AI og GDPR: Hvad dansk lovgivning kræver af din virksomhed
EU's AI-forordning er trådt i kraft, og GDPR gælder stadig for al databehandling. Her er hvad du konkret skal gøre for at bruge AI lovligt i din virksomhed.
Hovedpointer
- 1.EU AI Act klassificerer AI-systemer i 4 risikoniveauer. De fleste SMV-løsninger falder i kategorien "begrænset risiko" med milde krav
- 2.GDPR kræver at du har lovligt grundlag, før du bruger persondata i AI-systemer. Samtykke eller legitim interesse er de mest brugte
- 3.Bøder for overtrædelse kan nå 35 mio. EUR eller 7% af global omsætning. Men med simpel dokumentation og de rette processer er compliance opnåeligt
Foto: Scott Webb / Unsplash
EU AI Act: Det nye regelsæt for kunstig intelligens
EU's AI-forordning (AI Act) trådte i kraft i august 2024, med en trinvis implementering frem til 2027. Det er verdens første samlede lovgivning specifikt rettet mod AI-systemer. For danske virksomheder betyder det nye krav til dokumentation, gennemsigtighed og risikostyring.
Den gode nyhed: De fleste AI-værktøjer som SMV'er bruger (ChatGPT, Claude, Copilot) falder i de lavere risikoklasser. Du skal stadig dokumentere din brug, men kravene er håndterbare.
De 4 risikoniveauer
AI Act opdeler AI-systemer i fire kategorier baseret på den potentielle skade de kan forvolde:
Eksempler: Social scoring, manipulation af sårbare grupper, biometrisk masseovervågning i realtid
Krav: FORBUDT. Disse systemer må ikke bruges i EU.
For din virksomhed: Berører sjældent SMV'er direkte.
Eksempler: AI til rekruttering, kreditvurdering, uddannelse, retshåndhævelse, kritisk infrastruktur
Krav: Kræver konformitetsvurdering, CE-mærkning, risikovurdering og løbende overvågning.
For din virksomhed: Relevant hvis du bruger AI til at screeninge jobansøgere eller kreditvurdere kunder.
Eksempler: Chatbots, AI-genereret indhold, billedgenerering, automatiseret kundeservice
Krav: Gennemsigtighedskrav: Brugere skal vide de interagerer med AI.
For din virksomhed: Her befinder de fleste SMV-løsninger sig. Krav: Mærk AI-genereret indhold tydeligt.
Eksempler: Spamfiltre, AI i videospil, lagerstyring, intern analyse
Krav: Ingen lovkrav ud over eksisterende lovgivning.
For din virksomhed: Frit at bruge uden ekstra compliance-tiltag.
GDPR og AI: Persondataforordningen gælder stadig
AI Act erstatter ikke GDPR. De to regelsæt supplerer hinanden. Når din AI-løsning behandler persondata (navne, emails, kundehistorik, medarbejderdata), gælder GDPR fuldt ud.
6 ting GDPR kræver når du bruger AI
1. Lovligt behandlingsgrundlag
Du skal have et gyldigt grundlag for at behandle data. For de fleste AI-løsninger er det enten samtykke (kunden accepterer) eller legitim interesse (du kan dokumentere en berettiget forretningsmæssig interesse).
Praktisk tip: Hvis du bruger AI til intern analyse af anonymiserede data, falder det ofte uden for GDPR.
2. Dataminimering
Brug kun de data AI-systemet faktisk har brug for. Hvis din chatbot ikke behøver kundens CPR-nummer for at besvare et spørgsmål om leveringstid, skal du ikke give den adgang til det.
Praktisk tip: Gennemgå hvilke datafelter din AI-løsning har adgang til. Fjern alt der ikke er nødvendigt.
3. Databehandleraftale
Når du bruger en ekstern AI-tjeneste (ChatGPT, Claude, Copilot), er udbyderen databehandler. Du skal have en databehandleraftale (DPA) på plads.
Praktisk tip: OpenAI, Anthropic og Microsoft tilbyder alle standard DPA'er. Tjek at de er underskrevet.
4. Registreredes rettigheder
Kunder og medarbejdere har ret til indsigt i, hvordan deres data bruges af AI. De har også ret til at gøre indsigelse mod automatiserede beslutninger.
Praktisk tip: Hav en procedure klar til at håndtere indsigtsanmodninger der involverer AI-systemer.
5. Konsekvensanalyse (DPIA)
Ved behandling der indebærer høj risiko for de registrerede, skal du lave en Data Protection Impact Assessment. Det gælder typisk ved systematisk profilering eller scoring af personer.
