Hvorfor er en databehandleraftale (DPA) afgørende, når SMV'er bruger AI-værktøjer med persondata?

En DPA er et lovkrav under GDPR for at definere ansvarsfordelingen mellem dig som dataansvarlig og AI-udbyderen som databehandler. Den sikrer, at persondata behandles sikkert og i overensstemmelse med lovgivningen. Uden en DPA overtræder din virksomhed GDPR ved at overføre persondata til en ekstern part, hvilket kan medføre alvorlige konsekvenser. Derfor er den juridiske aftale en grundpille for compliance.

Hvad er risiciene ved at bruge gratis versioner af AI-værktøjer som ChatGPT til at behandle virksomhedens persondata?

Gratis versioner af AI-værktøjer tilbyder typisk ikke en databehandleraftale (DPA), hvilket gør brugen med persondata ulovlig under GDPR. Dine indtastede data kan ofte blive brugt til at træne AI-modellerne, hvilket potentielt eksponerer fortrolige oplysninger og fører til brud på fortroligheden. Dette kan medføre betydelige bøder fra Datatilsynet og skade virksomhedens omdømme og kundetillid.

Hvordan sikrer jeg, at data sendt til AI-værktøjer i USA behandles lovligt under GDPR?

Dataoverførsel til USA kræver et gyldigt overførselsgrundlag under GDPR. Mange store AI-udbydere er certificeret under EU-US Data Privacy Framework, hvilket giver et lovligt grundlag for overførsel. Du skal altid tjekke udbyderens certificering på den officielle dataprivacyframework.gov liste for at sikre, at de lever op til kravene. Hvis udbyderen ikke er certificeret, skal alternative overførselsgrundlag som Standard Contractual Clauses være på plads.

Kan jeg bruge anonymiserede data med AI-værktøjer uden at bekymre mig om en databehandleraftale (DPA)?

Ja, hvis data er korrekt anonymiseret, betragtes de ikke længere som persondata og falder derfor uden for GDPR's anvendelsesområde. Dette eliminerer kravet om en DPA. Det er dog afgørende at sikre, at anonymiseringen er robust og uigenkaldelig, så data ikke kan tilbageføres til enkeltpersoner under nogen omstændigheder.

Hvordan kan jeg forhindre, at mine samtaler med AI-værktøjer bruges til at træne AI-modellerne?

For at forhindre, at dine samtaler bruges til modeltræning, skal du aktivt slå denne funktion fra i AI-værktøjernes privatlivsindstillinger. For betalte forretningsplaner som ChatGPT Team/Enterprise er denne funktion ofte automatisk deaktiveret som standard. Dette er en vigtig foranstaltning for at beskytte både virksomhedens og kundernes fortrolige data mod uønsket brug.

Hvad er forskellen på GDPR og dataetik, når det kommer til brugen af AI i en virksomhed?

GDPR fastlægger de juridiske minimumskrav for behandling af persondata og dikterer, hvad du *skal* gøre. Dataetik handler derimod om, hvad du *bør* gøre, selvom det ikke er direkte lovkrav. Dataetikken guider ansvarlig praksis ud over lovens bogstav og er særligt relevant i situationer, hvor lovgivningen endnu ikke fuldt ud har indhentet den teknologiske udvikling inden for AI.

Hvilke fordele får SMV'er ved at vælge en betalt Team- eller Business-plan til AI-værktøjer frem for en gratis version?

Betalte planer inkluderer typisk en lovpligtig databehandleraftale (DPA), som er essentiel for juridisk compliant behandling af persondata. De har også standardindstillinger, der forhindrer brugen af dine data til modeltræning, og isolerer din samtalehistorik for øget sikkerhed og fortrolighed. Denne investering i sikkerhed og compliance er afgørende for at undgå store GDPR-bøder og opretholde kundernes tillid.

Tør du stole på AI med dine data? GDPR-guiden til trygge SMV’er

Begynder Guide 8 min læsning

Din kollega har lige kopieret 200 kundenavne ind i ChatGPT for at lave en segmentering. Ingen onde hensigter. Bare en travl tirsdag. Men de 200 navne er nu sendt til en server i USA, og din virksomhed har lige lavet et potentielt GDPR-brud. Den gode nyhed: det er nemt at undgå, når du kender de tre vigtigste spilleregler. Denne artikel giver dig det konkrete overblik, så du kan bruge AI trygt i din SMV-hverdag uden at ligge søvnløs over datasikkerheden.

Hovedpointer:

Personoplysninger hører ikke hjemme i gratisversioner af AI. Navne, CPR-numre, adresser og kundedata skal holdes ude, medmindre du har en databehandleraftale.
En databehandleraftale (DPA) er dit sikkerhedsnet. Ifølge en undersøgelse fra Cisco har kun 45 % af virksomheder, der bruger generativ AI, indført formelle governance-processer for dataene.
Dataetik handler om mere end jura. Det handler om, hvad dine kunder forventer af dig, og om du kan se dem i øjnene bagefter.
De betalte Enterprise-versioner af ChatGPT, Claude og Gemini tilbyder alle databehandleraftaler. Gratis og Plus-versioner gør det typisk ikke.

