Hvordan håndterer vi data, der genereres *af* AI-værktøjet, når det er baseret på persondata?

Data genereret af AI, som er baseret på persondata, skal også behandles i overensstemmelse med GDPR. Det betyder, at I skal overveje, hvordan disse data opbevares, bruges og deles, samt sikre, at de er korrekte og relevante. Overvej dataminimering også her: gem kun det, der er nødvendigt.

Hvad er de specifikke risici ved at bruge AI-værktøjer, der er trænet på store datasæt, som vi ikke har kontrol over?

AI-modeller trænet på store, ukontrollerede datasæt kan indeholde bias eller unøjagtigheder, som kan føre til diskriminerende eller fejlagtige resultater. Det er vigtigt at være opmærksom på disse risici og implementere mekanismer til at identificere og afbøde dem. Overvej at teste AI-værktøjet med forskellige scenarier for at identificere potentielle bias.

Hvordan sikrer vi, at vores leverandører af AI-værktøjer overholder GDPR?

Det er afgørende at indgå databehandleraftaler med jeres AI-leverandører, der klart definerer deres ansvar for at beskytte persondata i overensstemmelse med GDPR. Aftalen bør specificere, hvordan data behandles, opbevares og sikres, samt hvordan leverandøren vil reagere på databrud.

Hvilke interne politikker og procedurer bør vi implementere for at sikre GDPR-overholdelse ved brug af AI?

Implementer klare interne politikker og procedurer, der beskriver, hvordan AI-værktøjer må bruges, hvilke data der må behandles, og hvilke sikkerhedsforanstaltninger der skal træffes. Sørg for at uddanne medarbejderne i disse politikker og procedurer, og gennemfør regelmæssige audits for at sikre overholdelse.

Hvordan håndterer vi retten til indsigt, berigtigelse og sletning (retten til at blive glemt) i forbindelse med data behandlet af AI?

Det er vigtigt at have processer på plads til at håndtere anmodninger om indsigt, berigtigelse og sletning af data, der er behandlet af AI. Dette kan kræve, at I kan identificere og udtrække de relevante data fra AI-systemet og sikre, at de slettes eller berigtiges i overensstemmelse med GDPR.

Hvornår er en konsekvensanalyse vedrørende databeskyttelse (DPIA) nødvendig ved brug af AI?

En DPIA er obligatorisk, når AI-behandlingen sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder. Dette gælder typisk ved omfattende profilering, behandling af følsomme data i stor skala, eller systematisk overvågning. Formålet er at identificere og afbøde risici, før behandlingen påbegyndes, og den skal udføres, før AI-systemet tages i brug.

Hvordan supplerer den nye EU AI Act GDPR, og hvad betyder det for danske arbejdspladser?

EU AI Act fokuserer på sikkerhed og etik i AI-systemer, især for højrisiko-AI, mens GDPR regulerer behandlingen af persondata uanset teknologi. AI Act vil sandsynligvis kræve yderligere tekniske og organisatoriske foranstaltninger for højrisiko-AI, som vil styrke GDPR-overholdelsen ved at sikre mere robuste systemer og bedre gennemsigtighed. Danske arbejdspladser skal forvente at skulle overholde begge regelsæt, hvor AI Act stiller krav til selve AI-systemet, og GDPR til datahåndteringen.

Hvilke regler gælder for automatiske individuelle afgørelser truffet af AI, og hvornår er det tilladt?

GDPR Artikel 22 forbyder som udgangspunkt afgørelser, der udelukkende er baseret på automatisk behandling, herunder profilering, og som har retsvirkning eller tilsvarende betydelig virkning for den registrerede. Det er kun tilladt, hvis det er nødvendigt for en kontrakt, baseret på udtrykkeligt samtykke, eller tilladt ved lov, og altid med mulighed for menneskelig indgriben og indsigelse. Virksomheder skal sikre gennemsigtighed og forklarebarhed i sådanne AI-systemer, så den registrerede forstår grundlaget for afgørelsen.

