Digital Functions

GDPR og AI: hvad må din virksomhed i Danmark?

14. juni 2026 · 6 min læsning

Må du bruge AI lovligt i Danmark? Ja — med en databehandleraftale, EU-hosting og styr på hvad du indtaster. Her er den praktiske GDPR-guide uden tung jura.

AI og GDPR behøver ikke at være en mur. De fleste danske virksomheder kan godt bruge AI lovligt — de skal bare have styr på et par konkrete ting: en databehandleraftale, hvor data ligger, og hvad man overhovedet poster ind i værktøjet. Her er den praktiske gennemgang, uden tung jura.

Bemærk: Dette er en generel guide, ikke juridisk rådgivning. Er du i tvivl om jeres konkrete situation, så få det vurderet af en DPO eller advokat.

Det korte svar: ja, du må bruge AI — på betingelser

Der er ikke noget forbud mod AI i GDPR. Reglerne handler om persondata, og de gælder uanset om data ender i et regneark, et CRM eller et AI-værktøj. Bruger du AI til noget der rører ved personoplysninger — kundenavne, e-mails, journaler, optagelser af opkald — så gælder de samme krav som ellers: lovligt grundlag, dataminimering, sikkerhed og en aftale med din leverandør.

I praksis falder de fleste SMV'er over de samme tre ting:

  • Databehandleraftale med AI-leverandøren mangler.
  • Data hostes uden for EU uden at nogen har tjekket det.
  • Medarbejdere poster personoplysninger ind i gratis værktøjer uden regler.

Vi tager dem én ad gangen.

Databehandleraftale: hvornår skal du have en?

Når en leverandør behandler personoplysninger på dine vegne, er de din databehandler. Og så kræver GDPR (artikel 28) en skriftlig databehandleraftale. Det gælder også AI-værktøjer. Bruger du en AI-chatbot der svarer kunder, eller en voice agent der tager telefonen, behandler den persondata for dig — altså skal der en aftale på plads.

En ordentlig databehandleraftale for AI beskriver blandt andet:

  • Hvilke personoplysninger der behandles, og til hvilket formål.
  • At leverandøren kun behandler data efter din instruks.
  • Hvilke sikkerhedsforanstaltninger der er på plads (kryptering, adgangsstyring).
  • Om — og hvilke — underdatabehandlere der bruges (hostingudbyder, model-leverandør).
  • Hvad der sker med data, når samarbejdet stopper (sletning eller tilbagelevering).

Det vigtigste at forstå: en gratis konto på et offentligt AI-værktøj giver dig sjældent en reel databehandleraftale, og dine input kan i værste fald bruges til at træne modellen. Det er fint til at brainstorme en overskrift — ikke til at behandle kundedata.

EU-hosting og underdatabehandlere: hvor ligger data?

Spørgsmålet "hvor ligger vores data?" er blevet afgørende. Overfører du personoplysninger ud af EU/EØS — fx til servere i USA — skal der et særligt overførselsgrundlag på plads. Det er blevet nemmere med EU-US Data Privacy Framework, men det er stadig et område hvor mange snubler, fordi de slet ikke ved hvor deres AI-leverandør reelt kører.

Derfor er EU-hosting af AI-data det rene og enkle valg for de fleste danske virksomheder. Ligger data i EU/EØS, slipper du for hele overførselsdiskussionen. Når du vurderer en leverandør, så spørg konkret:

  • Hvor hostes data og kører AI-modellen fysisk?
  • Hvilke underdatabehandlere bruges (model, hosting, transskription)?
  • Bruges mine input til at træne deres modeller? (Svaret skal være nej.)
  • Hvor længe gemmes data, og kan jeg få det slettet?

Det her er en af grundene til at vælge et dansk bureau frem for at koble dig direkte på et amerikansk værktøj. Når vi bygger en AI-chatbot eller en voice agent, tænker vi databehandleraftale og EU-hosting ind fra start — ikke som noget du selv skal opdage bagefter.

AI Act og GDPR: to regelsæt, der spiller sammen

GDPR handler om persondata. AI Act (EU's AI-forordning) handler om selve AI-systemet — hvor risikabelt det er, og hvilke krav der følger med. De to overlapper, men er ikke det samme.

AI Act indfases gradvist frem mod 2026 og 2027 og inddeler AI i risikoniveauer:

  • Forbudt: fx social scoring og visse former for biometrisk overvågning.
  • Højrisiko: AI i rekruttering, kreditvurdering, sundhed — strenge krav til dokumentation og menneskeligt opsyn.
  • Begrænset risiko: chatbots og voice agents — her er hovedkravet gennemsigtighed: brugeren skal vide, at de taler med en AI.
  • Minimal risiko: det meste andet — fx en AI der sorterer din indbakke.

For en typisk SMV med en kundeservice-chatbot eller en automatisering af rutiner ligger du i den lette ende. Det vigtigste praktiske krav er gennemsigtighed: sig ærligt, at det er en AI. Det er både lovligt korrekt og bare god stil. Vil du forstå forskellen på de løsninger, der typisk er i spil, så læs vores guide til voicebot vs. chatbot.

Tjekliste: hvad må du indtaste i AI — og hvad ikke

En af de mest konkrete ting du kan gøre i morgen: giv dine medarbejdere en simpel regel. Her er et udgangspunkt.

