GDPR og AI overlapper hver gang din virksomhed bruger kunstig intelligens til at behandle personoplysninger — og det sker oftere end de fleste tror. Når en medarbejder kopierer et kundenavn ind i ChatGPT, når din AI-chatbot logger en samtale, eller når et automatiseret system screener jobansøgere, gælder GDPR-reglerne fuldt ud.
Datatilsynet har i 2026 udpeget kunstig intelligens som et primært fokusområde for tilsynsaktivitet. Det betyder at danske virksomheder der bruger AI uden at have styr på GDPR-implikationerne løber en reel risiko — ikke kun for bøder, men for påbud der kan lukke forretningskritiske processer ned fra den ene dag til den anden.
Denne guide giver dig det praktiske overblik: hvornår GDPR gælder for din AI-brug, hvad en databehandleraftale med en AI-leverandør skal indeholde, hvornår du skal lave en risikovurdering, og en 7-punkts tjekliste du kan følge.
Hvornår gælder GDPR for din AI-brug?
GDPR gælder hver gang et AI-system behandler personoplysninger — uanset om det er et dedikeret AI-produkt, en funktion indlejret i eksisterende software, eller en gratis online-tjeneste en medarbejder bruger på eget initiativ.
Den afgørende faktor er ikke om du “bruger AI” — det er om personoplysninger indgår i processen. Her er den praktiske skelnen:
AI-brug der typisk involverer persondata
| Anvendelse | Persondata involveret | GDPR-relevant |
|---|---|---|
| AI-chatbot der besvarer kundehenvendelser | Kundenavne, e-mails, ordredetaljer | Ja |
| ChatGPT til at formulere tilbud med kundedata | Virksomhedsnavne, kontaktpersoner | Ja |
| CV-screening med AI | Ansøgernes personlige data | Ja — og potentielt højrisiko |
| AI-baseret kreditvurdering | Finansielle personoplysninger | Ja — og højrisiko |
| Automatisk fakturering med kundedata | Navne, adresser, CVR | Ja |
AI-brug der typisk IKKE involverer persondata
| Anvendelse | Persondata involveret | GDPR-relevant |
|---|---|---|
| ChatGPT til at skrive markedsføringstekster (uden kundedata) | Nej | Nej |
| AI til kodegenerering | Nej (medmindre koden indeholder persondata) | Typisk nej |
| AI til lagerstyring og efterspørgselsprognose | Aggregerede data, ingen personhenførbarhed | Typisk nej |
| AI til oversættelse af generelle tekster | Nej | Nej |
Tommelfingerregel: Hvis en person kan identificeres direkte eller indirekte fra de data AI-systemet behandler, gælder GDPR. Det inkluderer navne, e-mails, telefonnumre, IP-adresser, lokationsdata og enhver kombination der kan identificere en person.
De 6 GDPR-krav der er mest relevante for AI-brug
1. Lovligt grundlag for behandling
Du skal have et lovligt grundlag for at behandle persondata med AI — præcis som med enhver anden databehandling. De mest relevante for AI i virksomheder:
- Samtykke — sjældent praktisk for interne AI-processer
- Kontrakt — når AI-behandlingen er nødvendig for at opfylde en aftale med kunden
- Berettiget interesse — den mest brugte for intern AI-optimering, men kræver interesseafvejning
- Retlig forpligtelse — når lovgivning kræver behandlingen
I vores arbejde med danske virksomheder ser vi at “berettiget interesse” er det hyppigste grundlag for AI-brug, men det kræver at du faktisk har lavet en interesseafvejningstest og dokumenteret den.
2. Databehandleraftale med AI-leverandører
Når du bruger en AI-tjeneste der behandler persondata på dine vegne (ChatGPT Team/Enterprise, Claude API, en AI-chatbot-platform), er leverandøren din databehandler. Du SKAL have en databehandleraftale (DPA) på plads.
Hvad aftalen skal dække:
- Hvilke persondata der behandles og til hvilket formål
- Hvor data opbevares (EU vs. tredjelande)
- Om data bruges til at træne leverandørens AI-modeller
- Sletnings- og tilbagegivelsesprocedurer
- Underbehandlere (hvem leverandøren deler data med)
Status for de mest brugte AI-tjenester i 2026:
| Tjeneste | DPA tilgængelig | Data i EU | Bruges til træning? |
|---|---|---|---|
| ChatGPT Team/Enterprise | Ja | Ja (Enterprise) | Nej (Team/Enterprise) |
| ChatGPT Free/Plus | Begrænset | Nej (USA) | Ja (default) |
| Claude API (Anthropic) | Ja | EU-option | Nej |
| Microsoft Copilot (M365) | Ja (via M365 DPA) | Konfigurérbart | Nej |
| Google Gemini (Workspace) | Ja | Konfigurérbart | Nej |
Kritisk skelnen: ChatGPT Free og Plus bruger som standard dine data til modeltræning. Det betyder at persondata du sender ind potentielt indgår i fremtidige modelsvar til andre brugere. For virksomhedsbrug er dette en GDPR-overtrædelse medmindre du har eksplicit samtykke fra de registrerede. Brug ChatGPT Team, Enterprise eller API med opt-out aktiveret.