Praktisk tip: AI til lead scoring eller personalisering kræver ofte en DPIA. Standard chatbots gør det normalt ikke.
6. Overførsel til tredjelande
Mange AI-tjenester er amerikanske. Overførsel af persondata til USA kræver et gyldigt overførselsgrundlag, f.eks. EU-US Data Privacy Framework.
Praktisk tip: Tjek om din AI-leverandør er certificeret under EU-US DPF. OpenAI og Microsoft er det.
Tidsplan: Hvornår træder kravene i kraft?
AI Act implementeres trinvist. Her er de vigtigste datoer for danske virksomheder:
| Dato | Hvad sker der | Hvem påvirkes |
|---|---|---|
| Februar 2025 | Forbud mod uacceptabel-risiko AI træder i kraft | Alle virksomheder |
| August 2025 | Krav til generelle AI-modeller (foundation models) | Primært AI-udviklere |
| August 2026 | Krav til højrisiko AI-systemer | Virksomheder med AI til rekruttering, kredit, sundhed |
| August 2027 | Fuldt implementeret inkl. produktsikkerhed | Alle producenter og distributører |
Praktisk compliance-checkliste for SMV'er
Her er de konkrete skridt du skal tage for at sikre at din virksomheds AI-brug er lovlig. Listen er prioriteret efter hvad der er vigtigst at få på plads først:
Compliance-checkliste
- Kortlæg alle AI-systemer i brug (inkl. ChatGPT, Copilot, AI-funktioner i eksisterende software)
- Klassificer hvert system efter AI Act risikoniveauer (se ovenfor)
- Tjek at databehandleraftaler er på plads med alle AI-leverandører
- Opdater privatlivspolitik til at nævne AI-behandling
- Vurder om du har behov for DPIA (konsekvensanalyse)
- Etabler procedure for indsigtsanmodninger der involverer AI
- Sørg for at AI-chatbots tydeligt markerer at brugeren taler med en AI
- Mærk AI-genereret indhold (tekst, billeder) hvor det er kundevendt
- Dokumenter formålet med hvert AI-system og de data det behandler
- Gennemfør årlig review af AI-compliance
Bøder og konsekvenser
Overtrædelse af AI Act kan koste dyrt. Her er bødeniveauerne:
Brug af forbudt AI
Op til 35 mio. EUR
eller 7% af global omsætning
Manglende compliance ved høj risiko
Op til 15 mio. EUR
eller 3% af global omsætning
Forkerte oplysninger til myndigheder
Op til 7,5 mio. EUR
eller 1,5% af global omsætning
Lempelser for SMV'er
AI Act indeholder specifikke lempelser for SMV'er og startups. Blandt andet lavere bøder (proportionelle til omsætning), adgang til gratis rådgivning via nationale "regulatory sandboxes", og forenklede processer for konformitetsvurdering. Datatilsynet forventes at oprette en dansk sandbox til vejledning af mindre virksomheder.
Typiske fejl danske virksomheder begår
Medarbejdere bruger ChatGPT uden virksomhedens viden
Risiko: Persondata kan lække til træningsdata. Ingen DPA på plads.
Løsning: Lav en AI-politik og sørg for at alle bruger virksomhedens licenserede udgave (ChatGPT Team/Enterprise).
Copy-paste af kundedata ind i gratis AI-værktøjer
Risiko: Gratis versioner kan bruge data til træning. Brud på GDPR og fortrolighed.
Løsning: Brug kun betalte versioner med DPA. OpenAI Team, Claude Pro og Copilot for Business bruger ikke data til træning.
AI-chatbot uden tydelig mærkning
Risiko: AI Act kræver at brugere ved de interagerer med AI.
Løsning: Tilføj en klar besked: "Du chatter med en AI-assistent" ved start af samtalen.
Automatiserede beslutninger uden menneskelig kontrol
Risiko: GDPR artikel 22 giver borgere ret til at undgå rent automatiserede beslutninger.
Løsning: Sørg for at vigtige beslutninger (afslag, kreditvurdering, ansættelse) altid har et menneske i loopet.
Nyttige ressourcer
Her er de vigtigste kilder til at holde dig opdateret på AI-lovgivning i Danmark:
- Datatilsynet (datatilsynet.dk) - Dansk myndighed for persondata og AI-tilsyn
- EU AI Act (artificialintelligenceact.eu) - Komplet tekst og FAQ
- Erhvervsstyrelsen - Vejledning om AI til danske virksomheder
- Dansk Industri - AI-guidelines og branchespecifik vejledning
Klar til at bruge AI lovligt?
Start med at beregne den potentielle værdi af AI i din virksomhed. Vores ROI-beregner hjælper dig med at bygge en business case der overholder reglerne.