Din kollega kopierer et udkast til en ny samarbejdsaftale ind i ChatGPT og beder om en kortere version. Tre minutter senere er opgaven løst. Men hvad skete der egentlig med de fortrolige oplysninger i dokumentet? Det spørgsmål holder mange organisationer vågne om natten, og med god grund. For en bredere forståelse af emnet, se også vores ultimative tryghedsguide til AI og GDPR på arbejdspladsen. Denne guide giver dig et konkret overblik over, hvordan GDPR og ChatGPT hænger sammen, hvilke indstillinger du bør kende, og hvordan du kan bruge værktøjet uden at sætte datasikkerheden over styr. Har du brug for den brede introduktion til værktøjet først, finder du den i vores komplette guide til ChatGPT.
Indholdsfortegnelse
- Hvad sker der med dine data, når du bruger ChatGPT?
- Slå datatræning fra: Den vigtigste indstilling du skal kende
- GDPR og ChatGPT: Tre ting din organisation skal have styr på
- Hvad med OpenAI's egne tiltag?
- Er ChatGPT faktisk GDPR-lovlig at bruge?
- En praktisk tjekliste til mandag morgen
- Sikkerhed er ikke et produkt. Det er en vane.
Hvad sker der med dine data, når du bruger ChatGPT?
Når du skriver noget i ChatGPT, sender du teksten til OpenAI's servere i USA. Det er her, de tunge beregninger foregår, og det er også her, spørgsmålet om datasikkerhed starter.
Det sker konkret i tre trin:
- Din tekst sendes krypteret fra din browser eller app til OpenAI's servere via HTTPS.
- Modellen behandler inputtet på OpenAI's infrastruktur, som primært ligger hos Microsoft Azure i USA.
- Svaret returneres til dig – men OpenAI gemmer som standard samtalerne på sine servere og kan bruge dem til at forbedre fremtidige modeller.
Det tredje punkt er det kritiske i en GDPR-sammenhæng.
OpenAI har som standard mulighed for at bruge dine samtaler til at forbedre deres modeller. Tænk på det som en bager, der gemmer dine bestillinger for at lære, hvad kunderne vil have. Forskellen er bare, at din "bestilling" kan indeholde kundedata, personaleplaner eller fortrolige tal fra næste kvartals budget.
Hvad gemmes, og hvor længe? OpenAI gemmer som standard samtalehistorik på ubestemt tid, medmindre du sletter den manuelt eller slår den fra. Oplysningerne kan blive gennemgået af OpenAI-medarbejdere som led i sikkerhedsgennemgang og modeltræning.
Det betyder konkret: Hvis du taster CPR-numre, kundenavne eller interne strategidokumenter ind i standardversionen af ChatGPT, risikerer du, at oplysningerne indgår i træningsdata. Det er et problem i forhold til GDPR, fordi du som dataansvarlig har pligt til at beskytte persondata – og fordi overførslen til servere i USA kræver et lovligt overførselsgrundlag.
Slå datatræning fra: Den vigtigste indstilling du skal kende
Den gode nyhed er, at du kan slå datatræning fra i ChatGPT. Her er præcis, hvor indstillingen sidder, og hvad de andre relevante indstillinger gør:
Sådan slår du datatræning fra (trin for trin):
- Log ind på chat.openai.com i din browser.
- Klik på dit profilbillede eller initialer i øverste højre hjørne.
- Vælg "Settings" i menuen.
- Klik på "Data controls" i venstremenuen.
- Find "Improve the model for everyone" og slå den fra med toggle-knappen, så den bliver grå.
Når du har gjort det, bruger OpenAI ikke længere dine samtaler til at træne modellen. Dine data bliver stadig behandlet på deres servere (det er sådan tjenesten fungerer), men de indgår ikke i fremtidig modeltræning.
