Det korte svar: For at være compliant, når man anvender AI-modeller bør man først overveje om man vil fordre modellen med følsomme data. Hvis man vælger at gøre dette, bør man forstå, hvordan AI-modeller – som ChatGPT og andre LLM’er – behandler data. Herudover bør man udføre tekniske foranstaltninger før man tager det i brug samt skabe nogle GDPR-korrekte arbejdsprocesser omkring dem. Det kræver forberedelse, men med de rette procedurer og kontrolmekanismer kan AI bruges effektivt uden at komme på kant med GDPR.
En ny hverdag med AI – men hvad med compliance?
I de seneste år har virksomheder for alvor taget AI-modeller som ChatGPT, Gemini og Copilot til sig. AI-modellerne bruges til alt fra tekstgenerering, databehandling, kodning etc. Men med dette nye redskab rejser der sig nogle etiske spørgsmål – hvordan skal brugen af AI reguleres, så persondata behandles på en ansvarlig måde, når man anvender AI. I denne blog ser vi nærmere på, hvordan man undgår at bryde GDPR, AI-forordningen og andre krav inden for compliance, når man bruger AI.
Hvor opstår risikoen ved AI?
AI-modeller som ChatGPT, Copilot eller Claude genererer ikke af sig selv følsomme eller ulovlige data. Risikoen opstår, når vi som brugere – ofte i god tro – deler personoplysninger, fortrolige dokumenter eller følsomme oplysninger med modellen for at få den til at løse en opgave. I denne forbindelse kan det være i strid med GDPR at dele følsomme data med en AI-model. Men omvendt kan det være nødvendigt at dele følsomme informationer med AI-modellen for at få det fulde udbytte eller det mest fyldestgørende svar. Som dataansvarlig står man derfor lidt i et dilemma. Man overtræder reglerne, hvis man:
-
Deling: Deler personoplysninger, især følsomme oplysninger som helbred, CPR-numre, religiøs overbevisning eller seksuel orientering
-
Databehandleraftale: Bruger en AI-tjeneste uden databehandleraftale eller uden kontrol over, hvordan data behandles
-
Behandlingsgrundlag: Ikke har et klart og dokumentérbart lovligt behandlingsgrundlag (fx samtykke eller legitim interesse)
-
Information: Undlader at informere den registrerede om, at deres data deles med en AI-model
Få et komplet overblik over jeres GDPR-risici
En GDPR Risiko-rapport giver jer et komplet overblik over GDPR-risikoen i jeres virksomhed. Rapporten udarbejdes på baggrund af et scan med DataMapper,
Eksempler på GDPR-brud ved brug af AI
Her er nogle typiske situationer, hvor det går galt:
Deling af følsomme dokumenter til behandling
Man uploader en e-mail eller et referat til en AI-model for at få den til at opsummere eller skrive videre – uden at bemærke, at der indgår følsomme oplysninger om en kunde, patient eller medarbejder.
Spørgsmål baseret på personoplysninger
Man beder modellen analysere data som indeholder navne, adresser, CPR-numre, helbredsoplysninger eller faglige vurderinger – men uden at filtrere indholdet først.
Brug af AI i interne arbejdsgange uden kontrol
AI bliver hurtigt en del af dagligdagen i HR, jura, support og salg – men hvis man ikke har klare retningslinjer, bliver det op til den enkelte medarbejder at vurdere, hvad man “må” spørge modellen om.
Vil du vide mere om personoplysninger?
I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.
Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.
Hvordan arbejder man compliant med AI?
For at være compliant når man arbejder med AI-tjenester er der fem tiltag man bør tage.
1. Brug kun tjenester med dokumenteret databeskyttelse
Hvis I behandler persondata med en AI-tjeneste, skal I sikre jer, at databehandlingen er dokumenteret og overholder GDPR:
-
Databehandleraftale (DPA): Der skal være en formel aftale, der regulerer hvordan AI-udbyderen behandler jeres data på jeres vegne. Hvis tjenesten ikke tilbyder en DPA, eller ikke kan garantere datalokation og behandling inden for EU-lovgivningens rammer, bør I ikke dele følsomme data.
-
Dataoverførsel uden for EU: Hvis tjenesten bruger underleverandører i fx USA, skal der være gyldige garantier som SCC’er (standardkontraktbestemmelser).
-
Informationssikkerhed: AI-udbyderen skal kunne dokumentere tekniske og organisatoriske foranstaltninger, herunder kryptering og adgangsstyring.
-
Kontrol og ansvar: I skal som dataansvarlig kunne dokumentere, at I har valgt en udbyder, der overholder GDPR – og løbende vurderer deres sikkerhedsniveau.
2. Sæt jer ind i tjenestens datapolitik
Før man deler nogen form for data med en AI-tjeneste, skal man nøje gennemgå hvordan følsomme data behandles. Vær opmærksom på:
-
Om data gemmes: Hvis data bliver logget, betyder det, at det ikke kun behandles midlertidigt, men gemmes på tjenestens servere – ofte med det formål at fejlrette, analysere eller optimere tjenesten.
-
Om det bruges til træning eller videreudvikling: Følsomme eller fortrolige oplysninger kan i visse tilfælde lække til andre brugere
-
Hvor længe det gemmes: Og om man har ret til sletning, hvilket er et GDPR-krav.