3. Konsekvens- og risikovurdering (DPIA)
GDPR kræver en Data Protection Impact Assessment (DPIA) når behandlingen sandsynligvis medfører “høj risiko” for de registreredes rettigheder. For AI-systemer er dette relevant når:
- AI’en træffer eller assisterer automatiserede beslutninger der påvirker personer
- Behandlingen involverer profilering
- Behandlingen er systematisk overvågning
- Følsomme personoplysninger behandles i stor skala
I praksis for danske SMV’er: Bruger du AI til rekruttering, kreditvurdering, eller kundesegmentering baseret på adfærdsdata, skal du lave en DPIA. Bruger du ChatGPT til at skrive e-mails og rapporter — typisk ikke.
GDPR og AI Act overlapper for højrisiko-systemer. Tjek din AI Act risikokategori som første skridt.
4. Gennemsigtighed og information
De registrerede (kunder, medarbejdere, ansøgere) har ret til at vide at deres data behandles med AI. Dit privatlivspolitik skal opdateres til at inkludere:
- Hvilke AI-systemer der bruges og til hvad
- Hvilke data der behandles i AI-systemer
- Om der sker automatiseret beslutningstagning
- Retten til at gøre indsigelse mod automatiserede beslutninger
5. Dataminimering
GDPR’s dataminimeringsprincip er særligt relevant for AI: send kun de personoplysninger til AI-systemet der er strengt nødvendige for opgaven. I praksis betyder det:
- Anonymisér hvor muligt — erstat navne med ID’er, fjern direkte identifikatorer
- Pseudonymisér når fuld anonymisering ikke er mulig
- Filtrér inden afsendelse — send ikke hele kundekortet når AI’en kun behøver ordrehistorikken
6. Registreredes rettigheder
Dine kunder og medarbejdere har ret til indsigt i, rettelse af og sletning af deres persondata — også de data der behandles i AI-systemer. Det betyder at du skal kunne:
- Oplyse hvilke persondata der er sendt til AI-systemer
- Slette eller rette data i AI-systemet (eller dokumentere at det ikke er teknisk muligt)
- Forklare logikken bag automatiserede beslutninger
Hvor GDPR og EU AI Act mødes
Med EU AI Act trådt i kraft står danske virksomheder nu med to parallelle regelsæt der begge regulerer AI-brug. Her er hvordan de supplerer hinanden:
| Dimension | GDPR | EU AI Act |
|---|---|---|
| Fokus | Persondata | AI-systemers risiko |
| Hvem reguleres | Alle der behandler persondata | Alle der bruger AI-systemer |
| Bødestørrelse | Op til 4% af global omsætning / 20 mio. EUR | Op til 7% / 35 mio. EUR |
| Tilsyn i DK | Datatilsynet | Digitaliseringsstyrelsen |
| DPIA/risikovurdering | Ja, ved høj risiko for registrerede | Ja, for højrisiko-AI |
| Gennemsigtighed | Informationspligt overfor registrerede | Oplysningspligt for AI-systemer |
Den praktiske fordel: Har du allerede GDPR-compliance med DPIA’er, databehandleraftaler og dokumentation, er du 60-70% af vejen til AI Act-compliance. Mange af processerne er de samme — de skal bare udvides til at dække AI-specifikke aspekter. Sideløbende med GDPR stiller EU AI Act krav om AI-literacy for alle medarbejdere der bruger AI.
Hvis du er usikker på om jeres AI-brug er GDPR-compliant — eller om jeres eksisterende GDPR-setup dækker de nye AI-krav — kan vi hjælpe med en hurtig vurdering. Vi gennemgår jeres AI-værktøjer, dataflows og dokumentation og identificerer eventuelle huller.
AI-AG’s 7-punkts GDPR-AI tjekliste
1. Kortlæg al AI der behandler persondata
Lav en komplet liste over AI-systemer og -funktioner i virksomheden der berører personoplysninger. Inkludér både officielle værktøjer og skygge-AI (medarbejderes uautoriserede brug). Brug vores AI-politik skabelon som ramme.
2. Tjek databehandleraftaler for alle AI-leverandører
For hver AI-tjeneste på listen: har du en gyldig DPA? Dækker den AI-specifik databehandling? Specificerer den hvor data opbevares og om det bruges til træning? Hvis nej — kontakt leverandøren eller find et alternativ.
3. Vurdér behandlingsgrundlaget for hver AI-brug
Dokumentér det lovlige grundlag (samtykke, kontrakt, berettiget interesse) for hver type AI-behandling af persondata. For “berettiget interesse” — lav og dokumentér en interesseafvejningstest.
