20 89 99 66

AI og GDPR i Danmark: hvad må medarbejdere dele?

Christoffer OhlsenChristoffer Ohlsen·
Kopierer du også lige en kundemail ind i ChatGPT, fordi det går hurtigere? Det føles smart, men navn, kontaktinfo og kontekst kan være nok til at skabe GDPR rod.

I artiklen får du de klassiske faldgruber i SMVer, en tommelfingerregel du kan huske, og en kort intern AI politik der faktisk bliver fulgt. Jeg tager også fat på anonymisering, databehandleraftale, logning, adgangsstyring og DPIA.
Medarbejder bruger AI på laptop med fokus på sikker håndtering af persondata og GDPR i en virksomhed

Hvorfor AI og GDPR bliver et problem i praksis

Der sker noget helt bestemt klokken 14.37 en tirsdag. Ikke fordi nogen er ondskabsfulde eller ligeglade med reglerne. Det sker fordi arbejdet presser på, fordi et AI værktøj ligger to klik væk, og fordi ingen rigtig har sat ord på, hvad der er ok.

En medarbejder har en kundemail foran sig. Den er lidt rodet og svær at svare på. Vedkommende klipper teksten ind i ChatGPT, får et pænt udkast, og er videre til næste opgave på under to minutter. Ingen tænker over det. Ingen ved det. Og alligevel er der med stor sandsynlighed sket et brud på GDPR og reglerne for håndtering af persondata og AI.

Det er det scenarie, denne artikel handler om. Ikke jura på side 47 i et compliance dokument. Men den konkrete, menneskelige situation der opstår, når kunstig intelligens møder virkeligheden i en dansk virksomhed. Og hvad man som leder eller medarbejder rent faktisk kan gøre ved det.

AI og GDPR er ikke to separate verdener man kan holde adskilt. Når du sender tekst til et eksternt AI system, behandler du data. Punkt. Og hvis den tekst indeholder oplysninger om en person, hvad enten det er et kundenavn, en mail, et tilbud eller et mødenotat, er du ansvarlig for, at behandlingen sker lovligt.

De 5 typiske situationer i danske SMVer

For at gøre det konkret har jeg samlet de fem situationer, der oftest dukker op i danske virksomheder, når man taler om persondata og AI i hverdagen. Genkend dem, og du er allerede halvvejs til at undgå dem:

  1. Kundemails i AI: En medarbejder kopierer en kundemail med navn, problem og kontaktoplysninger ind i et AI værktøj for at få et svarforslag. Kunden ved ikke, at deres mail nu er behandlet af et tredjeparts system.
  2. Tilbud og kontrakter: En sælger uploader et tilbud for at få det forkortet eller opsummeret. Dokumentet indeholder kundenavn, CVR nummer og prisoplysninger.
  3. Mødenotater med navne: En leder vil have et referat opsummeret. Notatet indeholder både navne på deltagere og følsomme forretningsbeslutninger.
  4. Medarbejderoplysninger: HR bruger et AI værktøj til at skrive eller omformulere en jobannonce eller en samtaleopsummering med persondata om ansøgere.
  5. Kundelister og CRM data: En analytiker eksporterer data fra CRM systemet og kopierer det ind i en AI for at lave en segmentering eller rapport.
Fælles for dem alle er, at det sker hurtigt, med gode intentioner, og helt uden ondsindet hensigt. Det er præcis det, der gør det svært.

Når man bruger AI i skjul og hvorfor det sker

Der er en ubehagelig sandhed i mange virksomheder lige nu: medarbejdere bruger AI, men de gør det ikke åbent. Ikke fordi de er uærlige, men fordi de er usikre på, om de har lov, og de er bange for at blive irettesat. Så de gør det stille og roligt alligevel.

Det er den situation, enhver leder bør frygte mest. Ikke brugen i sig selv, men at den foregår i det skjulte uden styring, uden logning og uden adgangsstyring. Når AI bruges uformelt og ustruktureret, er der ingen som helst mulighed for at dokumentere, hvad der er sket, hvem der har gjort hvad, og om der er sendt fortrolige oplysninger til et AI system uden en gyldig databehandleraftale.

Datatilsynet i Danmark har allerede haft sager oppe, der berører netop dette område. Og med EU AI Act Danmark på vej til at slå fuldt igennem, kommer governance for AI og AI compliance til at blive endnu mere afgørende. Den virksomhed, der venter på at regulering tvinger dem til at handle, er den virksomhed, der ender med at betale for det to gange: én gang i bøder og én gang i tabte kunder.