-
Hvem der har adgang til data: Fx underleverandører eller udviklingsteam. Som dataansvarlig er I forpligtet til at sikre, at alle databehandlere og underdatabehandlere overholder GDPR
3. Brug “sandbox-modeller” eller enterprise-løsninger
Hvis man vil bruge AI i produktion med følsomme eller forretningskritiske data, så overvej:
-
On-premise eller self-hosted modeller (fx via Azure, AWS eller EU-baserede løsninger)
-
Enterprise-versioner med mulighed for dataadskillelse og avanceret kontrol (fx OpenAI’s ChatGPT Enterprise eller Microsoft Copilot med DLP-integration)
-
AI-løsninger med lokal databehandling og ingen datalagring som standard
4. Anvend dataminimering og anonymisering
Jo færre (og mindre følsomme) data man sender til AI’en, desto mindre risiko. Gør brug af dataminimering og anonymisering ved fx at:
-
Fjerne navne, CPR-numre og identifikatorer
-
Anvende pseudonymisering før I sender data til AI
-
Finde og rydde op i data med følsomt indhold i jeres systemer
5. Dokumentér jeres datagrundlag og formål
Husk, at I som virksomhed er dataansvarlig – også selvom det er en tredjeparts-AI, der teknisk set behandler input.
-
Skriv ned, hvad AI’en bruges til
-
Vurder risici (DPIA) hvis der er persondata involveret
-
Hav et tydeligt behandlingsgrundlag (samtykke, interesse, kontrakt mv.)
FAQ om AI og compliance
1. Må vi bruge ChatGPT til at behandle persondata?
Det kommer an på, hvordan man gør det. Hvis man bruger ChatGPT til at behandle personoplysninger – især følsomme oplysninger – skal man sikre sig, at tjenesten opfylder GDPR-krav, og at der er indgået en databehandleraftale. I de fleste tilfælde er det mere sikkert at undgå at dele persondata med åbne AI-modeller.
2. Hvornår er det ulovligt at bruge AI med følsomme data?
Det er typisk i strid med GDPR, hvis man deler følsomme oplysninger med en AI-model uden behandlingsgrundlag, uden databehandleraftale, eller uden at informere den registrerede. Det gælder også, hvis man ikke har styr på, hvordan data bliver lagret eller brugt.
3. Må medarbejdere bruge AI frit i deres arbejde?
Ikke uden klare retningslinjer. Uden kontrol risikerer man, at medarbejdere deler fortrolige eller personhenførbare oplysninger med AI-tjenester, som ikke er godkendt. Det kan være et brud på både GDPR og virksomhedens interne politik.
4. Skal vi informere brugere og kunder, hvis vi bruger AI?
Ja – især hvis AI’en er med til at træffe beslutninger, der påvirker dem. GDPR kræver gennemsigtighed, og AI-forordningen stiller krav om oplysning, hvis AI bruges i interaktioner med borgere eller kunder.
5. Hvordan hjælper dataminimering os med at bruge AI mere sikkert?
Jo færre følsomme data der ligger i dine systemer, desto mindre er risikoen for, at de bliver delt med AI ved en fejl. Ved hjælp af GDPR-værktøjer kan man identificere og fjerne unødvendige data – og dermed bruge AI med lavere risiko og bedre compliance.
AI udgør ikke en GDPR-risiko, men det gør dårlig datapraksis
AI-modeller er i sig selv ikke på kant med GDPR, men det kan måden, vi bruger den på være. Derfor bør man overveje om man som virksomhed overhovedet vil dele følsomt materiale med AI-modellen, vel vidende at man ikke kan det fulde udbytte af den kunstige intelligens. Hvis man vælger at dele følsomme data med en AI-tjeneste bør man have klare retningslinjer, dokumenterede processer og nogle sikre arbejdsprocesser for at bruge AI.
Ét af de mest håndgribelige skridt man kan tage, er at reducere mængden af følsomme data i sine systemer. Når man ved, hvor data med følsomt indhold befinder sig, og får dem minimeret, bliver det markant mindre risikabelt at bruge AI uden at overtræde GDPR. Her kan værktøjer som DataMapper hjælpe ved at finde og kortlægge følsomme oplysninger på tværs af systemer. Det giver det nødvendige overblik, før man integrerer AI i sine arbejdsprocesser – og gør det muligt at bruge teknologien med ro i maven.
Sebastian Allerelli
Grundlægger & COO hos Safe Online
Sebastian er medstifter og COO i Safe Online, hvor han fokuserer på at automatisere processer og udvikle innovative løsninger inden for databeskyttelse og compliance. Med en baggrund fra Copenhagen Business Academy og erfaring inden for identitets- og adgangsstyring har han en skarp forståelse for GDPR og datasikkerhed. Som forfatter på Safe Online's Videnshub deler Sebastian sin ekspertise gennem praktiske råd og dybdegående analyser, der hjælper virksomheder med at navigere i det komplekse GDPR-landskab. Hans indlæg kombinerer teknisk indsigt med forretningsforståelse og giver konkrete løsninger til effektiv compliance.