Hvilken rolle spiller ansvarlighedsprincippet (accountability) i GDPR, når man bruger AI?

Ansvarlighedsprincippet kræver, at virksomheden ikke blot overholder GDPR, men også kan *dokumentere* denne overholdelse. Ved brug af AI betyder det, at I skal kunne påvise, hvordan I har vurderet risici, valgt databehandlere, implementeret sikkerhedsforanstaltninger og sikret data subjekters rettigheder. Dette omfatter detaljeret dokumentation af jeres AI-politikker, DPIA'er, databehandleraftaler og interne retningslinjer for medarbejdere.

AI og GDPR: Den ultimative tryghedsguide for danske arbejdspladser

10 min læsning Opdateret 19. apr 2026

Din kollega taster lige kundedata ind i ChatGPT for at få hjælp til en klage. Fem minutter senere sidder du med en klump i maven: var det overhovedet lovligt? Du er ikke alene. Ifølge Datatilsynet har antallet af henvendelser om AI og persondata været markant stigende. Denne guide giver dig konkrete regler, tjeklister og eksempler, så du trygt kan bruge AI på din arbejdsplads uden at ende i GDPR-problemer. Artiklen er en del af vores samlede guide til AI-transformation for danske virksomheder, hvor sikkerhed og compliance er et centralt element.

Indholdsfortegnelse

Hvad GDPR faktisk siger om AI
Den praktiske tjekliste: Før du taster noget som helst
Anonymisering: Dit stærkeste GDPR-værktøj
Hvad med den nye EU AI Act?
Tre fejl vi ser igen og igen
Kom trygt i gang fra mandag

GDPR nævner ikke "kunstig intelligens" med ét ord. Men forordningen regulerer behandling af persondata, og det er præcis dét, der sker, når du fodrer et AI-værktøj med oplysninger om kunder, medarbejdere eller borgere.

Tre principper er helt afgørende for lovlig brug af kunstig intelligens:

Formålsbegrænsning. Du må kun bruge persondata til det formål, du har indsamlet dem til. Hvis en kunde har givet sit navn og sin mail til et nyhedsbrev, kan du ikke bare smide dataene ind i et AI-værktøj for at lave en kundeprofil.
Dataminimering. Brug kun de oplysninger, der er strengt nødvendige. Skal AI'en hjælpe med at formulere et svar på en kundeklage? Så fjern kundens CPR-nummer, adresse og alt andet, der ikke er relevant for selve svaret.
Behandlingsgrundlag. Du skal have en lovlig grund til at behandle data. For de fleste arbejdspladser betyder det enten samtykke, en kontrakt eller en legitim interesse. Og nej: "det var nemmere" er ikke en legitim interesse.

Datatilsynet har været tydelige: Når du bruger et eksternt AI-værktøj som ChatGPT eller Copilot, er det en databehandling. Det betyder, at din virksomhed er dataansvarlig, og at I skal have styr på, hvor data ender.

Den praktiske tjekliste: Før du taster noget som helst

Forestil dig, at du er kundeservicechef med 15 medarbejdere, der svarer på de samme 50 spørgsmål dag efter dag. AI kunne spare jer timer. Men før nogen på holdet åbner et AI-værktøj, skal I igennem disse trin:

1. Kortlæg hvilke data der er i spil

Gennemgå de opgaver, I vil bruge AI til. Indeholder de personhenførbare oplysninger? Navne, mailadresser, sagsnumre, sundhedsdata? Lav en simpel liste.

Her er en skabelon du kan kopiere direkte:

Opgave	Datatyper involveret	Personfølsomt?	Kan anonymiseres?
Svar på kundeklager	Navn, ordrenr., klagetekst	Nej	Ja – erstat navn med [KUNDE]
Opsummering af MUS-samtaler	Navn, præstation, sygefravær	Ja	Ja – fjern alle navne og datoer
Udkast til nyhedsbrev	Ingen persondata	Nej	Ikke nødvendigt
Analyse af medarbejdertilfredshed	Afdeling, fritekstsvar	Potentielt	Ja – fjern afdelingsnavne ved <5 ansatte

Én side som denne giver dig overblik nok til at træffe beslutninger. Udfyld den for jeres fem mest almindelige AI-opgaver, og I har et fundament.