De øvrige indstillinger under "Data controls" – og hvad de betyder:
| Indstilling | Hvad den gør | Anbefaling |
|---|---|---|
| Improve the model for everyone | Tillader OpenAI at bruge dine samtaler til træning | Slå fra ved arbejdsbrug |
| Chat history & training | Gemmer samtalehistorik og bruger den til træning | Slå fra hvis du behandler følsomme data |
| Shared links | Giver mulighed for at dele samtaler via link | Slå fra hvis fortrolighed er vigtig |
| Export data | Downloader al din data fra OpenAI | Brug aktivt som dokumentation |
Bemærk: Selvom du slår datatræning fra, gemmer OpenAI stadig dine samtaler i 30 dage til sikkerhedsformål, inden de slettes. Det fremgår af deres privatlivspolitik. Du kan ikke slå dette fra i standardversionen.
For organisationer, der vil have et ekstra lag af tryghed, tilbyder OpenAI også betalingsplaner som ChatGPT Team og Enterprise. Her er datatræning slået fra som standard, og du får ekstra kontrol over, hvem der har adgang til hvad. Vil du forstå forskellen på abonnementerne i detaljer, kan du læse vores guide til at vælge det rette ChatGPT-abonnement.
GDPR og ChatGPT: Tre ting din organisation skal have styr på
1. Lav en intern politik, før I logger ind
Forestil dig en kundeservicechef med 15 medarbejdere, der alle svarer på de samme 50 kundehenvendelser om ugen. En af dem begynder at kopiere kundeklager direkte ind i ChatGPT for at få hurtigere svartekster. Uden en intern retningslinje ved medarbejderen ikke, at kundenavne og ordrenumre aldrig må tastes ind.
En intern AI-politik behøver ikke være et 20-siders juridisk dokument. Her er en skabelon, du kan kopiere og tilpasse:
AI-politik for [Virksomhedsnavn] – brug af ChatGPT
Dette må aldrig indtastes i ChatGPT:
- CPR-numre, pas- eller kørekortnumre
- Kundenavne kombineret med kontaktoplysninger eller ordredata
- Løn- og personaleoplysninger
- Fortrolige kontrakter eller aftaler med tredjeparter
- Intern økonomi (budgetter, prognoser, regnskaber)
Dette må gerne bruges i ChatGPT, hvis data er anonymiseret:
- Generelle formuleringer og tekstudkast
- Anonymiserede eksempler til sparring om processer
- Research og opsummering af offentligt tilgængeligt indhold
Praktisk regel: Spørg dig selv – ville jeg lægge dette op på en offentlig opslagstavle? Nej? Så skal det ikke i ChatGPT.
Abonnement: Vi bruger [gratis/Plus/Team/Enterprise]. Ved spørgsmål, kontakt [navn/rolle].
At bygge virksomhedens egen 'AI-hjerne' er en effektiv måde at sikre konsistent og sikker brug af AI.
2. Anonymisér altid, før du deler
En tommelfingerregel, der virker: Fjern alt, der kan identificere en person, før du sender noget til ChatGPT. Her er konkrete eksempler på, hvordan det ser ud i praksis:
Eksempel: Kundesupport
❌ Må ikke sendes:
"Kunde Mette Hansen, tlf. 2345 6789, klager over ordre #4421. Hun har ventet 14 dage og truer med at anmelde os til Forbrugerrådet."
✅ Send i stedet:
"En kunde klager over forsinkelse på 14 dage og truer med anmeldelse til Forbrugerrådet. Hvad er en god svarskabelon?"
Eksempel: HR-opgave
❌ Må ikke sendes:
"Medarbejder Lars Nielsen, 47 år, har haft 12 sygedage i år. Skriv en advarsel."
✅ Send i stedet:
"En medarbejder har haft mange sygedage. Hvad bør en advarsel ifølge dansk ansættelsesret indeholde?"
Eksempel: Kontraktgennemgang
❌ Må ikke sendes:
[Hele kontrakten med firmanavne, CVR-numre og underskrifter]
✅ Send i stedet:
"Her er en kontraktklausul om konkurrencebegrænsning: [Kopier kun den relevante paragraf, fjern navne]. Er formuleringen standard eller usædvanlig?"
