Ai-strategi
Ai og GDPR: Databehandleraftaler til populære Ai-værktøjer
Når Ai rykker ind i virksomhedens hverdag, følger GDPR med. Denne guide giver dig overblik over databehandleraftaler (DPA) for de mest populære Ai-værktøjer – og forklarer, hvilke planer der faktisk er erhvervsrelevante.
Kort fortalt
Ai er rykket ind i hverdagen hos mange danske virksomheder.
Det bliver brugt til mødenoter, mails, support, marketing, analyse, idéudvikling, video, oversættelse og alt det midt imellem.
Det er godt...
Men når Ai bliver en del af driften, følger der også noget mindre sexet med: GDPR, databehandleraftaler og IT-sikkerhed.
For hvis medarbejdere sender persondata, kundedata, mødenoter eller interne dokumenter ind i et Ai-værktøj, er det ikke nok at spørge: "Virker det godt?"
Man skal også spørge: "Må vi egentlig bruge det her værktøj til de data?"
Og her går det tit galt.
Ikke fordi virksomhederne er ligeglade. Men fordi mange Ai-værktøjer har flere forskellige versioner: gratis, privat, pro, business, enterprise og API. Og de juridiske vilkår er ikke nødvendigvis de samme.
Det korte råd er derfor:
Brug erhvervsplaner, når virksomheden arbejder med persondata. Ikke privatversionen, bare fordi den var nem at købe med firmakortet.
Hvad er en databehandleraftale?
En databehandleraftale kaldes ofte en DPA eller Data Processing Addendum.
Det er den aftale, der beskriver, hvordan en leverandør må behandle persondata på vegne af din virksomhed.
Hvis din virksomhed er dataansvarlig, og et Ai-værktøj behandler persondata for jer, skal der som udgangspunkt være styr på aftalegrundlaget.
Men en DPA er ikke en magisk GDPR-paraply.
Du skal stadig vurdere:
- hvilken plan virksomheden bruger
- hvilke data der sendes ind
- om der er følsomme oplysninger
- om data bruges til træning
- hvor data behandles
- hvilke underdatabehandlere der bruges
- om værktøjet passer ind i jeres IT-sikkerhedspolitik
Med andre ord: En DPA er vigtig. Men den løser ikke det hele.
Det svarer lidt til at have sikkerhedssele på. Det er klogt. Men du skal stadig lade være med at køre 120 gennem en rundkørsel.
Oversigt over databehandleraftaler til populære Ai-værktøjer
✅ De mest reelle databehandleraftaler
Officielle DPA-links eller tydelige erhvervsspor, som danske virksomheder kan bruge som udgangspunkt.
| Ai-værktøj | Relevant plan | Status | Kort vurdering |
|---|---|---|---|
| ChatGPT | Business / Enterprise | ✅ | Det relevante spor for virksomheder, der bruger ChatGPT professionelt. Ikke det samme som privat ChatGPT Plus eller Pro. |
| OpenAI API | API / developer-platform | ✅ | Relevant for virksomheder, der bygger løsninger oven på OpenAI's API. |
| Claude | Team / Enterprise / API | ✅ | Anthropic har en offentlig DPA og særskilte vilkår for erhvervsbrug. |
| Fireflies | Business / enterprise-brug | ✅ | Relevant for virksomheder, der bruger Fireflies til mødenoter, transskription og opsummeringer. |
| Canva | Canva Business | ✅ | Canva har en offentlig DPA. Til virksomhedsbrug er Canva Business det mest oplagte spor. |
| ElevenLabs | Business / enterprise-brug | ✅ | Relevant ved brug af stemme, lyd og voiceover i virksomheden. |
| Synthesia | Betalte erhvervsplaner | ✅ | Tydelig offentlig DPA, relevant ved Ai-video og avatarproduktion. |
| HeyGen | Business / team / enterprise | ✅ | Relevant for virksomheder, der bruger HeyGen til video, avatarer og marketingindhold. |
| Vercel | Pro / Enterprise | ✅ | Relevant for virksomheder, der bruger Vercel til hosting, udvikling og Ai-relaterede webapps. |
| Lovable | Business / Enterprise | ✅ | Lovable har en DPA for Business og Enterprise. Brugen bør stadig vurderes nøje, især ved persondata og følsomt indhold. |
| Microsoft Copilot | Microsoft 365 Copilot | ✅ | Relevant for Microsoft 365-erhvervssporet. Ikke det samme som privat Copilot. |
| Google Gemini | Google Workspace / Cloud | ✅ | Relevant for Gemini i Google Workspace og Google Cloud. Ikke det samme som privat Gemini-app. |
⚠️ Databehandleraftaler med forbehold
Her findes der et DPA-spor, men virksomheder bør tjekke plan, trust center eller aftaledokumenter ekstra grundigt.
