Hvad GDPR siger om AI
Der findes ingen GDPR-undtagelse for AI. Hvis jeres AI-system behandler persondata, gælder de samme regler som for al anden databehandling: dataminimering, formålsbegrænsning, hjemmel, opbevaringsperiode, datasubject rights.
Det vigtige spørgsmål er hvilket forhold I har til LLM-udbyderen. Når I sender en kundes email til Anthropic eller Google, er de databehandler — I er fortsat dataansvarlig. Det betyder I skal have en databehandleraftale (DPA) på plads før første kald.
Alle de store udbydere har standard-DPA'er klar. Anthropic, OpenAI og Google har alle dokumentation på deres compliance-sider. Læs DPA'en, og særligt sektioner om sub-processors, datalokation, og retention.
EU-regioner for AI-inference
For mange danske virksomheder er det vigtigt at data ikke forlader EU. Det er muligt i dag for alle tre store udbydere:
Anthropic Claude: via AWS Bedrock i Frankfurt eller Paris-regionen. Konfigurer eksplicit at jeres kald skal route's der.
OpenAI GPT: via Microsoft Azure OpenAI Service i Sweden Central, France Central, eller West Europe. Azure giver eksplicit data-residency-garantier.
Google Gemini: via Vertex AI i europe-west1 (Belgium) eller europe-west4 (Netherlands).
Opmærksomhedspunkt: selv med EU-region kan logs og training-data nogle gange forlade EU. Læs altid det fine print, og bed udbyderen om at få skriftligt bekræftet hvor data går hen og opbevares.
Dataminimering i praksis
Det vigtigste GDPR-princip for AI er dataminimering: send kun de data der er nødvendige for at modellen kan svare.
Anonymisering før kald. Hvis modellen ikke behøver kundens fulde navn, så hash det eller erstat med "Kunde A". Hvis ordrenummeret er nok til at finde sagen, så send ikke email-adressen.
Adskil PII fra prompts. Brug placeholder-tokens i prompten ("kunden hedder {NAME}") og injicer rigtige værdier kun lokalt før visning. Hvis modellen ikke behøver navnet til at ræsonnere, behøver den ikke at se det.
Log mindre end du tror du har brug for. Detaljerede logs er praktiske til debugging men er også en GDPR-risiko. Sæt en realistisk retention-policy (30-90 dage er normalt) og slet automatisk.
EU AI Act — hvad det betyder for dig
EU AI Act trådte i kraft august 2024 og rulles ud gradvist frem til 2027. Den kategoriserer AI-systemer efter risiko:
Minimal/lav risiko (det meste): chatbots, anbefalingssystemer, automatisering. Få krav — primært transparens (kunden skal vide de taler med AI).
Høj risiko: AI brugt i HR-beslutninger (rekruttering, performance review), kreditvurdering, sundhedsdiagnostik, kritisk infrastruktur. Krav om dokumentation, risikovurdering, menneskelig kontrol, og registrering i EU-database.
Forbudt: AI til social scoring, manipulativ biometrisk identifikation i offentlig rum, prædiktiv politiarbejde baseret på personlighed.
For de fleste SMB'er falder jeres AI-systemer i "lav risiko"-kategorien. Men hvis I bruger AI til at træffe beslutninger om mennesker (ansættelser, lån, forsikring), så er I i højrisiko-kategorien og skal have styr på dokumentation nu.
Datasubject rights og AI
Et ofte overset område: datasubjektets ret til indsigt, rettelse og sletning gælder også for AI.
Indsigt: hvis en kunde beder om alle data I har om dem, inkluderer det også data I har sendt til LLM-udbydere. Log derfor (på en GDPR-kompatibel måde) hvilke kald der involverede hvilke kunder.
Sletning: hvis en kunde beder om at blive slettet, skal data også fjernes fra jeres RAG-corpus (hvis kunde-information er i den) og fra vector-databasen. Lav rutiner for dette.
Trænings-data: vigtigt — hvis I har bidraget kunde-data til træning af en model (gennem fine-tuning hos en udbyder), kan det være praktisk umuligt at "trække tilbage" data. Vurder før I gør det.
Konkret tjekliste
Et minimum compliance-grundlag for AI i jeres virksomhed:
1. Identificer hvilke AI-systemer I bruger og hvilke kategorier af persondata de behandler.
2. Sørg for databehandleraftaler med alle LLM-udbydere I sender data til.
3. Vælg EU-region for inference hvor data-følsomhed kræver det.
4. Implementer dataminimering — hash, anonymiser eller udelad PII hvor muligt.
5. Opdater jeres privatlivspolitik så den dækker AI-databehandling.
6. Lav en procedure for datasubject-anmodninger der inkluderer AI-data.
7. Kategoriser jeres AI-systemer ift. EU AI Act og dokumenter højrisiko-systemer.
8. Træn medarbejderne i hvad der må og ikke må sendes til AI-værktøjer (ChatGPT, Claude, copilot).