"Må vi bruge ChatGPT med kundedata?" "Er det lovligt at træne AI på vores emails?" GDPR og AI kan virke kompliceret, men det behøver det ikke være. Her er den praktiske guide uden juridisk jargon til hvordan I bruger AI lovligt i Danmark.
⚠️ Vigtig disclaimer
Denne artikel er ikke juridisk rådgivning. Den giver praktisk vejledning baseret på gængse regler. Til kritiske beslutninger, konsulter altid en advokat specialiseret i databeskyttelse.
De 3 grundregler for AI og GDPR
Regel 1: Persondata skal beskyttes - også i AI
Hvis I bruger AI med persondata (kundeoplysninger, medarbejderdata, etc.), gælder GDPR præcis som med alle andre systemer.
Persondata inkluderer:
- Navne, emails, telefonnumre
- CPR-numre, adresser
- IP-adresser, cookies
- Data der kan identificere en person indirekte
✅ Hvad I GODT må
- Bruge AI til anonymiserede data
- Bruge AI med data I allerede har samtykke til at behandle
- Træne AI på jeres egne interne dokumenter uden persondata
- Bruge AI til opgaver hvor persondata ikke forlader jeres systemer
❌ Hvad I IKKE må
- Upload kundedata til ChatGPT uden databehandleraftale
- Dele personfølsomme oplysninger med AI-tjenester uden hjemmel
- Bruge AI til automatiserede afgørelser om personer uden menneskelig kontrol
- Gemme persondata længere end nødvendigt, også i AI-systemer
Regel 2: Databehandleraftaler er påkrævet
Hvis I bruger eksterne AI-tjenester (ChatGPT, Claude, etc.) med persondata, skal I have en databehandleraftale på plads.
💡 Hvad er en databehandleraftale?
En kontrakt der sikrer at AI-leverandøren behandler jeres data korrekt og efter GDPR-reglerne.
De fleste store AI-udbydere tilbyder dette:
- OpenAI (ChatGPT): Enterprise version har databehandleraftale
- Anthropic (Claude): Claude for Work inkluderer DPA
- Google (Gemini): Google Workspace inkluderer DPA
Vigtig note: Gratis versioner af ChatGPT/Claude har IKKE databehandleraftale. Brug dem ikke med persondata!
Regel 3: Informationspligt gælder også for AI
Hvis I bruger AI i jeres kundeinteraktioner, skal kunderne informeres om det.
Eksempler:
- Chatbot: "Denne chat håndteres af en AI-assistent"
- Email-svar: Hvis AI genererer svar, overvej at nævne det
- Automatiserede beslutninger: SKAL informeres om og have ret til menneskelig gennemgang
Praktiske scenarier: Hvad må I?
Scenarie 1: Kundeservice chatbot
✅ Lovlig tilgang
- Brug AI-tjeneste med databehandleraftale (f.eks. ChatGPT Enterprise)
- Informer brugere: "Chatten håndteres af AI med menneskelig backup"
- Gem kun chat-data så længe nødvendigt
- Giv brugere mulighed for at tale med menneske hvis ønsket
- Opdater jeres privatlivspolitik med AI-brug
Scenarie 2: Email-skrivning med kundedata
⚠️ Pas på her
Problem: Kopierer kundeemails ind i gratis ChatGPT for at lave svar
Risiko: Persondata deles med OpenAI uden databehandleraftale = GDPR-brud
✅ Sikker løsning
- Brug ChatGPT Enterprise/Team (har databehandleraftale)
- Eller: Anonymiser data før upload (fjern navne, emails, etc.)
- Eller: Brug AI kun til generiske skabeloner uden persondata
Scenarie 3: Dataanalyse af kundeadfærd
✅ Lovlig tilgang
- Brug AI-værktøj med databehandleraftale
- Sikr at I har hjemmel til at analysere data (samtykke eller legitim interesse)
- Anonymiser data hvis muligt
- Informer kunder i privatlivspolitik om AI-drevet analyse
- Giv kunder mulighed for at fravælge (opt-out)
Tjekliste: Er jeres AI-brug GDPR-compliant?