| Ai-værktøj | Relevant plan | Status | Kort vurdering |
|---|---|---|---|
| tl;dv | Team / Business | ⚠️ | tl;dv har trust center og sikkerhedsdokumentation, men DPA'en er ikke lige så let tilgængelig som hos de klareste leverandører. |
| DeepL | Pro / Enterprise | ⚠️ | DeepL beskriver DPA-sporet i deres Pro-vilkår, men selve DPA'en er ikke direkte publiceret som hos flere andre leverandører. |
| Canva | Pro / individuel brug | ⚠️ | Canva har en DPA, men virksomheder bør være opmærksomme på plan og brugsscenarie. Canva Business er det renere valg. |
🛑 Ingen verificerbar offentlig DPA fundet
Her bør virksomheden kræve skriftlig dokumentation fra leverandøren, før værktøjet bruges til persondata.
| Ai-værktøj | Relevant plan | Status | Kort vurdering |
|---|---|---|---|
| Higgsfield | Enterprise-lignende brug | 🛑 | Vi har fundet enterprise- og privacy-materiale, men ikke en verificerbar offentlig DPA. Brug ikke værktøjet til persondata, før der er en skriftlig databehandleraftale på plads. |
🟧 Versioner der normalt ikke bør bruges til persondata
Her er problemet typisk ikke værktøjet som sådan, men at virksomheden bruger privat- eller gratisversionen til noget, der kræver erhvervsspor.
| Ai-værktøj | Version / plan | Status | Kort vurdering |
|---|---|---|---|
| ChatGPT | Plus / Pro / privat brug | 🟧 | Brug ChatGPT Business, Enterprise eller API-sporet ved virksomhedsbrug med persondata. |
| Claude | Free / Pro / Max | 🟧 | Consumer-planer er ikke det samme som Claude Team, Enterprise eller API. |
| Microsoft Copilot | Consumer / personlig version | 🟧 | Privat Copilot er ikke det samme som Microsoft 365 Copilot med enterprise data protection. |
| Google Gemini | Privat Gemini-app | 🟧 | Privat Gemini bør ikke forveksles med Gemini i Workspace eller Google Cloud. |
| DeepL | Free | 🟧 | Brug DeepL Pro eller Enterprise, hvis virksomheden arbejder med persondata eller fortroligt indhold. |
Den simple tommelfingerregel
| Situation | Anbefaling |
|---|---|
| Idéudvikling uden persondata | Privat eller gratis værktøj kan være acceptabelt med sund fornuft. |
| Interne tekster uden persondata | Brug helst business-plan. |
| Kundedata, medarbejderdata eller mødenoter | Brug erhvervsspor med DPA. |
| Følsomme oplysninger | Lav særskilt risikovurdering og brug kun godkendte værktøjer. |
| Uklar leverandør eller ingen DPA | Vent, indtil aftalegrundlaget er på plads. |
Det er ikke raketvidenskab. Det er almindelig virksomhedshygiejne. Bare med lidt mere Ai og lidt mere jura i støvlerne.
Sådan kan virksomheden arbejde praktisk med Ai og GDPR
1. Lav en liste over de Ai-værktøjer, I faktisk bruger
Ikke kun dem ledelsen kender til. Spørg også marketing, salg, support, HR, økonomi og konsulenter. Ai-værktøjer sniger sig ofte ind ad sidedøren, fordi de er nemme at oprette og billige at teste. Det er fint nok. Men på et tidspunkt skal der ryddes op.
