No products added!
AI skaber fart i arbejdsgange, idéudvikling og analyse. Men hver gang du lader et værktøj arbejde med persondata, låner du i praksis tillid hos kunder, medarbejdere og samarbejdspartnere. Den tillid skal forvaltes med struktur, dokumentation og klare valg.
Her får du en praktisk tjekliste, der gør det lettere at sige ja til AI uden at sige nej til GDPR. Den er tænkt til både beslutningstagere, databeskyttelsesansvarlige og faglige teams, der vil komme hurtigt fra tanke til forsvarlig drift.
Hos Nordisk Business Academy bygger vi AI-kompetencer med udgangspunkt i virkelige cases og certificerede forløb. Det gør en forskel, når retningslinjer skal blive til praksis.
Start med det vigtigste: formål, roller og dataflow
Første skridt er at gøre det helt tydeligt, hvorfor I vil bruge et AI-værktøj, og hvilke personoplysninger der indgår. Er I dataansvarlige, databehandlere eller begge dele i forskellige led? Den afklaring styrer resten af arbejdet, ikke mindst kontrakter og risikovurdering.
Kortlæg dataflowet fra kilde til output. Hvor kommer data fra, hvor sendes de hen, og hvem har adgang undervejs? Inkluder både input i prompts, eventuelle uploadede filer, systemlogning og output der gemmes i andre systemer. Små detaljer bliver store, når de overses.
Vær også opmærksom på særlige kategorier af oplysninger, børn og profileringsaktivitet. Disse områder løfter straks kravene til dokumentation og sikkerhed.
Efter den indledende afgrænsning hjælper det at sætte ord på jeres forventninger: Hvilke fordele vil I måle på, og hvilke risici vil I aktivt acceptere eller afvise? Det giver fælles retning i udvikling, indkøb og drift.
- Formål: Beskriv konkrete anvendelser og forventede fordele
- Roller: Fastlæg om I er dataansvarlige, databehandlere eller fælles dataansvarlige
- Datatyper: Marker persondata, særlige kategorier, oplysninger om strafbare forhold
- Lovligt grundlag: Dokumentér artikel 6-grundlag og eventuelt artikel 9-undtagelse
- Børn: Tjek aldersgrænser, samtykke og informationskrav
- Overførsler: Identificér tredjelandsoverførsler og mekanismer
- Dataflow: Visualisér hvilke systemer og mennesker ser hvilke data
Lovligt grundlag og gennemsigtighed
Ethvert AI-setup kræver et gyldigt behandlingsgrundlag. Til interne arbejdsgange kan det ofte være nødvendig for legitime interesser, men det forudsætter en interesseafvejning og effektive værn. I medarbejderrelationer vil hjemmel i kontrakt eller retlig forpligtelse være central, mens samtykke kan være relevant i specifikke brugerrettede funktioner.
Transparens handler om mere end en opdateret privatlivspolitik. Forklar helt konkret at I bruger AI, hvad det betyder for den registrerede, og hvordan vedkommende kan få indsigt, gøre indsigelse eller få rettelser. For chatbotter på websites er det sund praksis at vise et tydeligt label og linke til kort, forståelig information.
Dataminimering, retention og output
AI-modeller er sultne på data. Men GDPR kræver, at I kun bruger det nødvendige. Design jeres prompts og integrationer, så kun relevante felter deles, og fjern PII hvor det er muligt.
Fastlæg retention både for input og output. Må input slettes straks efter respons, eller gemmes de til træning og kvalitetssikring? Skal output lagres i sagsmapper eller kundesystemer, og med hvilken slettefrist? Leverandørens standardindstillinger matcher sjældent jeres behov, så gå dem minutiøst igennem.
Når AI genererer tekst om personer, bør I etablere en kvalitetssikringsprocedure. Hallucinationer kan blive til faktiske brud på rigtighedsprincippet, hvis de ukritisk arkiveres.
Leverandørstyring og kontrakter
Når I anvender eksterne AI-tjenester, har I brug for en skarp databehandleraftale med krav til sikkerhed, underdatabehandlere, underretning ved brud og slettefrister. For visse højrisiko-brugsscenarier er en DPIA en god idé, ofte et krav.
Undersøg hvor data behandles, og om leverandøren bruger indsendte data til modeltræning. De fleste større udbydere tilbyder enterprise-indstillinger, hvor jeres prompts ikke bruges til at forbedre den globale model. Slå disse indstillinger til. Bekræft det kontraktuelt.
