Rolig medarbejder ved et opryddet skrivebord, symboliserende tryghed med NotebookLM's GDPR-sikre data.

Er dine data sikre i NotebookLM? Alt om GDPR og privatliv

/ AI & lovgivning, AI-værktøjer, NotebookLM / Af
Øvet Deep dive 8 min læsning Opdateret 10. maj 2026

Din chef spørger, om I kan bruge NotebookLM til at analysere interne dokumenter. Du tænker: "Helt sikkert, det sparer os timer." Men så melder GDPR-alarmen sig i baghovedet. Hvem kan se vores data? Bruger Google dem til at træne sine AI-modeller? Og hvad siger vores DPO til det? De spørgsmål er fuldstændig rimelige. Og de fortjener ordentlige svar. Her får du et klart overblik over NotebookLMs sikkerhed, så du kan tage en informeret beslutning for din virksomhed, og forstå de bredere rammer for AI og GDPR i praksis.

Indholdsfortegnelse

Hvad er NotebookLM, og hvorfor er sikkerhed relevant?

NotebookLM er Googles AI-værktøj til dokumentanalyse. Du uploader dine egne filer, og AI'en svarer kun ud fra det materiale. Vil du have den fulde rundtur, kan du læse vores komplette guide til NotebookLM. For en dybere forståelse af, hvordan du effektivt kan tæmme tunge rapporter og udtrække viden, har vi en detaljeret guide.

Grunden til, at sikkerhed er særlig relevant her, er enkel: du uploader dokumenter. Måske interne politikker, strategiplaner eller referater med personoplysninger. Det er en helt anden boldgade end at stille ChatGPT et generisk spørgsmål om, hvordan man skriver en dagsorden. Når du fodrer et AI-værktøj med virksomhedsdata, skal du vide præcis, hvad der sker med dem bagefter. Og for at få de mest præcise og værdifulde svar, er det afgørende at kende til effektiv prompt-engineering, så du kan forvandle dine notater til guld.

Træner NotebookLM på dine data?

Det er det spørgsmål, vi hører oftest. Svaret er nej. Google har eksplicit oplyst, at data uploadet til NotebookLM ikke bruges til at træne deres AI-modeller. Dine dokumenter forbliver i din notebook og bruges kun til at generere svar til dig.

Det er en afgørende forskel. Mange AI-værktøjer på markedet bruger som standard dine input til at forbedre deres modeller, medmindre du aktivt fravælger det. NotebookLM er designet anderledes. Din notebook er din. Andre brugere kan ikke se den, og indholdet indgår ikke i Googles træningsdata.

Men der er et forbehold. Google behandler stadig dine data på deres servere for at generere svar. Det betyder, at data teknisk set forlader din computer og rejser til Googles cloud-infrastruktur. For de fleste virksomheder er det acceptabelt. For organisationer med ekstremt følsomme data, som klassificerede dokumenter eller sundhedsdata under særlige restriktioner, kræver det en konkret vurdering.

GDPR og Google: Hvad siger reglerne?

Hænder organiserer dokumenter, symboliserende styr på GDPR-regler og sikker datahåndtering med NotebookLM.

Når du bruger NotebookLM, er Google databehandler, og din virksomhed er dataansvarlig. Det betyder, at I stadig har ansvaret for, hvad I uploader. For at sikre fuld compliance kan du læse mere i vores guide til datasikkerhed og GDPR.

Tre ting du skal have styr på:

Databehandleraftale. Google tilbyder en databehandleraftale (Data Processing Agreement) som en del af deres vilkår. For virksomheder, der bruger Google Workspace, er denne typisk allerede på plads. Men "typisk på plads" er ikke godt nok. Sådan tjekker du det konkret:

  1. Log ind på din Google Workspace Admin Console (admin.google.com)
  2. Gå til KontoJuridiskDatabehandleraftaler
  3. Her kan du se, om en DPA er aktiv, og hvilke Google-tjenester den dækker
  4. Hvis NotebookLM ikke er listet eksplicit, kontakt Google Support eller jeres Google-partner og bed om skriftlig bekræftelse på, at NotebookLM er dækket

Har I ikke Google Workspace, men bruger den gratis version af NotebookLM, gælder Googles standard forbrugervilkår. I det tilfælde har I ikke en formel databehandleraftale, og I bør ikke uploade virksomhedsdata.

Serverplacering. Googles infrastruktur er global, men de tilbyder europæiske dataregioner for Workspace-kunder. Sådan checker du, om jeres data er konfigureret til EU-opbevaring:

  1. Gå til Admin Console → KontoDatapolitikkerDataregioner
  2. Hvis dataregionen er sat til "Europa", opbevares data inden for EU/EØS
  3. Hvis feltet er tomt eller sat til "Ingen præference", kan data befinde sig på servere i USA eller andre regioner

For GDPR-compliance vil I typisk ønske europæisk dataregion. Bemærk dog, at NotebookLM i skrivende stund er tilgængeligt som en Google Labs-tjeneste, og ikke alle Google Labs-tjenester understøtter dataregionslåsning fuldt ud. Tjek Googles aktuelle dokumentation for din specifikke Workspace-plan.

Personoplysninger i dokumenter. NotebookLM er designet til at analysere fagligt indhold: strategidokumenter, rapporter, vejledninger. Undgå at uploade rene persondataregistre. Forestil dig, at du er IT-chef i en kommune og overvejer at uploade borgersager. Lad være. Upload i stedet jeres generelle sagsbehandlingsvejledning og brug NotebookLM til at skabe en intern "source of truth", som medarbejderne kan spørge ind til.

