67 procent af danske virksomheder tøver med at implementere nye AI-værktøjer på grund af bekymringer om datasikkerhed og GDPR. Det er en helt sund reaktion, når man til daglig arbejder med borgernes eller kundernes fortrolige oplysninger. Løsningen er ikke at forbyde teknologien, for så går vi glip af en massiv lettelse af hverdagens administrative byrder. Løsningen er at etablere faste rammer. Hvis du vil have fuldt udbytte af de metoder, vi beskriver i Den Ultimative Guide til Claude Cowork: Din Lokale AI-Arbejdsstation, kræver det absolut ro i maven omkring datahåndteringen. Her får du den praktiske opskrift på Claude Cowork datasikkerhed, så du trygt kan uploade dokumenter og lade assistenten klare rugbrødsarbejdet.
Hovedpointer:
- Dine data er din egen: Betalingsversionerne af Claude bruger ikke dine uploadede dokumenter til at træne deres modeller.
- Brug "trafiklys-metoden" til nemt at lade alle medarbejdere afgøre, hvilke filer der må behandles i systemet.
- EU's standardkontrakter (SCC) udgør dit juridiske sikkerhedsnet, der tvinger udbyderen til at følge europæiske regler.
Indholdsfortegnelse
- Trafiklys-metoden: Sådan sorterer du filer til Claude Cowork
- Hvad EU's standardkontrakter faktisk betyder for dig
- Lokal dataanalyse uden at kompromittere sikkerheden
- Sådan implementerer du trafiklys-metoden i praksis
- FAQ: De mest stillede spørgsmål om sikkerhed
Trafiklys-metoden: Sådan sorterer du filer til Claude Cowork
Det dummeste, man kan gøre, er at overlade ansvaret for datasikkerhed til den enkelte medarbejders mavefornemmelse. Opstil i stedet meget faste, letforståelige regler for, hvad der må lægges ind i systemet. Her bruges trafiklys-metoden til at sikre en stærk Claude Cowork datasikkerhed.
Forestil dig, du er HR-chef i en mellemstor virksomhed i Odense og skal onboarde 12 nye medarbejdere på tre måneder. Det kræver overblik, og du vil gerne bruge AI til at samle trådene i en velkomstmappe. Her bruger du trafiklyset:
🟢 Grønne data: Filer der roligt kan uploades. Det er generiske personalepolitikker, offentligt tilgængelige strategier, referater uden navne og tomme skabeloner.
Eksempler fra HR-hverdagen:
- Velkomstbrev-skabelon uden navne udfyldt
- Generel orlovspolitik fra personalehåndbogen
- Anonymiseret onboarding-tjekliste
- Offentliggjort årsberetning
Klar til brug. Upload uden bekymring.
🟡 Gule data: Interne dokumenter, der ikke indeholder personfølsomme oplysninger. Det kan være den interne mødestruktur, salgsbudgetter uden kundenavne eller anonymiserede medarbejdertilfredshedsundersøgelser.
Eksempler fra HR-hverdagen:
- Referat fra ledermøde, hvor navne er erstattet med roller ("HR-chefen", "direktøren")
- Budgetark, der viser afdelingsbeløb men ikke enkeltpersoners løn
- Medarbejdertilfredshedsundersøgelse vist som procenttal uden åbne svar
Må uploades i betalingsversioner af Claude, hvor AI-træning på data er slået fra som standard.
🔴 Røde data: Personhenførbare oplysninger, CPR-numre, helbredsoplysninger eller dybt fortrolige forretningshemmeligheder. Hvis det udløser en krise, at dokumentet ligger på gaden, er det rødt.
Eksempler fra HR-hverdagen:
- Ansøgninger med navn, adresse og telefonnummer
- Sygefraværsregistrering med medarbejdernavne
- Lønoplysninger knyttet til specifikke personer
- Advarsler eller disciplinærsager
Må aldrig uploades. Her trækker vi en hård streg.
Ved at inddele dokumenter i disse tre kategorier fjerner du usikkerheden hos den enkelte medarbejder, der sidder mandag morgen og bare gerne vil have sin opgave løst.
Hvad EU's standardkontrakter faktisk betyder for dig
SCC (Standard Contractual Clauses) er ikke en frivillig hensigtserklæring. det er kontraktuelt bindende lovstof godkendt af EU-Kommissionen. Når Anthropic benytter disse kontrakter, forpligter de sig til at beskytte dine data på samme niveau, som hvis filerne aldrig havde forladt Europa.