2. Vælg det rigtige værktøj

Ikke alle AI-løsninger er ens, når det gælder datasikkerhed. De store udbydere tilbyder i dag enterprise-versioner, hvor data ikke bruges til at træne modellen. Det er en kæmpe forskel.

Her er de konkrete spørgsmål, du skal stille (og hvad svarene skal være):

Spørgsmål til udbyderen	Acceptabelt svar	Rødt flag
Har I en databehandleraftale (DPA) klar?	Ja, den er tilgængelig og kan underskrives	"Vi har vores Terms of Service"
Hvor opbevares data geografisk?	EU/EØS, eller med godkendt overførselsgrundlag (f.eks. EU-US Data Privacy Framework)	"Vores servere er globale" uden yderligere specifikation
Bruges vores input til at træne modellen?	Nej, ikke i enterprise/business-versionen	"Vi bruger data til at forbedre vores tjenester"
Hvor længe opbevares vores data?	Klart defineret periode, f.eks. 30 dage, med mulighed for sletning	Ingen klar politik eller "vi opbevarer data på ubestemt tid"
Kan vi få en log over, hvad der er sendt ind?	Ja, via admin-panel	Ingen audit-mulighed

Konkret eksempel: ChatGPT Free bruger dine input til modeltræning som standard. ChatGPT Team og Enterprise har en DPA, data bruges ikke til træning, og du kan styre opbevaringsperioden. Microsoft Copilot for Microsoft 365 behandler data inden for din eksisterende Microsoft-tenant og arver dine sikkerhedsindstillinger. Det er den slags forskelle, der afgør, om jeres brug er lovlig.

3. Lav en intern AI-politik

Det lyder tungt, men det kan være ét A4-ark. Her er en skabelon, du kan tilpasse og bruge i morgen:

[Virksomhedsnavn] – Intern politik for brug af AI-værktøjer

Godkendte værktøjer:

[Indsæt navne, f.eks. Microsoft Copilot for M365, ChatGPT Enterprise]

Disse data må ALDRIG tastes ind i AI-værktøjer:

CPR-numre
Sundhedsoplysninger (diagnoser, sygefravær, graviditet)
Passwords eller adgangskoder
Kunders betalingsoplysninger
Fortrolige forretningsoplysninger (priser, kontrakter, IP)

Disse data må bruges EFTER anonymisering:

Kundehenvendelser (erstat navn → [KUNDE], email → [EMAIL])
Interne dokumenter med personnavne
Performancedata (fjern alle identifikatorer)

Før du bruger AI, spørg dig selv:

Indeholder min tekst oplysninger, der kan identificere en person?
Har jeg fjernet alt, der ikke er nødvendigt for opgaven?
Bruger jeg et godkendt værktøj?

I tvivl? Kontakt: [Navn/rolle, f.eks. Maria Jensen, DPO, maria@virksomhed.dk]

En IT-chef i en dansk kommune fortalte, at de reducerede antallet af "ups-hændelser" med over 80 %, simpelthen ved at hænge en lamineret tjekliste op ved hver skærm. Ingen kompliceret software. Bare tydelige regler.

Hænder anonymiserer data med stempel, en praktisk del af AI og GDPR: Den ultimative tryghedsguide for danske arbejdspladser.

Her er den gode nyhed: Hvis du fjerner alle personhenførbare oplysninger, før du sender tekst ind i et AI-værktøj, falder brugen helt uden for GDPR's anvendelsesområde. Anonymiserede data er ikke persondata.

Trin-for-trin: Sådan anonymiserer du i praksis

Før (råtekst fra kundesystem):

Hej, jeg hedder Morten Kjær og bor på Roskildevej 42, 2500 Valby. Jeg bestilte en sofa den 14. marts (ordrenr. 891234), men den er stadig ikke leveret. Mit kundenummer er KN-4521 og min mail er morten.kjaer@gmail.com. Jeg er virkelig utilfreds.