Gennemgå denne tjekliste før I implementerer AI:
- Har vi kortlagt hvilke persondata AI-systemet behandler?
- Har vi databehandleraftale med AI-leverandøren?
- Er vores privatlivspolitik opdateret til at inkludere AI-brug?
- Har vi informeret berørte personer om AI-behandling?
- Har vi sikret at data kun gemmes så længe nødvendigt?
- Kan personer nemt udøve deres rettigheder (indsigt, sletning)?
- Er der menneskelig kontrol ved vigtige beslutninger?
- Har vi dokumenteret vores AI-processer i behandlingsfortegnelsen?
Mest almindelige GDPR-fejl med AI
Fejl 1: Bruger gratis ChatGPT til arbejde med kundedata
Problem: Gratis version har ingen databehandleraftale.
Løsning: Opgrader til Team/Enterprise eller anonymiser data først.
Fejl 2: Glemmer at opdatere privatlivspolitik
Problem: Informationspligt ikke opfyldt.
Løsning: Tilføj sektion om AI-brug i jeres privatlivspolitik.
Fejl 3: Automatiserede afgørelser uden menneskelig kontrol
Problem: AI træffer beslutninger om personer automatisk.
Løsning: Sikr altid menneskelig gennemgang ved vigtige beslutninger.
Fejl 4: Manglende dokumentation
Problem: Kan ikke dokumentere GDPR-compliance overfor Datatilsynet.
Løsning: Dokumenter AI-processer i behandlingsfortegnelse.
Quick guide: Vælg det rigtige AI-værktøj
Hvis I arbejder med persondata, vælg AI-værktøjer med:
- Databehandleraftale (DPA): Skal være inkluderet
- EU-baseret databehandling: Foretrækkes (nemmere GDPR-compliance)
- Data retention kontrol: I skal kunne slette data
- Ingen træning på jeres data: Jeres data må ikke bruges til at træne deres AI
- Audit logs: I skal kunne se hvad der er sket med data
💡 Anbefalede AI-værktøjer for GDPR-compliance
Med databehandleraftale:
- ChatGPT Enterprise/Team
- Claude for Work
- Microsoft Copilot (gennem M365)
- Google Gemini (gennem Workspace)
Bemærk: Gratis versioner har typisk IKKE databehandleraftale!
Hvad sker hvis vi bryder GDPR?
GDPR-overtrædelser kan føre til:
- Bøder: Op til 4% af global omsætning eller 20 mio. EUR (højeste beløb gælder)
- Påbud fra Datatilsynet: Skal rette problemer eller stoppe behandling
- Omdømmeskade: Negativ omtale og tab af kundetillid
- Erstatningskrav: Berørte personer kan kræve erstatning
For SMV: Selv mindre overtrædelser kan føre til bøder på 50.000-500.000 kr. Det er det værd at gøre det rigtigt fra starten.
Konklusion: GDPR og AI er ikke umuligt
GDPR behøver ikke at være en barriere for AI-brug. Det handler om at gøre det rigtigt fra starten:
- Vælg AI-værktøjer med databehandleraftale hvis I arbejder med persondata
- Opdater jeres privatlivspolitik
- Informer berørte personer
- Dokumenter jeres processer
- Sikr menneskelig kontrol ved vigtige beslutninger
Følg disse principper, og I kan bruge AI lovligt og ansvarligt i Danmark.
Brug for hjælp til GDPR-compliant AI?
Vi hjælper jer med at sætte AI op på en GDPR-venlig måde. Book en konsultation hvor vi gennemgår jeres specifikke situation og sikrer compliance.
Book konsultationOm artiklen: Baseret på gængse GDPR-regler og best practices for AI-brug i Danmark. Konsulter altid juridisk rådgiver for specifikke juridiske spørgsmål.