Hvad SCC konkret forpligter Anthropic til:
| Forpligtelse | Hvad det betyder for dig |
|---|---|
| Formålsbegrænsning | Dine data må kun bruges til det, du har sendt dem ind til. ikke til andre formål |
| Sletningspligt | Anthropic skal slette dine data, når de ikke længere er nødvendige for opgaven |
| Oplysningspligt | Du har ret til at vide, hvilke underleverandører der eventuelt behandler dine data |
| Sikkerhedsniveau | Tekniske og organisatoriske sikkerhedsforanstaltninger skal leve op til EU-standard |
| Tilsynsret | Din DPO har ret til at auditere eller kræve dokumentation for overholdelse |
Det betyder, at når I uploader en anonymiseret referat-fil til systemet, har Anthropic skrevet under på, at de respekterer de europæiske principper for databehandling og sletning. For ledelsen og IT-afdelingen er dette det vigtigste papir at have på plads, før I begynder at arbejde.
Hvad SCC ikke gør: SCC er ikke en fritagelse fra at lave en risikovurdering (DPIA) internt. Kontrakten sikrer, at udbyderen opfører sig ordentligt. men din organisation er stadig ansvarlig for, hvilke data I vælger at sende ind.
Lokal dataanalyse uden at kompromittere sikkerheden
Når du har styr på trafiklyset, kan du begynde at udnytte systemets helt store styrke, især hvis du låser op for potentialet i Claude Cowork appen. Særligt når der skal trækkes mening ud af tunge dokumenter.
Tag for eksempel CFO'en, der manuelt konsoliderer data fra fire forskellige regnskabssystemer hver måned. Sikkerhedsgrebet er enkelt, og det ser konkret sådan her ud:
Før: Det usikre regneark (rød data)
CFO'en trækker en fuld lønrapport med disse kolonner:
Medarbejder-ID | Fornavn | Efternavn | Afdeling | Løn | Bonus | Anciennitet
1042 | Kasper | Nielsen | Salg | 48.200 | 6.000 | 4 år
1091 | Lene | Holm | IT | 52.800 | 0 | 2 år
Dette er rød data. Uploades det til Claude, er det et potentielt GDPR-brud.
Efter: Det anonymiserede udtræk (gul data)
CFO'en beder i stedet sit økonomisystem om at trække en rapport med kun disse kolonner:
Afdelings-ID | Lønpulje total | Antal medarbejdere | Budgetafvigelse
SALG-01 | 312.400 | 7 | +4,2%
IT-02 | 198.600 | 4 | -1,8%
Ingen navne. Ingen individuelle tal. CFO'en prompter derefter Claude:
"Analysér disse afdelingsbudgetter og identificér, hvilke afdelinger der konsekvent overskrider budget, og hvad mønsteret er."
Det svar tager Claude 30 sekunder om. Det ville have taget CFO'en en time. For en fuld gennemgang af teknikkerne til dataanalyse kan du læse vores guide om Lokal Dataanalyse med Claude Cowork: Få Svar Fra Tunge Regneark Helt Uden Kode.
Kildemateriale og officielle retningslinjer
For at dokumentere sikkerheden internt i din organisation anbefales det altid at læne sig op ad det officielle materiale:
- Kilde: Anthropic Privacy Policy (anthropic.com/privacy).
- Kilde: Datatilsynets vejledning om cloud-tjenester (datatilsynet.dk).
Sådan implementerer du trafiklys-metoden i praksis
- 1Listér DokumenttyperSaml teamet og identificér de 10 mest anvendte dokumenttyper i jeres daglige arbejde.
- 2Kategorisér i FællesskabDiskutér og tildel hver dokumenttype en Grøn, Gul eller Rød kategori baseret på følsomhed.
- 3Opret ReferencedokumentSaml de kategoriserede dokumenttyper på et enkelt A4-ark eller i intranettet som en guide.
- 4Gør til OnboardingInkludér referencedokumentet som en fast del af introduktionen for nye medarbejdere om AI-værktøjer.
Det er én ting at forstå metoden. Det er noget andet at få 15 kolleger til at bruge den konsekvent. Her er en konkret fremgangsmåde til det næste teammøde:
Trin 1: Lav en liste over de 10 dokumenttyper, din afdeling arbejder med oftest
Brug 10 minutter i fællesskab. Skriv dem op på en tavle. Typisk lander man på noget som: mødereferater, kontrakter, budgetark, kundekorrespondance, interne politikker, projektplaner, tilbud, ansøgninger, rapporter, skabeloner.