Efter (anonymiseret version klar til AI):

Hej, jeg hedder [KUNDE] og bor på [ADRESSE]. Jeg bestilte en sofa den [DATO] (ordrenr. [ORDRENR]), men den er stadig ikke leveret. Mit kundenummer er [KUNDENR] og min mail er [EMAIL]. Jeg er virkelig utilfreds.

Prompt til AI'en:

"Jeg indsætter en anonymiseret kundehenvendelse nedenfor. Alle personoplysninger er erstattet med pladsholdere. Hjælp mig med at formulere et professionelt, empatisk svar på klagen vedrørende forsinket levering. Bevar pladsholderne i dit svar, så jeg kan indsætte de rigtige oplysninger bagefter."

Vigtig nuance: Der er forskel på anonymisering og pseudonymisering. Hvis du erstatter "Morten Kjær" med "Kunde 4521" og du stadig har en nøgle, der kobler nummeret til personen, er det pseudonymisering. Data er stadig persondata og stadig omfattet af GDPR. Ægte anonymisering betyder, at ingen – heller ikke dig – kan føre oplysningerne tilbage til en bestemt person.

For de fleste daglige AI-opgaver er pseudonymisering med pladsholdere tilstrækkeligt, fordi de personhenførbare data aldrig forlader jeres eget system. Men vær bevidst om forskellen.

Det tager 30 sekunder at erstatte persondata med pladsholdere. Det er en vane, ikke et projekt. Og det er præcis den slags vaneændring, der gør AI-compliance til noget håndgribeligt i stedet for noget skræmmende. Vil du lære flere konkrete teknikker til at formulere effektive prompts, kan du starte med vores guide til Prompt Engineering for begyndere.

Hvad med den nye EU AI Act?

EU's AI-forordning (AI Act) er vedtaget og ruller ud i faser fra februar 2025 til august 2027. Den supplerer GDPR og kategoriserer AI-systemer i fire risikoniveauer. Her er, hvad de konkret betyder for din arbejdsplads:

De fire risikoniveauer – og hvor du sandsynligvis befinder dig

Risikoniveau	Eksempler	Krav	Tidslinje
Uacceptabel risiko (forbudt)	Social scoring af borgere, real-time biometrisk masseovervågning	Forbudt	Februar 2025
Høj risiko	AI til ansættelse og rekruttering, kreditvurdering, adgang til offentlige ydelser, biometrisk identifikation	Konformitetsvurdering, dokumentation, bias-test, menneskeligt tilsyn, logning	August 2026
Begrænset risiko	Chatbots, deepfake-generatorer	Gennemsigtighedsforpligtelser (brugere skal vide, at de interagerer med AI)	August 2026
Minimal risiko	AI til tekstformulering, opsummering, research, oversættelse, kodning	Ingen ekstra krav ud over GDPR	Gælder allerede

For de fleste danske arbejdspladser der bruger AI til at skrive e-mails, opsummere møder, researche eller lave udkast, falder værktøjerne i kategorien "minimal" eller "begrænset risiko." Det betyder i praksis: Gør det, I allerede bør gøre med GDPR, og sørg for at gøre det tydeligt, hvis kunder eller borgere kommunikerer med en AI (f.eks. en chatbot).

Men pas på: Hvis jeres HR-afdeling bruger et AI-værktøj til at screene jobansøgninger, eller hvis I bruger AI til at vurdere, om en kunde skal have kredit, er I i "høj risiko"-kategorien. Her kræver AI Act:

En grundig risikovurdering før systemet tages i brug
Dokumentation af, hvordan systemet fungerer og er testet
Test for bias og diskrimination (f.eks.: sorterer systemet kvindelige ansøgere fra?)
En person med ansvar for menneskeligt tilsyn, der kan overrule AI'ens beslutninger
Logning af alle beslutninger, så de kan efterprøves

Hvis det er jeres virkelighed, er det værd at læse mere om, hvordan I bygger virksomhedens egen AI-hjerne med de rigtige sikkerhedsrammer fra start.