Så: løsningen er ikke at forbyde AI. Det virker aldrig. Løsningen er at gøre det trygt og enkelt at bruge AI på den rigtige måde. Det starter med at sætte klare rammer, og det er det, resten af denne artikel handler om.

Hvad må du sende til et AI værktøj

Det er det spørgsmål, de fleste medarbejdere sidder med, men sjældent tør stille højt. Og det er faktisk et rigtig godt spørgsmål, for svaret er ikke enten sort eller hvidt. Det handler om kontekst, indhold og om der findes et behandlingsgrundlag for den behandling af persondata, du er ved at foretage.

Når du sender noget til et eksternt AI system som ChatGPT, Gemini eller Claude, sker der noget teknisk og juridisk på samme tid. Teksten forlader din virksomhed og behandles på en ekstern server. Afhængigt af udbyderens vilkår og opsætning kan dataene indgå i træning, logges eller opbevares i kortere eller længere tid. Det er derfor, du ikke bare kan sende hvad som helst, uden at have styr på det juridiske fundament.

Tommelfingerregel: hvis det kan skade nogen, så stop

Den nemmeste tommelfingerregel, jeg kender, er denne: hvis de oplysninger du er ved at sende til et AI værktøj kan skade en person, hvis de havner det forkerte sted, så stop. Det kan lyde simpelt, men den regel fanger langt de fleste problematiske situationer.

Spørg dig selv: indeholder det et navn koblet til et problem, en klage, en sygdom, en konflikt eller en økonomi? Indeholder det en adresse, et telefonnummer eller en mailadresse? Er det noget, personen selv ville blive ubehageligt berørt af at vide du har sendt videre? Kan svaret bruges til at identificere vedkommende?

Hvis du svarer ja til bare ét af disse spørgsmål, kræver det ekstra kontrol. Det betyder ikke nødvendigvis, at du ikke må bruge AI til opgaven. Det betyder, at du enten skal anonymisere data, sikre dig at der er en gyldig databehandleraftale med udbyderen, eller finde et alternativ der holder data indenfor virksomhedens egne systemer.

Begreberne dataminimering GDPR og pseudonymisering er centrale her. Dataminimering handler om at kun sende det, der er strengt nødvendigt for at løse opgaven. Pseudonymisering handler om at erstatte personhenførbare oplysninger med neutrale betegnelser, så det ikke er muligt at identificere en person direkte i den tekst du sender.

Eksempler på ok data og no go data

Det er typisk ok at sende Det er et klart no go
Generelle tekstafsnit uden navne eller ID Kundemails med navn, mail og problem
Anonymiserede mødereferater (navne fjernet) Mødenotater med fulde navne og følsomme beslutninger
Neutrale produktbeskrivelser eller FAQs Kontrakter og tilbud med kundedata og priser
Intern tekst uden personhenvisninger HR oplysninger om navngivne ansøgere eller ansatte
Skabeloner og generiske eksempeltekster CRM eksporter med navne, mail og telefonnumre

Sådan anonymiserer du en mail på 30 sekunder

Dette er det konkrete tip, der faktisk gør en forskel i hverdagen. Inden du kopierer en tekst ind i et AI system, gør følgende:

Erstat alle navne med en neutral betegnelse som "Kunden" eller "Personen A". Fjern eller erstat mailadresser, telefonnumre og adresser. Erstat virksomhedsnavne hvis de er irrelevante for opgaven. Slet eventuelle CPR lignende numre eller ordrenumre der kan føres tilbage til en person.

Det tager bogstaveligt talt 30 sekunder på en normal mail. Og du kan sagtens stadig bede AI om at hjælpe dig med at formulere et professionelt og empatisk svar, for konteksten er bevaret. Det eneste der er fjernet er det, der kan skade nogen hvis det havner et forkert sted. Det er anonymisering af data i praksis, og det er tilstrækkelig beskyttelse i langt de fleste hverdagssituationer.

Hvilket ansvar har virksomheden, og hvem ejer det

Når noget går galt med persondata i forbindelse med AI brug, er det ikke medarbejderen alene der har et problem. Det er virksomheden. Som dataansvarlig er det virksomheden der i sidste ende bærer ansvaret over for Datatilsynet, over for kunderne og over for lovgivningen. Det er et vigtigt udgangspunkt, fordi det placerer motivationen for at handle det rigtige sted: hos ledelsen.

Det betyder ikke, at den enkelte medarbejder er ansvarsfri. Men det betyder, at det er ledelsens opgave at skabe de rammer, den træning og de systemer, der gør det muligt for medarbejderne at gøre det rigtige. Hvis ingen har fortalt din salgsafdeling, hvad de ikke må sende til ChatGPT, og én af dem alligevel gør det, er det ikke kun sælgerens fejl. Det er et ledelsessvigt.