Indholdsfortegnelse

Er det lovligt at bruge AI med kundedata?
Hvordan overholder jeg GDPR, når jeg bruger ChatGPT?
Hvad er dataetik i forbindelse med AI?
FAQ: De tre spørgsmål vi oftest får

Er det lovligt at bruge AI med kundedata?

Ja, men kun hvis du behandler dataene korrekt. Og her er det afgørende at skelne mellem to ting: hvad du skriver ind i AI-værktøjet, og hvilken aftale du har med udbyderen.

GDPR kræver, at du har et lovligt grundlag for at behandle personoplysninger. Når du sender kundedata til et AI-værktøj, er det en "overførsel til en databehandler." Det kræver en databehandleraftale. Uden den står du juridisk på bar bund.

Forestil dig, at du er indkøbschef i en fødevarevirksomhed og vil bruge AI til at sammenligne 200 leverandørtilbud. Tilbuddene indeholder kontaktpersoners navne, direkte telefonnumre og e-mailadresser. Kopierer du dem ind i en gratisversion af ChatGPT, har du netop delt personoplysninger med OpenAI uden en databehandleraftale. Det er et GDPR-problem, uanset hvor uskyldig det føles.

Tommelfingerreglen: Før du taster noget ind, så spørg dig selv: "Ville jeg sende dette på et postkort?" Hvis svaret er nej, hører det ikke hjemme i en AI-chat uden en databehandleraftale.

Hvad tæller egentlig som en personoplysning?

Det er bredere end de fleste tror. En personoplysning er enhver information, der direkte eller indirekte kan identificere en fysisk person. Det inkluderer:

Åbenlyse: Navn, CPR-nummer, adresse, telefonnummer, e-mail
Mindre åbenlyse: IP-adresse, ordrenummer koblet til en kunde, stillingsbetegnelse i en lille virksomhed, billeder
Kombinationer: "Marketingchef hos Møllers Bageri i Horsens" er en personoplysning, selvom hverken navn eller CPR-nummer fremgår

Hvis du er i tvivl, behandl det som en personoplysning. Det er billigere end alternativet.

Hænder vælger den lovlige vej for AI og kundedata, en del af GDPR-guiden til trygge SMV'er.

Der er tre konkrete ting, du skal gøre. Ikke ti. Ikke tyve. Tre.

1. Vælg den rigtige version af værktøjet

De fleste AI-værktøjer findes i en gratis og en betalt udgave. Forskellen er ikke bare funktioner. Det er også jura.

Version	Databehandleraftale	Modeltræning på dine data	Egnet til persondata?
ChatGPT (gratis)	Nej	Ja, som standard	Nej
ChatGPT Plus	Nej	Kan slås fra	Nej
ChatGPT Team	Ja	Nej	Ja, med forbehold
ChatGPT Enterprise	Ja	Nej	Ja
Claude Pro	Nej	Kan slås fra	Nej
Claude for Business	Ja	Nej	Ja
Gemini (gratis)	Nej	Ja, som standard	Nej
Gemini for Workspace	Ja	Nej	Ja

Ifølge IAPP (International Association of Privacy Professionals) er den mest oversete GDPR-risiko ved generativ AI netop brugen af forbrugerversioner til erhvervsformål.

Praktisk: Har du allerede et Google Workspace-abonnement til din virksomhed, er Gemini sandsynligvis din hurtigste vej til en lovlig opsætning. Har du Microsoft 365, er Copilot den naturlige pendant. Brug det du allerede betaler for, frem for at starte en ny gratis konto.

2. Slå modeltræning fra, hvis du bruger mellemversionerne

Bruger du ChatGPT Plus, den personlige betalingsversion, kan du slå modeltræning fra under indstillinger. Sådan gør du det trin for trin:

Klik på dit profilbillede øverst til højre
Vælg Settings
Vælg Data Controls i menuen til venstre
Find "Improve the model for everyone" og slå den fra

Det fjerner ikke behovet for en databehandleraftale ved persondata, men det reducerer risikoen for, at dine forretningsdata ender i fremtidige modeller. Tænk på det som et ekstra lag, ikke som en løsning i sig selv.

3. Lav en intern liste over, hvad medarbejdere må taste ind

Det mest effektive GDPR-tiltag koster nul kroner. Det er en simpel liste over, hvad medarbejdere må og ikke må skrive ind i AI-værktøjer. en central del af jeres interne AI-politik. Vi anbefaler tre kategorier:

🟢 Grøn (fri leg): Offentligt tilgængelig information. Generelle spørgsmål. Tekster uden personhenførbare data. Markedsanalyser baseret på brancher, ikke enkeltpersoner. Udkast til interne processer og skabeloner.
🟡 Gul (anonymisér først): Kundehenvendelser, mødereferater, interne notater. Fjern navne, adresser og andre personoplysninger før du kopierer ind. Erstat "Mette Hansen, Rolighedsvej 4, Vejle" med "Kunde A" og "By B".
🔴 Rød (aldrig uden Enterprise-aftale): CPR-numre, sundhedsdata, børnedata, lønoplysninger, fortrolige kontrakter, loginoplysninger, betalingskortdata.