2. Find ud af, hvilken plan I bruger
Det er ikke nok at skrive "ChatGPT" eller "Gemini". Skriv konkret: ChatGPT Business, Claude Team, Microsoft 365 Copilot, Canva Business osv. Planen betyder noget – ofte mere end folk tror.
3. Vurder hvilke data der sendes ind
Spørg helt lavpraktisk: Er der navne, mailadresser, kundesager, medarbejderoplysninger, mødeoptagelser, økonomioplysninger, følsomme oplysninger eller fortrolige forretningsoplysninger? Hvis svaret er ja, skal værktøjet ikke bare være smart – det skal også kunne holde til en GDPR-vurdering.
4. Tjek om der findes en DPA
Brug oversigten her som startpunkt, og gem linket eller dokumentet i jeres leverandøroversigt. Det er ikke nok, at "vi fandt det engang". Links ændrer sig. Vilkår ændrer sig. Leverandører ændrer sig.
5. Beslut hvad værktøjet må bruges til
Det vigtigste er ikke bare at sige ja eller nej – det vigtigste er at lave klare spilleregler: Må værktøjet bruges til kundedata? Til mødenoter? Til HR? Til følsomme oplysninger? Hvem godkender nye Ai-værktøjer? Det er her, virksomhederne får ro på.
ZELLERT Ai's anbefaling
Min anbefaling er enkel: Lav en godkendt Ai-værktøjskasse til virksomheden.
Den bør indeholde:
- godkendte Ai-værktøjer og hvad de må bruges til
- hvad de ikke må bruges til
- link til DPA
- ansvarlig person internt
- korte regler for medarbejdere
- eksempler på god og dårlig brug
- proces for godkendelse af nye værktøjer
Det behøver ikke være 47 sider i SharePoint, som ingen læser. Hellere én skarp side, der faktisk bliver brugt.
For de fleste virksomheder er det ikke mere jura, der mangler. Det er klare arbejdsgange.
Disclaimer: Denne artikel er lavet som praktisk overblik og ikke som juridisk rådgivning. Regler, vilkår og leverandørdokumenter kan ændre sig. Brug derfor altid de officielle links, vurder jeres konkrete brugsscenarie, og få juridisk rådgivning ved tvivl.
FAQ
Korte svar om emnet.
Skal alle Ai-værktøjer have en databehandleraftale?
Nej – kun hvis leverandøren behandler persondata på vegne af virksomheden som databehandler. Men i praksis vil mange erhvervsmæssige Ai-værktøjer hurtigt komme i nærheden af persondata, især ved møder, mails, kundeservice, HR, support eller analyse.
Er ChatGPT Plus eller Pro nok til virksomhedsbrug?
Som udgangspunkt bør virksomheder bruge ChatGPT Business, Enterprise eller API-sporet, hvis der behandles persondata. Privat ChatGPT er fint til læring, test og ufarlig idéudvikling – men ikke til kundedata, medarbejderdata eller intern forretningskritisk brug.
Er Microsoft Copilot altid det samme GDPR-mæssigt?
Nej. Microsoft 365 Copilot og privat Copilot er ikke det samme. Virksomheder bør kigge på Microsoft 365 Copilot-sporet, Microsofts DPA og enterprise data protection. Det er en klassisk fælde: samme navn, forskelligt setup.
Kan man bruge gratis Ai-værktøjer til persondata?
Det bør man som udgangspunkt lade være med. Gratis og private planer har ofte andre vilkår, mindre kontrol og svagere dokumentation. Brug dem til ufarlig test, læring og idéudvikling – ikke til kundedata, medarbejderdata eller følsomme oplysninger.
Er en DPA nok til at være GDPR-compliant?
Nej. En DPA er kun én del af vurderingen. I skal også se på formål, datatyper, sikkerhed, adgangsstyring, underdatabehandlere, sletning, internationale overførsler og intern brugspolitik. Det er helheden, der tæller.
Sidst opdateret