Ledelse, IT og fagpersoner med hver sin rolle

Ansvaret for sikker brug af AI i en virksomhed er fordelt på tværs af tre lag, og alle tre lag skal spille aktivt ind for at det fungerer:

Ledelsen ejer strategien og den interne AI politik. Det er ledelsens opgave at beslutte, hvilke AI værktøjer der er godkendte, hvad de må bruges til, og hvad der kræver en formel risikovurdering AI eller en DPIA (Data Protection Impact Assessment, på dansk: konsekvensanalyse for databeskyttelse). DPIA kunstig intelligens er ikke frivillig, når der er tale om systemer der behandler persondata i stor skala eller på en måde der medfører høj risiko for de registrerede.

IT afdelingen eller den teknisk ansvarlige (i mange SMVer er det den samme person der sidder med det hele) har ansvaret for at sikre, at der er indgået en gyldig databehandleraftale AI med alle de udbydere, der håndterer persondata. Uden en databehandleraftale er selve brugen af et eksternt AI system i mange tilfælde i strid med GDPR, uanset hvad der ellers er på plads.

Fagpersonerne, det vil sige dem der bruger AI i det daglige, har ansvaret for at følge de retningslinjer der er sat op, og for at bruge deres faglige skøn i situationer der ikke er dækket direkte. Det forudsætter selvfølgelig, at de er klædt ordentligt på til det. Og det er igen ledelsens ansvar at sørge for.

Sådan gør du det let at gøre det rigtige

Der er en simpel sandhed i compliance arbejde: jo sværere det er at gøre det rigtige, jo sjældnere sker det. Og jo nemmere du gør det, jo mere bliver det fulgt. Det er ikke et udtryk for dovenskab hos medarbejderne. Det er psykologi.

Konkret betyder det, at du ikke bør sætte regler op, der kræver medarbejderne konsulterer en 20 siders PDF, inden de bruger et AI værktøj. Du bør i stedet lægge en kortfattet og letlæselig intern AI politik der svarer på tre spørgsmål: hvad er godkendt, hvad kræver min leders godkendelse, og hvad er et direkte nej. Mere om det til sidst i artiklen.

Du bør desuden gøre anonymisering nemt. Det kan betyde, at der ligge en hurtig skabelon til rådighed, at der er et autofyld makro i tekstbehandlingsprogrammet, eller blot at det er skrevet med klare eksempler i politikken, så alle kan se det med egne øjne. Når det er let at gøre det rigtigt, gør folk det rigtigt.

Databehandleraftale, logning og adgangsstyring

Der er tre teknisk juridiske elementer, der udgør rygraden i en forsvarlig AI brug i en virksomhed. De er ikke spændende i sig selv, men de er afgørende, og de er præcis dem Datatilsynet kigger på, når de foretager kontrol. Mangler du ét af dem, har du et problem. Har du alle tre på plads og dokumenteret, er du i en ganske anden position.

Den første er databehandleraftalen. Enhver ekstern AI udbyder, der behandler persondata på vegne af din virksomhed, skal have en gyldig databehandleraftale AI. Det gælder OpenAI (ChatGPT), Google (Gemini), Anthropic (Claude) og alle andre. Mange af dem tilbyder enterprise eller business konti, der inkluderer databehandleraftaler og sikrer at din data ikke bruges til træning. Det er det minimum, du som virksomhed bør kræve, inden du godkender et AI værktøj til brug med kundedata eller medarbejderdata i AI.

Den anden er logning af AI brug. Du skal kunne svare på: hvem brugte hvad, hvornår, og til hvad? Det kræver ikke et kompliceret system, men det kræver at du har taget stilling til det. I praksis kan det være så simpelt som en godkendt liste over AI værktøjer, der logges adgangen til via virksomhedens netværk eller identitetsstyring. Logning handler ikke om overvågning af medarbejdere. Det handler om dokumentation og om at kunne demonstrere compliance.

Den tredje er adgangsstyring. Ikke alle medarbejdere har brug for adgang til alle AI systemer, og ikke alle AI systemer behøver adgang til alle data. Princippet om mindst mulig adgang gælder her, ligesom det gælder overalt i informationssikkerhed.

