse», og i hvilken grad dette kan brukes til å innhente data. Det er flere saker knyttet til dette i Europa nå.

Behandlingsgrunnlag er altså nøkkelen, også til andre modeller innen ulike domener som for eksempel finans, utdanning og helse. Dataene får stadig nye formål, og utfordrer eksempelvis både pasientenes og de ansattes rett til personvern. Her er det noen utfordringer. Skal man spørre om samtykke igjen? Hva gjør man med de som sier nei? Bør man heller anonymisere eller bruke syntetiske data?

Kunstig intelligens og personvern i den virkelige verden

Eivind Arntsen er advokat og leder av Juridisk ABC, en tjeneste basert på generativ KI som skal gjøre det enklere for arbeidsgivere å manøvrere riktig innenfor arbeidsrett. De ønsker å tilpasse tjenesten med å gi den tilgang til dommer og lovtekst, noe som utgjør deres primære utfordring. Juridisk ABC er for øvrig ett av fire prosjekter i Datatilsynets regulatoriske sandkasse våren 2024.

Umair M. Imam er sjef for data og KI i Ruter, og har erfaring med å bruke KI i et titalls prosjekter i Ruter. De bruker for eksempel generativ KI for å analysere klager. Brukere deler ofte data om seg selv i disse klagene, noe Ruter løser ved hjelp av en algoritme som «gjemmer» persondataene.

Julie Lødrup er førstesekretær i LO, og benyttet anledningen til å løfte frem prinsippet om arbeidstakeres rett til medbestemmelse. Den fungerer stort sett godt på alle felt i det norske arbeidslivet, unntatt ett: digitalisering. Hun mener dette skyldes at både arbeidsgivere og arbeidstakere anser teknologi generelt, og kanskje KI spesielt, som noe vanskelig og som kun angår teknologene. De som skal bruke teknologien bør involveres. Hun fremhevet også utfordringen med at teknologien som anskaffes ofte er laget i land med andre arbeidsmodeller som ikke er like opptatt av arbeideres rettigheter. Om programvaren har funksjonalitet som gjør det mulig å overvåke de ansatte, kan det være lett for arbeidsgiver å la seg friste.

Er politikken tilpasset terrenget?

På fjorårets personverndag ble en nasjonal personvernpolitikk diskutert, og i år fulgte vi opp med siste status i politikken. I løpet av sommeren 2024 skal en ny digitaliseringsstrategi og en ny personvernstrategi være ferdig, og de to skal henge tett sammen, fortalte statssekretær Gunn Karin Gjul (Ap). For å unngå at denne politikken ender opp med kun strategier og lite handling, ønsker Grunde Almeland (V) en mer demokratisk forankret stortingsmelding på temaet.   

En annen stor sak er KI-forordningen (AI Act), som vil treffe stortinget gjennom lovgivning. Gjul orienterte om at dette er EØS-relevant, og at myndighetene er i gang med dette arbeidet allerede. Det er ikke bestemt hvordan dette skal organiseres, og Digitaliserings- og forvaltningsdepartementet har gitt DFØ i oppdrag å utrede mulige organisatoriske systemer som algoritmetilsyn, overordnet tilsyn og rapporteringsordninger.

Avslutningsvis spurte Tore, på vegne av en venn, om det er greit å ha en KI-kjæreste. Panelet var enige om at det måtte være opp til den enkelte, men med ett premiss: at leverandøren av KI-kjæresten opererer innenfor loven. Og det skal vi hjelpe dem med, rundet Line av med. 

Se opptak av hele arrangementet på Datatilsynets nettsider.