AI, GDPR & EU's AI-forordning

Må jeres virksomhed bruge AI? Ja — sådan gør I det lovligt.

Mange virksomheder holder sig tilbage fra AI, fordi reglerne virker uoverskuelige. Det er ærgerligt — for reglerne forbyder ikke AI. De stiller krav til, hvordan man bruger den. Her er en jordnær gennemgang uden skræmmebilleder.

Tre ting, der er værd at vide først

1. Der er stor forskel på gratis chatbots og professionelle AI-løsninger

Når en medarbejder taster kundedata ind i en gratis chatbot fra en privat konto, ryger data ud af huset uden aftale — og kan hos nogle tjenester blive brugt til at træne modellen. Dét er problemet, de fleste har hørt om.

Professionelle AI-løsninger arbejder anderledes: De store leverandører træner ikke på jeres data, når man bruger deres erhvervsaftaler, og der tegnes en databehandleraftale, præcis som med jeres lønsystem eller mailudbyder. Meget af "AI og GDPR"-frygten handler i virkeligheden om ukontrolleret privat brug — ikke om ordentligt indrettede løsninger.

2. Jeres data kan blive i EU — eller helt i huset

Hvor jeres data må behandles, afhænger af hvor følsomme de er. I praksis vælger man mellem tre niveauer:

NIVEAU 1
AI-leverandør med databehandleraftale

Til data uden særlig følsomhed. Hurtigst og billigst — leverandøren behandler data under aftale og træner ikke på dem.

NIVEAU 2
AI i europæisk datacenter

De samme førende AI-modeller kan køres i EU-datacentre (fx Frankfurt), så data aldrig forlader EU. Standardvalget for de fleste virksomheder med persondata i flowet.

NIVEAU 3
AI på egne servere

Til det mest følsomme: open source-modeller installeret på jeres eget udstyr, hvor intet forlader huset. Kræver mere, men er fuldt muligt.

Ofte kan behovet også reduceres, før data overhovedet sendes afsted: Mange løsninger kan minimere eller anonymisere persondata i flowet, så det slet ikke bliver et spørgsmål.

3. De fleste AI-værktøjer er i den lave risikoklasse

EU's AI-forordning inddeler AI efter risiko. Det, de fleste virksomheder har brug for — søgning i egne dokumenter, udkast til tilbud og svar, automatisk dokumenthåndtering — ligger i den lave ende. Kravene her er til at overskue:

  • Gennemsigtighed: Brugere skal vide, når de taler med en AI, og AI-genereret indhold skal kunne kendes, hvor det er relevant.
  • AI-kompetence: Medarbejdere, der bruger AI, skal være instrueret i det (forordningens artikel 4). En workshop og klare retningslinjer dækker typisk behovet.

Undtagelsen, I skal kende: Bruges AI til fx at screene jobansøgere eller vurdere kreditværdighed, rykker man op i højrisiko-kategorien med væsentligt tungere krav. Den slags projekter kræver en anden tilgang — og det er netop noget af det, en indledende afklaring afdækker, før der bygges noget.

Hvad GDPR konkret kræver af en AI-løsning

GDPR har ingen særregler for AI — det er de samme principper som for alle andre systemer, der behandler persondata:

  • Aftalegrundlag: databehandleraftaler i hele kæden, fra jer til AI-leverandøren.
  • Adgangsstyring: AI'en må ikke vise en medarbejder noget, vedkommende ikke i forvejen måtte se. Løsningen skal respektere jeres eksisterende rettigheder.
  • Dataminimering: send kun det nødvendige til modellen.
  • Sletning og logning: en klar politik for, hvad der gemmes hvor længe.
  • Dokumentation: I skal kunne vise, hvordan data flyder — til jeres egen fortegnelse og hvis nogen spørger.

Sådan ser det ud, når det er i orden

  1. Dataflow-diagram: ét ark, der viser præcis, hvilke data der sendes hvorhen
  2. Databehandleraftaler på plads i hele kæden
  3. Hostingvalg (niveau 1-3) begrundet ud fra datafølsomhed
  4. Adgangsstyring der spejler jeres eksisterende rettigheder
  5. Log- og sletningspolitik — hvad gemmes, hvor længe, hvorfor
  6. Instruktion af medarbejderne — så artikel 4-kravet om AI-kompetence er dækket

Det er den pakke, vi bygger ind fra starten i hvert projekt — så compliance ikke er noget, der skal lappes bagefter, men noget I kan fremvise fra dag ét.

Denne side er en generel introduktion og ikke juridisk rådgivning. Konkrete projekter med persondata bør altid vurderes konkret — og ved tvivlsspørgsmål i samråd med jeres jurist eller databeskyttelsesrådgiver.

Usikker på, hvor jeres idé lander?

Tag et uforpligtende møde. Vi gennemgår jeres use case, peger på det rigtige hostingniveau og fortæller ærligt, hvis noget kræver mere, end det er værd.

Book et uforpligtende møde →