Hvad du bør kunne dokumentere ved et audit

Hvis Datatilsynet eller en stor B2B kunde revisorer banker på og vil se jeres AI håndtering, bør du som minimum kunne fremvise:

  • En liste over godkendte AI systemer og formålene de bruges til
  • Indgåede databehandleraftaler med relevante udbydere
  • En intern AI politik der er dateret og distribueret til medarbejderne
  • Dokumentation for at der er gennemført en risikovurdering AI for systemer der behandler særlige kategorier af data
  • Logning eller adgangskontrol der viser hvem der har adgang til hvilke systemer
  • Eventuel DPIA dokumentation for højrisiko behandlinger
Det lyder som meget, men for en SMV kan det samles i ét dokument på to til tre sider, hvis du er struktureret fra starten.

Hvordan du begrænser data til det nødvendige

Dataminimering GDPR er et af de centrale principper i persondataforordningen, og det gælder i allerhøjeste grad også for AI. Princippet siger, at du kun må behandle de oplysninger, der er nødvendige for det konkrete formål. Oversat til AI hverdagen betyder det: send kun det, AI faktisk behøver for at løse opgaven.

Hvis du vil have et udkast til en opfølgende salgsemail, behøver AI ikke kundens fulde navn, virksomhedsnavn, ordrehistorik og kontaktoplysninger. Den behøver kontekst og tone. Det er to meget forskellige ting. Lær dine medarbejdere at tænke i det minimum, der er nødvendigt, og du har automatisk reduceret din GDPR eksponering markant.

En kort intern AI politik der faktisk bliver fulgt

De fleste virksomheder, der har en AI politik, har den et sted ingen kigger. Den er skrevet af en jurist eller en konsulent, den er full af forbehold og sætninger der starter med "i henhold til forordning...", og den er aldrig blevet delt med medarbejderne på en måde, der fik dem til at huske den. Det løser intet.

En intern AI politik der faktisk virker, er en der er skrevet til mennesker. Ikke til revisorer. Det betyder, at den skal besvare de spørgsmål, en normal medarbejder sidder med klokken 14.37 en tirsdag, og det skal den gøre på under to minutters læsning.

Her er strukturen jeg anbefaler for en AI politik virksomhed, som du kan kopiere og tilpasse:

Formål: Hvad politikken gælder for, og hvem der er ansvarlig for den.
Godkendte AI værktøjer: En konkret liste over, hvad I bruger, og hvad de må bruges til.
Hvad du altid må sende: Anonymiserede tekster, generelle spørgsmål, skabeloner, interne noter uden persondata.
Hvad der kræver godkendelse: Systemer med adgang til kundedata, integreringer med CRM eller ERP, nye AI services du overvejer at tage i brug.
Hvad du aldrig må sende: Persondata uden anonymisering, CPR lignende numre, helbredsoplysninger, fortrolige kontrakter med tredjepartsdata.
Hvad du gør ved tvivl: Navnet og mailen på den person i virksomheden man kontakter, og en garanti for at der ikke er dum spørgsmål.

Regler i hverdagsdansk, ikke på side 17 i en PDF

Formuleringen af politikken er næsten vigtigere end indholdet, fordi indhold ingen virkning har, hvis det ikke læses. Her er et eksempel på en formulering, der virker:

"Inden du kopierer noget ind i et AI system: er der navne, mailadresser, telefonnumre eller andre oplysninger der kan knyttes til en konkret person? Så fjern dem først. Brug 'Kunden' i stedet for et navn. Brug 'Leverandør A' i stedet for et firmanavn. Er du i tvivl, så spørg."

Det er behandlingsgrundlag GDPR og samtykke og AI gjort forståelig for et normalt menneske. Det er samtykke og AI oversat til virkelighed. Og det er den type formulering, der faktisk holder sig i bevidstheden.

Undgå ord som "datasubjekt", "personoplysningernes integritet" og "behandlingsaktiviteter". Brug i stedet: "oplysninger om en person", "risiko for den person det handler om", og "hvad vi bruger det til". Sprog skaber adfærd.

Træning af medarbejdere med konkrete eksempler

Skrevne regler er et fundament. Men de er ikke nok alene. Det eneste der virkelig forandrer adfærd er genkendelighed: at se et eksempel der minder om ens egne arbejdsopgaver og tænke "ja, det er præcis det jeg gør". Så tager det rigtige valg faktisk fat i hjernen.

Brug derfor 20 til 30 minutters fælles gennemgang, gerne på et personalemøde, til at køre fem til seks konkrete eksempler igennem med teamet. Vis dem den kundemail scenario. Vis dem tilbuddet der uploades til AI. Spørg: hvad ville I gøre? Lad snakken komme. Det er langt mere effektivt end endnu en mail med vedhæftet politik.

