Ydelser Ai Act Om Zellert Kontakt Blog
BOOK GRATIS MØDE
Lasse fra ZELLERT Ai fortæller om databehandler aftaler på AI værktøjer

Ai og GDPR: Databehandleraftaler til populære Ai-værktøjer

ai ai-act

Skrevet af: Lasse Siig, AI-rådgiver og CEO hos ZELLERT Ai

 

 

Kort fortalt

Ai er rykket ind i hverdagen hos mange danske virksomheder.

Det bliver brugt til mødenoter, mails, support, marketing, analyse, idéudvikling, video, oversættelse og alt det midt imellem.

Det er godt...

Men når Ai bliver en del af driften, følger der også noget mindre sexet med: GDPR, databehandleraftaler og IT-sikkerhed.

For hvis medarbejdere sender persondata, kundedata, mødenoter eller interne dokumenter ind i et Ai-værktøj, er det ikke nok at spørge:

“Virker det godt?”

Man skal også spørge:

“Må vi egentlig bruge det her værktøj til de data?”

Og her går det tit galt.

Ikke fordi virksomhederne er ligeglade. Men fordi mange Ai-værktøjer har flere forskellige versioner: gratis, privat, pro, business, enterprise og API. Og de juridiske vilkår er ikke nødvendigvis de samme.

Det korte råd er derfor:

Brug erhvervsplaner, når virksomheden arbejder med persondata. Ikke privatversionen, bare fordi den var nem at købe med firmakortet.

Vil du have mere overblik over, hvordan Ai bør bruges praktisk i virksomheden, kan du også læse om Operationel Ai PRO hos ZELLERT Ai.

 

Hvad er en databehandleraftale?

En databehandleraftale kaldes ofte en DPA eller Data Processing Addendum.

Det er den aftale, der beskriver, hvordan en leverandør må behandle persondata på vegne af din virksomhed.

Hvis din virksomhed er dataansvarlig, og et Ai-værktøj behandler persondata for jer, skal der som udgangspunkt være styr på aftalegrundlaget.

Men en DPA er ikke en magisk GDPR-paraply.

Du skal stadig vurdere:

  • hvilken plan virksomheden bruger
  • hvilke data der sendes ind
  • om der er følsomme oplysninger
  • om data bruges til træning
  • hvor data behandles
  • hvilke underdatabehandlere der bruges
  • om værktøjet passer ind i jeres IT-sikkerhedspolitik

Med andre ord: En DPA er vigtig. Men den løser ikke det hele.

Det svarer lidt til at have sikkerhedssele på. Det er klogt. Men du skal stadig lade være med at køre 120 gennem en rundkørsel.

Sådan læser du oversigten
Symbolerne viser, hvor stærkt aftalegrundlaget umiddelbart ser ud for danske virksomheder.
Symbol Betydning
Officiel og erhvervsrelevant databehandleraftale fundet.
⚠️ DPA-spor findes, men kræver ekstra afklaring, korrekt plan eller trust center.
🛑 Ingen verificerbar offentlig DPA fundet.
🟧 Denne version bør normalt ikke bruges til persondata.