Tre fejl vi ser igen og igen

Fejl 1: "Vi bruger bare gratisversionen."

Gratis AI-værktøjer bruger ofte jeres input til at træne modellen videre. Det er i praksis en videregivelse af data, som I ikke har kontrol over.

Hvad det kan betyde: En dansk revisor taster en kundes regnskabstal ind i en gratis AI for at få hjælp til en note. De tal indgår nu potentielt i træningsdata. Hvis en anden bruger stiller et lignende spørgsmål, er der en teoretisk risiko for, at fragmenter kan dukke op. Mere konkret: I har ingen DPA, ingen dokumentation og ingen kontrol. Hvis Datatilsynet banker på, har I intet at vise frem.

Løsningen: Betal for en enterprise-version med DPA. Eller anonymisér konsekvent, så der aldrig er persondata i det, I sender.

Fejl 2: "Det er jo bare intern brug."

GDPR skelner ikke mellem intern og ekstern brug. Hvis du taster en medarbejders sygemelding ind i et AI-værktøj, behandler du personfølsomme data. Punktum.

Hvad det kan betyde: En leder kopierer en mail om en medarbejders stresssygemelding ind i ChatGPT for at få hjælp til at formulere en besked til teamet. Det er behandling af helbredsdata (GDPR artikel 9 – særlige kategorier). Uden lovligt grundlag er det et brud, uanset at intentionen var god.

Løsningen: Omskriv mailen selv, så alle personoplysninger er fjernet, før du beder AI'en om hjælp. Skriv f.eks.: "En medarbejder i mit team er sygemeldt på ubestemt tid. Hjælp mig med at formulere en besked til teamet, der er empatisk og ikke afslører detaljer."

Fejl 3: "IT-afdelingen har sagt god for det."

Sikker AI-implementering kræver, at den dataansvarlige (typisk ledelsen) har taget stilling. IT kan godkende den tekniske løsning, men ansvaret for lovligheden ligger hos jer.

Hvad det kan betyde: IT godkender et AI-værktøj ud fra sikkerhedstjek (kryptering, uptime, SSO). Men ingen har lavet en konsekvensanalyse (DPIA) for de datatyper, der faktisk skal behandles. Datatilsynet spørger ikke "har IT sagt ok?" – de spørger: "Hvor er jeres risikovurdering? Hvem er dataansvarlig? Hvor er jeres DPA?"

Løsningen: Involvér jeres DPO (eller den person, der håndterer GDPR) før I ruller et AI-værktøj ud. Lav som minimum en simpel risikovurdering: Hvilke data? Hvilken risiko? Hvilke tiltag?

Kom trygt i gang fra mandag

Du behøver ikke en jurist på speed-dial for at bruge AI lovligt. Du behøver klare regler, godkendte værktøjer og en kultur, hvor folk tør spørge, før de taster.

Dine tre konkrete skridt – og hvornår de skal være gjort

Skridt 1 (mandag): Udarbejd den interne AI-politik. Brug skabelonen fra denne guide. Print den, del den i Teams, hæng den op. Det tager 30 minutter.

Skridt 2 (denne uge): Indfør anonymisering som standard ved al brug af eksterne AI-værktøjer. Øv det i teamet med to-tre eksempler fra jeres hverdag. Gør det til en del af onboarding for nye medarbejdere.

Skridt 3 (inden måneden er omme): Vælg enterprise-versioner med databehandleraftale, når I arbejder med persondata. Få en DPA underskrevet. Dokumentér jeres valg, så I har noget at vise frem, hvis Datatilsynet henvender sig.

Gør du de tre ting, har du et solidt fundament, der holder både over for Datatilsynet og over for den nye EU AI Act. Ikke perfekt. Men langt foran de fleste. Og vigtigst af alt: Dine kollegaer kan bruge AI uden den klump i maven.

Ofte stillede spørgsmål

Book en gratis og uforpligtende samtale her