Erstat navne med "Medarbejder A". Fjern CPR-numre, adresser og kundenumre. Tænk på det som at sætte et filter på vandhanen. Vandet (din tekst) løber stadig igennem, men snavset (persondata) bliver fanget, før det når ud.
3. Vælg det rette abonnement til jeres behov
Standardversionen af ChatGPT er bygget til privatpersoner. Her er en direkte sammenligning af, hvad der adskiller planerne i en GDPR-kontekst:
| Funktion | Gratis | Plus | Team | Enterprise |
|---|---|---|---|---|
| Datatræning slået fra som standard | ❌ | ❌ | ✅ | ✅ |
| Data Processing Agreement (DPA) | ❌ | ❌ | ✅ | ✅ |
| Administrationspanel til brugeradgang | ❌ | ❌ | ✅ | ✅ |
| Data lagres isoleret fra andre virksomheder | ❌ | ❌ | ✅ | ✅ |
| Udvidede sikkerhedsgarantier og SLA | ❌ | ❌ | Begrænset | ✅ |
| Pris (ca.) | Gratis | ~135 kr/md | ~200 kr/bruger/md | Tilbud |
Anbefaling: Bruger du ChatGPT til arbejdsopgaver, der blot kan involvere persondata, er Team-planen minimumsgrænsen for forsvarlig brug. For offentlige myndigheder eller virksomheder, der behandler følsomme kategorier af data (helbred, økonomi, HR), bør Enterprise-planen overvejes – og juridisk rådgivning indhentes.
Hvad med OpenAI's egne tiltag?
OpenAI har selv taget flere skridt i retning af bedre privacy. Her er, hvad de faktisk tilbyder – og hvad det konkret betyder for dig:
Data Processing Agreement (DPA)
OpenAI tilbyder en DPA til betalingskunder (Team og Enterprise). Det er en juridisk aftale, der fastlægger, at OpenAI handler som databehandler på dine vegne. Uden en DPA er din brug af ChatGPT til behandling af persondata sandsynligvis i strid med GDPR artikel 28. Du kan underskrive DPA'en digitalt via din kontoindstillinger under Enterprise eller ved at kontakte OpenAI direkte som Team-kunde.
Ret til dataindsigt og -sletning
Du kan eksportere alle dine samtaledata under Settings > Data controls > Export data. Du kan også anmode om at få din konto og alle tilknyttede data slettet via OpenAI's privacy-formular på privacy.openai.com. OpenAI er forpligtet til at efterkomme sådanne anmodninger inden for 30 dage i henhold til GDPR.
API-adgang
Bruger du ChatGPT via OpenAI's API (typisk relevant for udviklere eller virksomheder med egne systemer), bruger OpenAI som standard ikke API-data til modeltræning. Det er en vigtig forskel fra den almindelige webgrænseflade.
Overførsel til USA
OpenAI's servere ligger primært i USA via Microsoft Azure. Overførslen er dækket af EU-US Data Privacy Framework, som EU-Kommissionen godkendte i 2023. Det giver et lovligt overførselsgrundlag – men rammen er politisk omdiskuteret og kan potentielt ændres. Følg udviklingen, hvis din organisation behandler særligt følsomme data.
En dybere sammenligning af GDPR-sikkerheden i Microsoft Copilot kontra ChatGPT Enterprise kan give yderligere perspektiv for større organisationer.
Er ChatGPT faktisk GDPR-lovlig at bruge?
Det er det spørgsmål, titlen lovede svar på – og det fortjener et direkte svar.
Det korte svar: Det afhænger fuldstændig af, hvordan du bruger det.
GDPR er ikke et godkendelsesstempel. Det er et sæt krav til, hvordan du behandler persondata. ChatGPT kan bruges i overensstemmelse med GDPR – men det kræver, at du aktivt opfylder kravene.