4. Lav DPIA for højrisiko AI-behandling
Hvis AI’en træffer eller assisterer beslutninger om personer (ansættelse, kredit, kundesegmentering, prissætning), lav en DPIA. Datatilsynet har en vejledning og skabelon til formålet.
5. Opdatér privatlivspolitik og information til registrerede
Tilføj information om AI-brug i jeres privatlivspolitik: hvilke AI-systemer bruges, til hvad, og hvilke rettigheder de registrerede har i den sammenhæng.
6. Implementér dataminimering i AI-workflows
Gennemgå hvert AI-dataflow og spørg: sender vi mere persondata til AI-systemet end nødvendigt? Kan vi anonymisere eller pseudonymisere? Kan vi filtrere inden afsendelse?
7. Etablér procedure for registreredes rettigheder
Sørg for at I kan besvare indsigtsanmodninger der vedrører AI-behandling. Dokumentér hvilke data der sendes til hvilke AI-systemer, og hvad der sker med dem.
Realistisk tidsestimat for en SMV med 10-50 ansatte: 1-2 uger for punkt 1-3 (kortlægning og dokumentation), derefter løbende for punkt 4-7. Har du allerede GDPR-setup: halvér tiden, da strukturerne allerede er på plads.
Datatilsynets sandkasse og vejledninger
Datatilsynet og Digitaliseringsstyrelsen har etableret en regulatorisk sandkasse for AI, hvor danske virksomheder og myndigheder kan få gratis vejledning i GDPR-compliance for AI-projekter. Sandkassen er primært rettet mod virksomheder der udvikler AI, men vejledningerne er relevante for alle der bruger AI med persondata.
Datatilsynets officielle ressourcer:
- Kunstig intelligens — regler og vejledning
- Regulatorisk sandkasse for AI (gratis rådgivning til udvalgte projekter)
- Vejledning: “Offentlige myndigheders brug af kunstig intelligens” (relevant som best practice også for private virksomheder)
FAQ
Må vi bruge ChatGPT til kundehenvendelser under GDPR?
Ja, men med forholdsregler. Brug ChatGPT Team eller Enterprise (ikke Free/Plus), da disse har DPA og ikke bruger data til modeltræning. Anonymisér kundedata inden du sender dem til ChatGPT — brug kundenummer i stedet for navn, fjern CPR og kontaktoplysninger der ikke er nødvendige for opgaven. Dokumentér brugen i jeres behandlingsfortegnelse.
Hvad er forskellen på en dataansvarlig og en databehandler i AI-kontekst?
Du er dataansvarlig — du bestemmer formålet med og midlerne til databehandlingen. AI-leverandøren (OpenAI, Anthropic, Microsoft) er databehandler — de behandler data på dine vegne og instruks. Det betyder at DU er ansvarlig for at sikre GDPR-compliance, og at leverandøren handler inden for rammerne af jeres databehandleraftale.
Kræver al AI-brug en DPIA?
Nej. DPIA kræves kun ved høj risiko for de registreredes rettigheder — typisk ved automatiseret beslutningstagning, profilering, eller behandling af følsomme data i stor skala. Bruger du AI til intern produktivitet (tekstskrivning, rapportering, oversættelse) uden direkte effekt på personers rettigheder, kræves typisk ikke en DPIA.
Hvad sker der hvis en medarbejder bruger ChatGPT Free med kundedata?
Det er en potentiel GDPR-overtrædelse fordi: (1) der mangler databehandleraftale, (2) data overføres til USA uden tilstrækkelig beskyttelse, og (3) data bruges potentielt til modeltræning. Virksomheden — ikke medarbejderen — er ansvarlig. Løsningen er en klar AI-politik der definerer godkendte værktøjer og forbyder brug af gratis AI-tjenester med virksomhedsdata.
Kan GDPR og AI Act give bøde for samme overtrædelse?
Teoretisk ja, men i praksis koordinerer Datatilsynet og Digitaliseringsstyrelsen tilsynet for at undgå dobbeltbødestraf. Dog dækker de to regelsæt forskellige aspekter: GDPR bøderne rammer persondata-overtrædelser, AI Act bøderne rammer overtrædelser af AI-systemkrav. Samme handling kan overtræde begge — f.eks. en AI der træffer diskriminerende beslutninger om personer overtræder både GDPR’s retfærdighedsprincip og AI Act’s krav til højrisiko-systemer.
Gælder GDPR også for AI der kun behandler virksomhedsdata?
Nej — GDPR gælder kun for personoplysninger. Bruger du AI udelukkende til at analysere virksomhedsdata (omsætningstal, lagerdata, markedsdata) uden personhenførbare oplysninger, gælder GDPR ikke. Men vær opmærksom: selv virksomhedsdata kan indeholde personoplysninger — kontaktpersoner på fakturaer, sælgeres navne i CRM, medarbejdernavne i tidsregistrering.