Oversigt over databehandleraftaler til populære Ai-værktøjer

✅ De mest reelle databehandleraftaler
Officielle DPA-links eller tydelige erhvervsspor, som danske virksomheder kan bruge som udgangspunkt.
Ai-værktøj Relevant plan DPA / officiel side Status Kort vurdering
ChatGPT Business / Enterprise OpenAI Data Processing Addendum Det relevante spor for virksomheder, der bruger ChatGPT professionelt. Ikke det samme som privat ChatGPT Plus eller Pro.
OpenAI API API / developer-platform OpenAI Data Processing Addendum Relevant for virksomheder, der bygger løsninger oven på OpenAI's API.
Claude Team / Enterprise / API Anthropic Data Processing Addendum Anthropic har en offentlig DPA og særskilte vilkår for erhvervsbrug.
Fireflies Business / enterprise-brug Fireflies Data Processing Agreement Relevant for virksomheder, der bruger Fireflies til mødenoter, transskription og opsummeringer.
Canva Canva Business Canva Data Processing Addendum Canva har en offentlig DPA. Til virksomhedsbrug er Canva Business det mest oplagte spor.
ElevenLabs Business / enterprise-brug ElevenLabs DPA Relevant ved brug af stemme, lyd og voiceover i virksomheden.
Synthesia Betalte erhvervsplaner Synthesia Data Processing Agreement Tydelig offentlig DPA, relevant ved Ai-video og avatarproduktion.
HeyGen Business / team / enterprise HeyGen Data Processing Addendum Relevant for virksomheder, der bruger HeyGen til video, avatarer og marketingindhold.
Vercel Pro / Enterprise Vercel Data Processing Addendum Relevant for virksomheder, der bruger Vercel til hosting, udvikling og Ai-relaterede webapps.
Lovable Business / Enterprise Lovable Data Processing Agreement Lovable har en DPA for Business og Enterprise. Brugen bør stadig vurderes nøje, især ved persondata og følsomt indhold.
Microsoft Copilot Microsoft 365 Copilot Microsoft Products and Services DPA Relevant for Microsoft 365-erhvervssporet. Ikke det samme som privat Copilot.
Google Gemini Google Workspace / Cloud Google Cloud Data Processing Addendum Relevant for Gemini i Google Workspace og Google Cloud. Ikke det samme som privat Gemini-app.
⚠️ Databehandleraftaler med forbehold
Her findes der et DPA-spor, men virksomheder bør tjekke plan, trust center eller aftaledokumenter ekstra grundigt.
Ai-værktøj Relevant plan Link Status Kort vurdering
tl;dv Team / Business tl;dv Trust Center ⚠️ tl;dv har trust center og sikkerhedsdokumentation, men DPA'en er ikke lige så let og direkte tilgængelig som hos de mest klare leverandører.
DeepL Pro / Enterprise DeepL Pro License ⚠️ DeepL beskriver DPA-sporet i deres Pro-vilkår, men selve DPA'en er ikke direkte publiceret som hos flere andre leverandører.
Canva Pro / individuel brug Canva Data Processing Addendum ⚠️ Canva har en DPA, men virksomheder bør være opmærksomme på plan og brugsscenarie. Canva Business er det renere valg.
🛑 Ingen verificerbar offentlig DPA fundet
Her bør virksomheden kræve skriftlig dokumentation fra leverandøren, før værktøjet bruges til persondata.
Ai-værktøj Relevant plan Link Status Kort vurdering
Higgsfield Enterprise-lignende brug Higgsfield Enterprise 🛑 Vi har fundet enterprise- og privacy-materiale, men ikke en verificerbar offentlig DPA. Brug ikke værktøjet til persondata, før der er en skriftlig databehandleraftale på plads.
🟧 Versioner der normalt ikke bør bruges til persondata
Her er problemet typisk ikke værktøjet som sådan, men at virksomheden bruger privat- eller gratisversionen til noget, der kræver erhvervsspor.
Ai-værktøj Version / plan Link Status Kort vurdering
ChatGPT Plus / Pro / privat brug OpenAI Terms of Use 🟧 Brug ChatGPT Business, Enterprise eller API-sporet ved virksomhedsbrug med persondata.
Claude Free / Pro / Max Anthropic Consumer Terms 🟧 Consumer-planer er ikke det samme som Claude Team, Enterprise eller API.
Microsoft Copilot Consumer / personlig version Microsoft Copilot for individuals 🟧 Privat Copilot er ikke det samme som Microsoft 365 Copilot med enterprise data protection.
Google Gemini Privat Gemini-app Gemini Apps Privacy Hub 🟧 Privat Gemini bør ikke forveksles med Gemini i Workspace eller Google Cloud.
DeepL Free DeepL Terms of Use 🟧 Brug DeepL Pro eller Enterprise, hvis virksomheden arbejder med persondata eller fortroligt indhold.
Den simple tommelfingerregel
Brug denne som hurtig intern rettesnor, når medarbejdere er i tvivl om Ai-værktøjer og persondata.
Situation Anbefaling
Idéudvikling uden persondata Privat eller gratis værktøj kan være acceptabelt med sund fornuft.
Interne tekster uden persondata Brug helst business-plan.
Kundedata, medarbejderdata eller mødenoter Brug erhvervsspor med DPA.
Følsomme oplysninger Lav særskilt risikovurdering og brug kun godkendte værktøjer.
Uklar leverandør eller ingen DPA Vent, indtil aftalegrundlaget er på plads.

Det er ikke raketvidenskab. Det er almindelig virksomhedshygiejne.

Bare med lidt mere Ai og lidt mere jura i støvlerne.