Fem tommelfingerregler for sikker AI-brug i praksis

Reglerne for sikker brug af NotebookLM er de samme som for al ansvarlig AI-brug i en virksomhed. Her er fem principper, du kan tage med til næste ledermøde:

1. Upload aldrig rå persondata.
Brug anonymiserede eller generaliserede dokumenter. En HR-chef i en mellemstor virksomhed, der vil analysere sin onboarding-proces, gør det sådan her:

  • ✅ Uploader: "Onboarding-guide til nye medarbejdere" (generisk dokument uden navne)
  • ✅ Uploader: Anonymiseret version af medarbejdertilfredshedsundersøgelse med navne og CPR fjernet
  • ❌ Uploader ikke: Personaleregister med navne, CPR-numre og lønoplysninger
  • ❌ Uploader ikke: Referater fra MUS-samtaler med identificerbare oplysninger

2. Kend jeres databehandleraftale.
Før I tager et AI-værktøj i brug, skal I vide, hvem der behandler data, hvor, og under hvilke vilkår. Sæt en DPA-tjekliste op med tre kolonner: værktøjets navn, om DPA er på plads (ja/nej), og hvornår den sidst blev gennemgået. Det tager 20 minutter at lave og giver jeres DPO noget konkret at arbejde med.

3. Hold følsomme og ufølsomme dokumenter adskilt.
Lav separate notebooks til forskellige klassifikationsniveauer. En simpel struktur der virker:

  • Notebook A: Offentligt tilgængeligt materiale (årsrapporter, branchevejledninger)
  • Notebook B: Interne ikke-følsomme dokumenter (procesguides, politikker)
  • Notebook C: Godkendt til brug med fortrolige dokumenter – kun efter DPO-godkendelse

NotebookLM gør det nemt, fordi hvert projekt lever i sin egen notebook.

4. Involver jeres DPO fra start.
Ikke efter I har brugt værktøjet i tre måneder. Præsenter dem for tre konkrete ting:

  1. En kort beskrivelse af use casen: "Vi vil bruge NotebookLM til at analysere vores interne kvalitetshåndbog og svare på medarbejderspørgsmål"
  2. Et screenshot eller uddrag af Googles databehandlingsvilkår for NotebookLM
  3. En liste over de dokumenttyper, I planlægger at uploade

Det giver DPO'en et konkret grundlag for at sige ja eller nej frem for en abstrakt diskussion om AI-sikkerhed.

5. Dokumentér jeres brug.
GDPR kræver, at I kan redegøre for jeres databehandling. Her er en skabelon du kan kopiere direkte ind i jeres IT-sikkerhedsdokumentation:

Værktøj: Google NotebookLM
Formål: Analyse af interne ikke-klassificerede dokumenter til vidensdeling og procesoptimering
Dataansvarlig: [Virksomhedens navn]
Databehandler: Google Ireland Limited
Databehandleraftale: Ja, via Google Workspace DPA, indgået [dato], dækker NotebookLM per [dato bekræftet]
Kategorier af data: Interne procesguider, politikker og vejledninger. Ingen personoplysninger uploades.
Opbevaringssted: EU (Google europæisk dataregion aktiveret per [dato])
Godkendt af DPO: [Navn og dato]

Hvad med NotebookLM i en virksomhed med høje krav?

Organisationer med skærpede sikkerhedskrav, som offentlige styrelser eller virksomheder i regulerede brancher, har brug for mere end tommelfingerregler. Her handler det om at integrere AI-datasikkerhed i jeres eksisterende governance-struktur. For en dybere indsigt i sikkerhedsrammerne kan du læse vores guide om sikker AI.

Det betyder konkret: NotebookLM skal ind i jeres IT-sikkerhedspolitik som et godkendt værktøj med definerede brugsscenarier. En formulering som denne kan bruges direkte:

"Medarbejdere må bruge NotebookLM til analyse af offentligt tilgængeligt materiale samt interne dokumenter klassificeret som ikke-fortrolige. Upload af fortrolige dokumenter, personoplysninger eller data klassificeret som følsomme kræver forudgående godkendelse fra IT-sikkerhedsansvarlig og DPO. Godkendte use cases opdateres kvartalsvist."

Den type formulering giver tryghed og klarhed for alle parter, og den er specifik nok til at en medarbejder kan afgøre selv, om de må uploade et givent dokument, uden at ringe til IT-afdelingen.

Googles privatlivspolitik for AI er generelt transparent dokumenteret, og NotebookLMs arkitektur, hvor AI'en kun arbejder med de kilder du giver den, er faktisk en fordel sammenlignet med åbne chatbots. For de, der ønsker at dykke dybere og udnytte værktøjet til sit fulde potentiale, findes der også en guide til power-users. Du kan desuden læse mere om NotebookLMs begrænsninger, så du ved præcis, hvad du får og ikke får.

Bundlinjen: Trygt, men ikke tankeløst

NotebookLM er et af de mere sikre AI-værktøjer på markedet til dokumentanalyse. Dine data træner ikke Googles modeller, og projektstrukturen holder dine informationer adskilt. Men intet værktøj fritager dig fra at tænke dig om. GDPR-ansvaret ligger hos jer, ikke hos Google.

De to mest konkrete næste skridt:

  1. Tjek jeres Google Workspace Admin Console og bekræft, at databehandleraftalen dækker NotebookLM, og at europæisk dataregion er aktiveret
  2. Book 30 minutter med jeres DPO – medbring Googles vilkår, en beskrivelse af jeres use case, og dokumentskabelonen fra punkt 5 ovenfor

De to ting giver jer det grundlag, I behøver for at bruge værktøjet med ro i maven.

Ofte stillede spørgsmål

Book en gratis og uforpligtende samtale her
FORTSÆT LÆSNINGEN

Relaterede artikler