Her er, hvornår din brug sandsynligvis er lovlig:
- Du bruger Team- eller Enterprise-planen med en underskrevet DPA
- Du har dokumenteret hjemmel til at behandle de pågældende data (fx legitim interesse eller samtykke)
- Du har anonymiseret data, inden de sendes
- Du har en intern politik og har informeret dine medarbejdere
Her er, hvornår din brug sandsynligvis er i strid med GDPR:
- Du bruger gratis- eller Plus-versionen til at behandle persondata fra kunder eller medarbejdere
- Du har ikke indgået en DPA med OpenAI
- Du sender ubehandlede personoplysninger (navne, CPR, sundhedsdata) direkte ind i ChatGPT
- Du har ikke lavet en risikovurdering (DPIA) for behandlingen
Datatilsynets holdning: Datatilsynet i Danmark har ikke udstedt et generelt forbud mod ChatGPT, men har understreget, at virksomheder selv er ansvarlige for at sikre lovlig behandling. Italien forbød midlertidigt ChatGPT i 2023 netop på grund af manglende DPA og gennemsigtighedsproblemer – et signal om, at tilsynsmyndighederne er opmærksomme.
Betyder det, at ChatGPT er "GDPR-godkendt"? Nej – fordi det begreb ikke eksisterer. GDPR er en løbende forpligtelse, der afhænger af, hvordan du bruger værktøjet. OpenAI kan levere rammerne, men ansvaret for at beskytte persondata ligger hos dig og din organisation.
En praktisk tjekliste til mandag morgen
Før du lukker denne artikel, er her syv konkrete ting du kan gøre i dag:
- Slå datatræning fra under Settings > Data controls > "Improve the model for everyone"
- Slå samtalehistorik fra under samme menu, hvis du behandler følsomme data
- Vurder jeres abonnement – bruger I gratis eller Plus til arbejdsopgaver med persondata? Opgrader til Team som minimum
- Underskriv en DPA med OpenAI – tilgængeligt for Team og Enterprise-kunder
- Skriv en intern AI-politik – brug skabelonen fra afsnit 3.1 som udgangspunkt
- Informér dit team med konkrete eksempler på hvad der må og ikke må deles
- Dokumentér din brug – lav en kort DPIA (databeskyttelseskonsekvensvurdering) for ChatGPT-brug, hvis I behandler følsomme kategorier af data
Vil du forstå mere om, hvad ChatGPT egentlig er, og hvordan det fungerer under overfladen, har vi skrevet en forklaring uden teknisk volapyk.
Sikkerhed er ikke et produkt. Det er en vane.
ChatGPT kan spare din organisation for hundredvis af timer på alt fra referater til udkast og research. Men den tid er ingenting værd, hvis I mister tillid eller bryder lovgivningen på vejen.
Datasikkerhed i OpenAI handler ikke om at købe det dyreste abonnement og læne sig tilbage. Det handler om at opbygge gode vaner hos de mennesker, der bruger værktøjet hver dag: at anonymisere før de deler, at kende forskel på en gratis konto og en kontrakt med en databehandler, og at forstå at GDPR ikke er noget juridisk afdelingen ordner én gang – det er noget alle i organisationen praktiserer løbende.
Start med tjeklisten. Brug skabelonen. Tal med dine kolleger. Det er der, den reelle beskyttelse opstår.
Ofte stillede spørgsmål
Bruno Poulsen er partner i Poulsen & Vinding, et konsulenthus der hjælper danske virksomheder og styrelser med at tage generativ AI i brug i den daglige drift. Han er senior underviser hos Bigum&Co gennem 10+ år og har siden 2023 stået bag AI-implementeringer, foredrag og workshops for blandt andre Lægemiddelstyrelsen, GS1 Danmark, Bornholms Højskole og 30+ bornholmske SMV’er via Business Center Bornholm. Skriver om praktisk anvendelse af AI-værktøjer, prompt engineering og hvordan ledelser kommer i gang mandag morgen kl. 08.00.