Trin 2: Kategorisér dem i fællesskab
Gå listen igennem én post ad gangen. Diskutér ikke i timevis. de fleste er oplagte. Brug reglen: Hvis dokumentet har et navn på en levende person tilknyttet en følsom oplysning, er det rødt.
Trin 3: Lav et enkelt referencedokument
Resultatet af mødet er ét A4-ark (eller en post i jeres intranet) der ser sådan ud:
VORES TRAFIKLYS FOR CLAUDE COWORK
🟢 GRØN. upload frit:
- Tomme skabeloner
- Offentliggjorte politikker
- Referater uden navne
🟡 GUL. upload i betalingsversion:
- Anonymiserede budgetark
- Interne procesguides
- Projektplaner uden kundedata
🔴 RØD. upload aldrig:
- Alt med CPR-numre
- Lønoplysninger med navne
- Kundekontrakter med persondata
- Helbredsoplysninger
Trin 4: Gør det til onboarding
Næste gang en ny kollega starter, er dette referencedokument del af introduktionen til AI-værktøjer. Ikke en lang GDPR-forelæsning. Bare trafiklyset.
FAQ: De mest stillede spørgsmål om sikkerhed
Må jeg uploade en PDF med kundenavne til Claude Cowork?
Nej, som udgangspunkt anbefales det altid at slette eller anonymisere specifikke kundenavne, e-mails og telefonnumre, inden du uploader en fil. Det er den absolut mest sikre måde at undgå GDPR-brud. Det tager typisk under fem minutter at søg-og-erstat navne med roller eller ID-numre i et Word-dokument.
Hvad sker der med mine filer, efter jeg lukker Claude Cowork?
Når du uploader en fil til en bestemt chat, forbliver filen i den specifikke tråd. I betalingsversionerne indgår din tekst og dine filer ikke i den langsigtede træning af nye AI-modeller. Du kan til enhver tid vælge at slette chatten, hvorefter tilknytningen fjernes.
Er Claude Cowork GDPR-compliant for danske offentlige myndigheder?
Claude benytter EU's Standard Contractual Clauses (SCC) for at sikre dataoverførsler og overholdelse af europæisk lovgivning. Mange offentlige institutioner kan benytte systemet lovligt til grønne og gule data, men det kræver altid, at jeres interne DPO (Data Protection Officer) har godkendt løsningen og eventuelt lavet en risikovurdering (DPIA) for netop jeres brug.
Bliver mine filer brugt til at træne AI-modellen?
Hvis du bruger Claude Pro eller Team-løsninger (betalingsversionerne), er svaret nej. For en fuld gennemgang af Anthropics privatlivspolitik og sikkerhed kan du læse vores detaljerede artikel. Anthropic har en eksplicit politik om, at kundedata fra betalingsløsninger ikke anvendes til træning af fremtidige sprogmodeller.
Hvad hvis en kollega ved en fejl uploader rød data?
Slet chatten øjeblikkeligt. Log hændelsen internt og vurdér sammen med jeres DPO, om omfanget kræver indberetning til Datatilsynet. Ifølge GDPR skal brud, der kan udgøre en risiko for den registrerede, indberettes inden 72 timer. En enkelt fejl-upload er ikke nødvendigvis et brud. det afhænger af, hvilke data der var tale om, og om de er blevet tilgået af andre.
Datasikkerhed behøver ikke være en barriere for at komme i gang med AI. Med trafiklys-metoden, kendskab til SCC-kontrakterne og et enkelt referencedokument på intranettet har din afdeling et konkret fundament at arbejde ud fra. klar til næste teammøde.
Ofte stillede spørgsmål
Bruno Poulsen er partner i Poulsen & Vinding, et konsulenthus der hjælper danske virksomheder og styrelser med at tage generativ AI i brug i den daglige drift. Han er senior underviser hos Bigum&Co gennem 10+ år og har siden 2023 stået bag AI-implementeringer, foredrag og workshops for blandt andre Lægemiddelstyrelsen, GS1 Danmark, Bornholms Højskole og 30+ bornholmske SMV’er via Business Center Bornholm. Skriver om praktisk anvendelse af AI-værktøjer, prompt engineering og hvordan ledelser kommer i gang mandag morgen kl. 08.00.