Kombiner det med en simpel tjekliste der kan hænge ved computeren eller ligge som en notesbloknote:

  • Er der persondata i det jeg er ved at sende?
  • Har jeg anonymiseret det jeg ikke har brug for?
  • Er AI systemet godkendt af virksomheden?
  • Har udbyderen en gyldig databehandleraftale?
  • Er formålet med brugen inden for det tilladte?
Fem spørgsmål. Det er alt hvad der skal til for at gøre sikker brug af AI til en vane frem for en undtagelse. Det er governance for AI gjort menneskeligt.

Det handler ikke om regler, det handler om tillid

AI og GDPR i en dansk virksomheds hverdag handler i bund og grund om det samme som al anden god forretningspraksis: tillid. Tillid fra dine kunder til, at du passer på deres data. Tillid fra dine medarbejdere til, at de kan bruge de redskaber der gør dem effektive, uden at frygte at gøre noget forkert. Og tillid fra dig selv til, at der er styr på tingene.

Denne artikel har givet dig de centrale begreber og det konkrete sprog til at navigere i krydset mellem persondata og AI. Du har fået de fem typiske situationer der opstår i danske SMVer, en klar tommelfingerregel for hvad der må sendes til et AI system, og en konkret metode til anonymisering af data der tager under et halvt minut.

Du har fået overblik over ansvarsfordelingen mellem ledelse, IT og medarbejdere, forståelse for kravene til databehandleraftale AI, logning og adgangsstyring, og en skabelon til en intern AI politik der er skrevet i hverdagsdansk og faktisk kan bruges.

De virksomheder der vinder de næste par år er ikke dem, der venter på at regulering tvinger dem i gang. De er dem, der bruger AI ansvarligt, gennemsigtigt og med kontrol over egne data. Det er konkurrencefordelen, ingen taler om. Men det er den der holder i det lange løb.

Har du brug for hjælp til at sætte det her op i praksis, hvad enten det er en intern AI politik, en risikovurdering eller et setup der holder data inden for jeres egne systemer, så tag fat i mig. Én kort snak er nok til at finde ud af, om det giver mening at arbejde videre.

Ofte stillede spørgsmål

Må man bruge ChatGPT til at svare på kundemails under GDPR?
Ja, men kun hvis du gør det forsvarligt. Hvis du kopierer en kundemail ind med navn, mailadresse, telefonnummer, ordrenumre eller anden persondata, så er det en behandling af personoplysninger. I praksis bør du enten anonymisere teksten først, eller bruge en virksomhedskonto hvor der er databehandleraftale, tydelige vilkår om opbevaring, og hvor data ikke bruges til træning. Brug også dataminimering: send kun det AI’en har brug for for at skrive et godt svar.
Hvad er forskellen på anonymisering og pseudonymisering ved AI brug?
Anonymisering betyder, at personen reelt ikke kan identificeres ud fra det, du sender. Så er det som udgangspunkt ikke længere persondata. Pseudonymisering betyder, at du erstatter fx navn med Kunden eller Person A, men at du stadig kan koble teksten til en person via andre oplysninger eller en nøgle. Ved AI er anonymisering ofte det bedste til hurtige opgaver, fordi du fjerner risikoen ved at sende data ud af huset.
Skal der altid være en databehandleraftale, når medarbejdere bruger AI værktøjer?
Hvis AI udbyderen behandler persondata på vegne af virksomheden, så ja, så skal der typisk være en databehandleraftale. Uden den står du dårligt ved et tilsyn eller en kunde audit. Mange udbydere tilbyder business eller enterprise løsninger, hvor aftaler, sikkerhedsindstillinger og fravalg af træning er en del af pakken. Hvis der ikke er aftale på plads, så hold persondata helt ude af værktøjet.
Hvornår skal man lave en DPIA for kunstig intelligens?
En DPIA giver mening, og kan være påkrævet, når der er høj risiko for de registrerede. Det er fx ved behandling i stor skala, brug af særlige kategorier af data, profilering, eller når AI bliver en fast del af processer som HR, kundeservice eller segmentering på CRM data. Er du i tvivl, så start med en kort risikovurdering og dokumenter den. Det er langt bedre end at gætte og håbe.
Hvad bør en intern AI politik indeholde for at leve op til GDPR krav?
Hold den kort og brugbar. Den bør som minimum sige: hvilke AI værktøjer er godkendt, hvad må du sende, hvad kræver godkendelse, og hvad er direkte no go. Tilføj en enkel tjekliste om persondata, anonymisering, databehandleraftale, formål og dataminimering. Skriv også hvem man spørger ved tvivl, og gør det trygt at spørge, så brugen ikke ender i skygge it uden logning og kontrol.
Tilbage til Strategi