Sådan bruger du listen i praksis: Udskriv den. Hæng den ved kaffemaskinen og ved siden af de computere, der bruges til kundekontakt. Gennemgå den på næste personalemøde. Det tager ti minutter. Lav den ikke til et 40-siders dokument ingen læser. ét A4-ark er nok. Har du brug for hjælp til at sætte rammerne for den første uge med AI i dit team, har vi en separat guide til netop det.

Hvad er dataetik i forbindelse med AI?

GDPR er lovens minimumskrav. Dataetik er spørgsmålet: "Bare fordi vi må, skal vi så også?"

Danmark har en national dataetisk ramme. Dataetisk Råd, nedsat af Folketinget, har udgivet anbefalinger, der opfordrer virksomheder til at tage stilling til gennemsigtighed, retfærdighed og menneskeligt tilsyn, når de bruger AI.

Konkret for en SMV betyder det tre ting:

Fortæl dine kunder, når AI er involveret. Hvis en kundeservicemedarbejder bruger AI til at formulere svar på henvendelser, er det god etik at være åben om det. Det kan være så enkelt som en linje i din e-mailsignatur: "Vi bruger AI-værktøjer som støtte i vores arbejde. Alle svar er gennemset og godkendt af et menneske."

Lad altid et menneske kvalitetstjekke AI-output, der påvirker personer. Særligt: rykkerbreve og inkassokommunikation, afslag på ansøgninger eller henvendelser, vurderinger af kreditværdighed eller leverandørrisiko.

Tag stilling, før der opstår en sag. Skriv ned. Det behøver ikke fylde mere end en halv side: hvad I bruger AI til, hvad I ikke bruger den til, og hvem der er ansvarlig, hvis noget går galt. Det dokument er også din bedste ven, hvis Datatilsynet banker på.

FAQ: De tre spørgsmål vi oftest får

Må jeg uploade et regneark med kundedata til ChatGPT?
Ikke i gratisversionen eller Plus-versionen uden databehandleraftale. Brug enten en Enterprise-version med DPA, eller anonymisér dataene først. En praktisk metode: brug Find & Erstat i Excel til at erstatte alle kundenavne med "Kunde 1", "Kunde 2" osv., før du kopierer noget som helst.

Hvad sker der, hvis en medarbejder ved en fejl uploader persondata?
Gør dette i rækkefølge:

Dokumentér hændelsen med det samme. Hvad skete der, hvornår, hvilke data, hvilken platform.
Vurdér alvoren. Var det følsomme data (helbred, økonomi, CPR)? Mange personer eller få? Jo mere følsomt og jo flere personer, jo større risiko.
Afgør om det skal anmeldes til Datatilsynet. Du har 72 timer fra du bliver bevidst om bruddet. I de fleste tilfælde med en enkelt utilsigtet upload uden følsomme data vil det ikke kræve anmeldelse, men dokumentationen skal altid laves.
Overvej om de berørte personer skal informeres. Det kræver loven, hvis bruddet sandsynligvis vil medføre høj risiko for deres rettigheder.

Er det nok at bruge en betalt version?
Nej. En betalt version er nødvendig, men ikke tilstrækkelig alene. Du skal sikre alle tre ting:

Den konkrete plan inkluderer en databehandleraftale (ikke alle betalte planer gør det. Se tabellen ovenfor)
Modeltræning på jeres data er slået fra eller forbudt ifølge aftalen
Medarbejderne ved, hvad de må taste ind. ingen aftale hjælper, hvis de stadig kopierer CPR-numre ind i chatvinduet

Datasikkerhed og AI behøver ikke være kompliceret. Det afgørende er, at nogen tager ansvar for at sætte rammerne, inden hele afdelingen begynder at eksperimentere. Start med de tre kategorier fra listen ovenfor: grøn, gul og rød. Hæng den op. Gennemgå den på næste personalemøde. Det tager ti minutter og kan spare dig for en 72-timers anmeldelse til Datatilsynet.

Ofte stillede spørgsmål

Bruno Poulsen

Bruno Poulsen er partner i Poulsen & Vinding, et konsulenthus der hjælper danske virksomheder og styrelser med at tage generativ AI i brug i den daglige drift. Han er senior underviser hos Bigum&Co gennem 10+ år og har siden 2023 stået bag AI-implementeringer, foredrag og workshops for blandt andre Lægemiddelstyrelsen, GS1 Danmark, Bornholms Højskole og 30+ bornholmske SMV’er via Business Center Bornholm. Skriver om praktisk anvendelse af AI-værktøjer, prompt engineering og hvordan ledelser kommer i gang mandag morgen kl. 08.00.