Vær varsom med (kræver databehandleraftale, sikkert værktøj og lovligt grundlag):

  • Kundenavne, e-mails, telefonnumre, adresser.
  • Journaler, helbredsoplysninger, CPR-numre og andre følsomme data.
  • Optagelser eller transskriptioner af kundeopkald.
  • Interne dokumenter med personoplysninger om medarbejdere.

Som regel uproblematisk:

  • Anonymiseret eller helt opdigtet tekst.
  • Generelle faglige spørgsmål uden persondata.
  • Udkast til markedsføring og opslag uden navne.

Tommelfingerreglen: hvis du ikke ville skrive informationen på et postkort, så post den ikke ind i et tilfældigt AI-værktøj. Bruger du derimod en løsning med databehandleraftale og EU-hosting, må du gerne behandle persondata — det er jo netop pointen med at gøre det ordentligt.

Sådan bruger du AI ansvarligt — i praksis

At bruge AI ansvarligt under GDPR er mest sund fornuft sat i system:

  1. Lav en kort liste over hvilke AI-værktøjer I bruger, og hvad I bruger dem til.
  2. Få databehandleraftaler på plads for de værktøjer der rører persondata.
  3. Tjek hosting — EU/EØS er det enkle valg.
  4. Skriv en intern regel for hvad medarbejdere må indtaste (se tjeklisten ovenfor).
  5. Vær gennemsigtig over for kunder, når de taler med en AI.
  6. Opdatér jeres privatlivspolitik, så det fremgår at I bruger AI til at behandle henvendelser.

Det lyder af meget, men for langt de fleste SMV'er er det en eftermiddags arbejde — ikke et halvt år. Og det meste håndteres af leverandøren, hvis du vælger rigtigt. Skal du i gang fra bunden, hjælper vores guide til at komme i gang med AI dig videre, og vil du have nogen til at vurdere jeres situation, er det præcis det vores AI-rådgivning er til.

Brancher med følsomme data — fx klinikker — har naturligt flere krav, men også her er det fuldt muligt at køre AI lovligt, når aftaler og hosting er på plads.

Ofte stillede spørgsmål

Skal man have en databehandleraftale når man bruger AI? Ja, hvis AI-værktøjet behandler personoplysninger på dine vegne. Det gælder fx en chatbot der svarer kunder eller en voice agent der tager telefonen. GDPR's artikel 28 kræver en skriftlig databehandleraftale med leverandøren. Bruger du kun AI til helt anonym tekst uden persondata, er kravet mindre — men det sikre udgangspunkt er at have aftalen på plads.

Må man indtaste personoplysninger i AI-værktøjer? Ja, men kun i værktøjer hvor du har en databehandleraftale, et lovligt grundlag og ordentlig sikkerhed. Du må ikke poste kundedata, journaler eller CPR-numre ind i en tilfældig gratis AI-tjeneste, hvor dine input kan bruges til at træne modellen. Brug en dedikeret løsning til den slags.

Hvor skal AI-data hostes for at overholde GDPR? Helst i EU/EØS. Så slipper du for diskussionen om overførsel af data til lande uden for EU. Overføres data alligevel ud af EU, kræver det et gyldigt overførselsgrundlag, fx EU-US Data Privacy Framework. For de fleste danske virksomheder er EU-hosting det enkleste og mest trygge valg.

Hvordan hænger AI Act og GDPR sammen? GDPR beskytter persondata; AI Act regulerer selve AI-systemet ud fra risiko. De gælder samtidig. For en typisk SMV-chatbot eller automatisering er hovedkravet fra AI Act gennemsigtighed — kunden skal vide, at de taler med en AI — mens GDPR styrer hvordan persondata behandles og opbevares.

Vil du have AI lovligt i drift uden at skulle blive ekspert i jura? Vi har styr på databehandleraftale og EU-hosting, og vi forklarer det på dansk uden teknik-jargon. Book et gratis møde, så ser vi på jeres situation sammen — uden binding.

Relaterede artikler

ChatGPT til virksomheder: nyttige use cases og faldgruber
Sådan vælger du et AI-bureau (uden at brænde budgettet)
Hvad er en AI-agent? Forklaret for virksomheder

Løsninger nævnt i artiklen

Strategi & implementering

AI-rådgivning

Vi finder de rigtige AI-use-cases i jeres forretning, lægger planen og bygger løsningen — fra idé til drift.

Læs mere

Arbejdsgange & integrationer

AI-automatisering

Vi automatiserer de manuelle rutiner: dataindtastning, opfølgninger, rapporter og synkronisering mellem systemer.

Læs mere

Hjemmeside & webshop

AI-chatbot

En chatbot trænet på jeres viden, der svarer kunderne med det samme, samler leads og aflaster indbakken.

Læs mere

Kom i gang

Få et konkret bud — helt uforpligtende

Fortæl kort om din virksomhed, og hvad der stjæler mest tid. Vi vender tilbage inden for én hverdag med et bud på, hvor AI gør størst forskel — og hvad det er værd i timer og kroner.

  • Svar inden for 1 hverdag
  • Gratis og uforpligtende
  • Ingen binding — nogensinde

Uforpligtende. Vi deler aldrig dine oplysninger.