Sådan kan virksomheden arbejde praktisk med Ai og GDPR

1. Lav en liste over de Ai-værktøjer, I faktisk bruger

Ikke kun dem ledelsen kender til.

Spørg også marketing, salg, support, HR, økonomi og konsulenter.

Ai-værktøjer sniger sig ofte ind ad sidedøren, fordi de er nemme at oprette og billige at teste. Det er fint nok. Men på et tidspunkt skal der ryddes op.

2. Find ud af, hvilken plan I bruger

Det er ikke nok at skrive “ChatGPT” eller “Gemini”.

Skriv konkret:

  • ChatGPT Business
  • ChatGPT Plus
  • Claude Team
  • Microsoft 365 Copilot
  • Canva Business
  • DeepL Pro
  • Fireflies Business

Planen betyder noget. Ofte mere end folk tror.

3. Vurder hvilke data der sendes ind

Spørg helt lavpraktisk:

  • Er der navne?
  • Er der mailadresser?
  • Er der kundesager?
  • Er der medarbejderoplysninger?
  • Er der mødeoptagelser?
  • Er der økonomioplysninger?
  • Er der følsomme oplysninger?
  • Er der fortrolige forretningsoplysninger?

Hvis svaret er ja, skal værktøjet ikke bare være smart. Det skal også kunne holde til en GDPR-vurdering.

4. Tjek om der findes en DPA

Brug oversigten her som startpunkt.

Gem også linket eller dokumentet i jeres egen leverandøroversigt. Det er ikke nok, at “vi fandt det engang”.

Links ændrer sig. Vilkår ændrer sig. Leverandører ændrer sig.

Ja, det er træls. Men det er mindre træls end at mangle dokumentationen, når nogen spørger.

5. Beslut hvad værktøjet må bruges til

Det vigtigste er ikke bare at sige ja eller nej.

Det vigtigste er at lave klare spilleregler:

  • Må værktøjet bruges til kundedata?
  • Må det bruges til mødenoter?
  • Må det bruges til HR?
  • Må det bruges til følsomme oplysninger?
  • Må medarbejdere bruge privatkonto?
  • Skal bestemte funktioner slås fra?
  • Hvem godkender nye Ai-værktøjer?

Det er her, virksomhederne får ro på. Ikke ved at forbyde alt. Men ved at gøre det tydeligt.

ZELLERT Ai’s anbefaling

Min anbefaling er enkel:

Lav en godkendt Ai-værktøjskasse til virksomheden.

Den bør indeholde:

  • godkendte Ai-værktøjer
  • hvad de må bruges til
  • hvad de ikke må bruges til
  • link til DPA
  • ansvarlig person internt
  • korte regler for medarbejdere
  • eksempler på god og dårlig brug
  • proces for godkendelse af nye værktøjer

Det behøver ikke være 47 sider i SharePoint, som ingen læser.

Hellere én skarp side, der faktisk bliver brugt.

For de fleste virksomheder er det ikke mere jura, der mangler. Det er klare arbejdsgange.

Derfor arbejder vi hos ZELLERT Ai med operationel Ai: praktisk brug, klare processer og kompetencer, der kan mærkes i hverdagen. Ikke flere flotte pdf’er, der dør i en mappe.

 

FAQ: Ai, GDPR og databehandleraftaler

 

Skal alle Ai-værktøjer have en databehandleraftale?

Nej. Kun hvis leverandøren behandler persondata på vegne af virksomheden som databehandler.

Men i praksis vil mange erhvervsmæssige Ai-værktøjer hurtigt komme i nærheden af persondata. Især når de bruges til møder, mails, kundeservice, HR, support eller analyse.

 

Er ChatGPT Plus eller Pro nok til virksomhedsbrug?

Som udgangspunkt bør virksomheder bruge ChatGPT Business, Enterprise eller API-sporet, hvis der behandles persondata.

Privat ChatGPT er fint til læring, test og ufarlig idéudvikling. Men det er ikke det spor, jeg ville vælge til kundedata, medarbejderdata eller intern forretningskritisk brug.

 

Er Microsoft Copilot altid det samme GDPR-mæssigt?

Nej.

Microsoft 365 Copilot og privat Copilot er ikke det samme. Virksomheder bør kigge på Microsoft 365 Copilot-sporet, Microsofts DPA og enterprise data protection.

Det er en af de klassiske fælder: samme navn, forskelligt setup.

 

Kan man bruge gratis Ai-værktøjer til persondata?

