Det grundlæggende: Hvad er problemet?
GDPR kræver at du har et lovligt grundlag for at behandle persondata, at du ved præcis hvad der sker med dataen, og at du kan dokumentere det. Når du sender persondata til en AI-tjeneste som ChatGPT, sender du det til en tredjepart — og det kræver at du har styr på tre ting:
- Databehandleraftale (DPA): Du skal have en skriftlig aftale med AI-leverandøren der regulerer behandlingen af data
- Overførselsgrundlag: Hvis data overføres til lande uden for EU/EØS, skal der være et gyldigt overførselsgrundlag
- Formålsbegrænsning: Data må kun bruges til det formål du har informeret om
De populære AI-tools og GDPR-status
| Tool | DPA tilgængelig | EU-servere | Bruger din data til træning |
|---|---|---|---|
| ChatGPT (Plus/Team) | ✓ Ja | ✗ USA | ∼ Kan frameldes |
| ChatGPT Enterprise | ✓ Ja | ✗ USA | ✗ Nej |
| Claude (Anthropic) | ✓ Ja | ✗ USA | ∼ Kan frameldes |
| Mistral AI (Le Chat) | ✓ Ja | ✓ EU | ✗ Nej |
| Gemini (Google Workspace) | ✓ Ja (via Google) | ∼ Delvist | ✗ Nej (enterprise) |
| Gratis versioner (ChatGPT free etc.) | ✗ Nej | ✗ USA | ✓ Ja |
Hvad du IKKE må gøre
- Sende persondata (navn, email, CPR, helbredsdata) til gratis versioner af AI-tools
- Bruge AI til automatiserede beslutninger om enkeltpersoner uden mulighed for menneskelig gennemgang (fx afvisning af lån, HR-vurderinger)
- Gemme persondata i AI-tools som erstatning for jeres egne systemer
- Bruge AI til at profilere borgere uden eksplicit samtykke
Hvad du godt MÅ gøre
- Bruge ChatGPT Team eller Enterprise med DPA underskrevet — til behandling af forretningsdata
- Anonymisere eller pseudonymisere data inden du sender den til AI
- Bruge Mistral AI til at behandle følsom data — med europæisk infrastruktur
- Selvhoste open-source modeller på jeres egne servere — data forlader aldrig jeres miljø
- Bruge AI til at generere tekst, analysere intern dokumentation og automatisere processer der ikke involverer persondata
Den praktiske tommelfingerregel
AI Act — det der kommer
EU's AI Act trådte i kraft i 2024 og implementeres gradvist frem mod 2026–2027. Det indfører yderligere krav til AI-systemer der bruges til højrisikoformål — herunder HR-beslutninger, kreditvurdering og adgang til kritiske tjenester.
For de fleste SMV'er der bruger AI til at skrive tekster, automatisere interne processer og supportere kundekontakt er AI Act ikke umiddelbart problematisk. Men det er en god idé at have styr på hvilke kategorier jeres AI-brug falder i.
Konkrete handlinger du kan tage nu
- Lav en liste over alle de AI-tools jeres virksomhed bruger i dag
- Tjek om I har DPA på plads med hver leverandør
- Instruer medarbejdere om hvad de ikke må sende til gratis AI-tools
- Overvej om I har processer med persondata der kan køres på europæiske AI-modeller
- Dokumenter jeres AI-brug i jeres behandlingsfortegnelse (GDPR-kravet om at holde register over databehandling)
Konkrete problemstillinger vi ser hos danske virksomheder
Problem: Medarbejderne bruger ChatGPT fri version til at analysere kundedata og skrive tilbud — uden at vide at persondata derved behandles af OpenAI til træning af modellen.
Løsning: Implementer en klar politik om hvilke AI-tools må bruges til hvad. Opgrader til ChatGPT Team eller Enterprise, og informer alle medarbejdere om at persondata ikke sendes til gratis AI-tools.
Problem: Virksomheden bruger en AI-tjeneste baseret i USA til at behandle HR-data og har ikke fået en databehandleraftale på plads.
Løsning: Alle AI-leverandører der behandler persondata på jeres vegne skal have en underskrevet DPA. De store udbydere (OpenAI, Google, Microsoft, Anthropic) tilbyder alle dette — men du skal aktivt bede om det og acceptere de rigtige vilkår.
Problem: En AI-agent bruges til automatisk at afvise jobansøgere baseret på en analyse af deres CV — uden menneskelig gennemgang.
Løsning: GDPR — og snart AI Act — kræver at automatiserede beslutninger der har væsentlig indvirkning på en person kan ankes og skal have menneskelig gennemgang. Byg altid et menneskelig godkendelsestrin ind i afgørende processer.
Ofte stillede spørgsmål om AI og GDPR
Kan jeg bruge ChatGPT til at behandle kundeemails?
Ja — men kun med en betalt konto (ChatGPT Team eller Enterprise) med en databehandleraftale på plads, og kun hvis du har informeret kunderne om at henvendelser kan blive behandlet af AI. For den gratis version gælder det ikke: der bruger OpenAI data til træning, og du kan ikke bruge den til persondata fra kunder eller medarbejdere.
Er det GDPR-compliant at bruge AI til at screene CVs?
Kun delvist. Du må bruge AI til at assistere ansættelsesbeslutninger og lave en indledende sortering — men den endelige afgørelse (hvem der inviteres til samtale) skal godkendes af et menneske. Fuldt automatiserede frasorteringsafgørelser kræver eksplicit samtykke fra ansøgerne og er i strid med GDPR's artikel 22 om automatisk individuel beslutningstagen.
Hvad er en databehandleraftale og hvor finder jeg den?
En databehandleraftale (DPA) er en kontrakt der fastlægger hvordan en leverandør behandler persondata på dine vegne. For OpenAI finder du den via platformen under "Indstillinger → Privatlivsindstillinger". Google og Microsoft har DPA som del af deres erhvervsaftaler. Mistral AI inkluderer det i deres business-plan vilkår.
Hvad er straffen for GDPR-brud i forbindelse med AI?
De potentielle bøder for GDPR-overtrædelser er op til 4% af global omsætning eller 20 millioner euro — hvad der er størst. I praksis er det relativt sjældent at SMV'er modtager store bøder, men det sker. Mere almindeligt er det at Datatilsynet udsteder påbud og kræver ændringer i jeres praksis.
Vil du have AI til at arbejde for dig?
Fortæl os hvad du har brug for — vores AI-team svarer inden for 1 arbejdsdag med konkrete spørgsmål eller et forslag til næste skridt.
Udfyld vores formular →