Overførsler til tredjelande
Bruger leverandøren datacentre uden for EU/EØS, skal der være et gyldigt overførselsgrundlag. Standardkontraktbestemmelser er typisk vejen, men der kan være behov for supplerende foranstaltninger. Vurder også risiko ved fjernadgang fra supportteams i tredjelande.
Dokumentér beslutningerne i jeres register over behandlingsaktiviteter. Og følg løbende med i leverandørens ændringer, ikke mindst nye underdatabehandlere.
Sikkerhed og tekniske værn
Kryptering, adgangsstyring og logging er fundamentet. Dertil kommer AI-specifikke værn: maskering af PII i prompts, filtrering af følsomme data, og sikker håndtering af tokens og API-nøgler. Særligt ved integration til interne datakilder bør I bruge principper for mindst privilegium og tydelige datazoner.
Overvej også model-hosting. Nogle vælger private endpoints eller vNet-integration, andre anvender on-prem eller EU-regionale instanser. Bring-your-own-key, nøglestyring og kundeadministrerede nøgler styrker kontrollen.
Sidst men ikke mindst: beskyttelse mod prompt injection og dataudslip. Implementér inputvalidering, content filters og red teaming, og test for uønsket informationslæk.
Rettigheder, profilering og artikel 22
Respekt for registreredes rettigheder skal være indbygget. Udleverbarhed af data, mulighed for indsigelse mod profilering og lettilgængelige kontaktpunkter gør en stor forskel i praksis.
Hvis AI bruges til beslutninger, der har væsentlig effekt, skal I være særligt opmærksomme. Automatiserede afgørelser uden menneskelig involvering er begrænsede, og registrerede har krav på forklaring og mulighed for menneskelig gennemgang. Mange vælger bevidst en human-in-the-loop-model, der også forbedrer kvalitet og ansvarlighed.
Træningsdata, finetuning og RAG
Arbejder I med egen træning eller finetuning, vokser ansvar og dokumentationsbehov markant. Indhent licens- og datapermissions, vær kritisk med datasæt, og før fortegnelse over kilder, kvalitet og oprindelse.
Retrieval Augmented Generation kan være et stærkt kompromis: Lad modellen hente relevante dokumenter ved forespørgsel frem for at indlære dem. Det reducerer datarisikoen og gør sletning håndterbar, fordi kilden bevares i jeres system.
Anonymisering, pseudonymisering og syntetiske data er gode værktøjer. Men vær ærlig om niveauet: ægte anonymisering er svært, og syntetiske data kan lække mønstre, hvis de ikke genereres korrekt.
Logning, audit og beredskab
Log alt det vigtige: hvem spurgte modellen om hvad, hvilke kilder blev brugt, hvilket output kom retur, og hvilke handlinger fulgte efter. Brug loggene til både sikkerhed, kvalitet og læring.
Opdater beredskabsplanen til at inkludere AI-scenarier. Hvad gør I, hvis et værktøj eksponerer interne dokumenter, eller hvis en chatbot deler for meget? Hav klare ansvarsplaceringer og en testet kommunikationsplan.
Data i prompts og hverdagsbrug
Mange brud starter med en velment handling. Sæt derfor enkle rammer: hvilke persondata må aldrig puttes i en prompt, hvilke må kun deles i særlige enterprise-værktøjer, og hvad kræver ekstra godkendelser? Skabeloner og eksempler løfter kvaliteten.
Træn teams i at skrive sikre prompts. Konkrete formuleringer, struktureret kontekst og klare begrænsninger giver både bedre svar og mindre datalæk.
Typiske anvendelser, risikoniveau og styring
Inden implementering kan det være nyttigt at placere jeres use cases i en enkel matrix. Det skaber fælles sprog mellem forretning, IT og DPO.
| Use case | Persondata | Risiko | Centrale kontroller |
|---|---|---|---|
| Kundeservice-chatbot | Ja, kundehenvendelser | Mellem | Human-in-the-loop, tydelig information, logning, slettepolitik |
| Marketingtekstgenerator | Begrænset eller ingen | Lav | Dataminimering, ingen træning på prompts, tydelig adskillelse af kilder |
| CV-screening i HR | Ja, også særlige kategorier | Høj | DPIA, fairness-tests, transparens, manuel gennemgang |
| Salgsprofilering | Ja | Mellem-høj | Interesseafvejning, indsigelsesret, segmentkontrol, dokumentation |
| Dokument-sammenfatning internt | Ja | Mellem | EU-hosting, PII-redaktion, adgangskontrol, slettefrister |
| Kodeassistent til udviklere | Sjældent persondata | Lav-mellem | Licenskontrol, hemmelighedsdetektion, lokal scanning |
Governance der virker i praksis
Sørg for at ansvaret ikke forsvinder mellem stolene. Et lille, tværfagligt AI-forum kan vurdere use cases, godkende værktøjer og dele erfaringer. DPO, sikkerhed, juridisk, IT og forretning bør være med fra start, ikke først ved godkendelse.