Det bør man som udgangspunkt lade være med.

Gratis og private planer har ofte andre vilkår, mindre kontrol og svagere dokumentation.

Brug dem til ufarlig test, læring og idéudvikling. Ikke til kundedata, medarbejderdata eller følsomme oplysninger.

 

Hvad gør vi, hvis et værktøj ikke har en offentlig DPA?

Så bør I bede leverandøren om en skriftlig databehandleraftale.

Hvis de ikke kan levere det, bør værktøjet ikke bruges til persondata.

Det er ikke fordi, man skal være besværlig. Det er bare almindelig ansvarlig drift.

 

Er en DPA nok til at være GDPR-compliant?

Nej.

En DPA er kun én del af vurderingen. I skal også se på formål, datatyper, sikkerhed, adgangsstyring, underdatabehandlere, sletning, internationale overførsler og intern brugspolitik.

Det er helheden, der tæller.

 

Hvem bør eje Ai-governance i virksomheden?

Det bør være et samarbejde mellem ledelse, IT, GDPR-ansvarlig og de afdelinger, der faktisk bruger værktøjerne.

Hvis det kun bor hos jura, bliver det ofte for langsomt.

Hvis det kun bor hos medarbejderne, bliver det hurtigt lidt for cowboy.

Den bedste løsning ligger som regel midt imellem.

 

Vil I have styr på virksomhedens Ai-værktøjer?

Bruger din virksomhed allerede ChatGPT, Copilot, Gemini, Claude, Fireflies, Canva eller andre Ai-værktøjer?

Så er næste skridt ikke nødvendigvis at købe mere software.

Næste skridt er at få styr på:

  • hvilke værktøjer I bruger
  • hvilke data der sendes ind
  • hvilke planer I betaler for
  • hvilke DPA’er der gælder
  • hvilke interne regler medarbejderne skal følge
  • hvor Ai faktisk kan skabe værdi uden at give unødvendig risiko

Hos ZELLERT Ai hjælper vi danske virksomheder med at bruge Ai praktisk, sikkert og fornuftigt i hverdagen.

Ikke som hype.

Ikke som endnu et strategipapir.

Men som konkrete arbejdsgange, værktøjer og kompetencer, der kan bruges i den virkelige verden.

Læs også vores guide til, hvordan du vælger det rigtige Ai-kursus for virksomheden, eller tag vores Ai-Act test, hvis du vil se, hvor godt I står lige nu.

Kontakt ZELLERT Ai, hvis I vil have en konkret gennemgang af jeres Ai-værktøjer, GDPR-risici og interne retningslinjer.

 

Disclaimer

Denne artikel er lavet som praktisk overblik og ikke som juridisk rådgivning. Regler, vilkår og leverandørdokumenter kan ændre sig. Brug derfor altid de officielle links, vurder jeres konkrete brugsscenarie, og få juridisk rådgivning ved tvivl.

Senest opdateret: 24. april 2026

TILBAGE TIL BLOGOVERSIGT

Kategorier

Alle kategorier ai ai guide ai kursus ai-act ai-fatigue e-commerce forretningsudvikling online marketing prompt seo

Andre indlæg

Ai og GDPR: Databehandleraftaler til populære Ai-værktøjer
ai ai-act
CAIO: Derfor bliver Chief Ai Officer en nøgleperson i de næste par år
forretningsudvikling
Skab din egen Ai mentor med ChatGPT
ai guide prompt
Nysgerrig på AI i din virksomhed?
Kontakt os

Ai og GDPR: Databehandleraftaler til populære Ai-værktøjer

CAIO: Derfor bliver Chief Ai Officer en nøgleperson i de næste par år

Skab din egen Ai mentor med ChatGPT

Ai-Act: Derfor skal virksomheder tage det seriøst (og hvordan det v...
DET SERIØSE AI NYHEDSBREV

Få operationelle Ai nyheder direkte i din mailboks.

Ai i din virksomhed er ikke fremtiden - det er nu! Vi guider dig igennem junglen af nye muligheder med ugentlige små nyheder og tips.

Ved tilmelding godkender du samtidig vores privatlivspolitik.

Vi hjælper virksomheder med at implementere Operationel Ai for bedre bundlinje og mere tid til innovation.

Kontakt os
ZELLERT ApS
Nydamsvej 17
8362 Hørning
Danmark
 
CVR: 43532421
 
📞 +45 7199 0925