Lav et katalog over godkendte værktøjer, med klare standardindstillinger og vejledninger. Det reducerer shadow IT og gør det nemmere at svare hurtigt, når nye behov opstår.
- Faste guidelines for prompts og datakilder
- Klar liste over forbudte datatyper i åbne værktøjer
- Skabeloner til DPIA, LIA og databehandleraftaler
Indkøb og enterprise-indstillinger
Når I vurderer en udbyder, bør I teste både produkt og kontrakt. Gennemgå sikkerhedswhitepapers, certificeringer og tredjepartsrevisioner. Kontrollér regioner, datalagring, supportadgang og kundekonfigurerbare indstillinger.
Enterprise-planer gør ofte forskellen: no-training på prompts, dedikeret region, kundestyrede nøgler, avanceret adgangsstyring, detaljeret audit, mulighed for private modeller og granular rollebaseret adgang. Den samlede værdi i styring og sporbarhed opvejer som regel prisforskellen.
Websites, cookies og chatwidgets
Bruger I en AI-drevet chat på websitet, skal I forholde jer til cookie-samtykke, hvis widgetten sætter cookies eller tracker brugere. Informer brugeren om at de taler med en AI, ikke et menneske. Link til jeres privatlivstekst i chatvinduet.
Indbyg begrænsninger, så brugere ikke uforvarende indsender følsomme data. Inputfelter kan valideres, og der kan indsættes advarselstekst ved kritiske scenarier.
Uddannelse og kompetencer
Teknologien flytter sig hurtigt, og det gør regler, praksis og standarder også. Når faglige teams forstår både muligheder og faldgruber, bliver de en aktiv del af sikker brug, i stedet for at se regler som en bremse.
Hos Nordisk Business Academy arbejder vi med cases, værktøjsopsætning og vurderingsskabeloner, så viden omsættes til handling. Certificeringer giver et fælles sprog på tværs af organisationen, og netværk gør det lettere at holde sig opdateret.
Tjeklisten, der får jer trygt i gang
I kan bruge nedenstående som en rullende kontrol, hver gang et AI-værktøj skal tages i brug eller en ny use case skal i drift.
- Formålsbeskrivelse: Er formål, datatyper, roller og dataflow dokumenteret?
- Behandlingsgrundlag: Er artikel 6 og eventuelt artikel 9-udtagelser på plads?
- Transparens: Er information til registrerede opdateret og let at finde?
- Dataminimering: Er input og kilder begrænset til det nødvendige?
- Retention: Er slettefrister og lagringssted fastlagt og implementeret?
- Kontrakter: Er DPA, SCC og underdatabehandlere vurderet og aftalt?
- Sikkerhed: Findes PII-maskering, adgangskontrol, kryptering og logging?
- Rettigheder: Kan indsigt, indsigelse, sletning og dataportabilitet håndteres?
- Profilering og afgørelser: Er human-in-the-loop valgt og dokumenteret, hvor relevant?
- Træningspolitik: Bruges prompts ikke til global modeltræning, og er det slået til?
- Overførsler: Er tredjelandsadgange, support og hosting adresseret?
- Beredskab: Er testede procedurer for databrud og AI-specifikke hændelser på plads?
Fra papir til drift
Det mest afgørende er at gøre tjeklisten til en vane. Start småt, vælg et par use cases med tydelig forretningsværdi, og få dem eksemplarisk på plads. Byg derfra en katalogtænkning, hvor nye teams kan genbruge politikker, standard-promptskabeloner, datazoner og kontrolpakker.
Vil I have tempo uden at gå på kompromis, hjælper det at koble governance direkte til værktøjerne. Automatiser tagging, logning og slettefrister. Giv teams self-service med sikre standarder, og reserver specialisttid til de komplekse sager.
Nordisk Business Academy tilbyder praksisnære forløb, der forbinder compliance, teknologi og forretning. Med opdaterede materialer, ekspertinstruktører og certificeringer gør vi AI brugbar, sikker og målbar i hverdagen.
