Private cloud vs. SaaS til generativ AI: Sådan vælger I setup ud fra compliance, data og drift

HomeAI genereltPrivate cloud vs. SaaS til generativ AI: Sådan vælger I setup ud fra compliance, data og drift
hosting af generativ ai
Kategori
AI generelt
Dato
1. april 2026
/

Når en organisation vil i gang med generativ AI, starter diskussionen ofte med modeller, use cases og gevinster. Alligevel bliver det hurtigt tydeligt, at den mest afgørende beslutning kan ligge et andet sted: hvor løsningen skal hostes.

Valget mellem privat cloud og SaaS er ikke bare et teknisk spørgsmål. Det former, hvordan data må bruges, hvem der kan se hvad, hvor hurtigt en løsning kan skaleres, og hvor meget dokumentation der kan fremlægges over for ledelse, kunder og tilsyn. Netop derfor giver det mening at vælge setup ud fra compliance, data og drift i den rækkefølge, og ikke omvendt.

Hvorfor hosting er blevet en ledelsesbeslutning

Generativ AI flytter sig hurtigt fra eksperimenter til forretningskritiske arbejdsgange. Den bruges til intern videnssøgning, kundedialog, dokumentproduktion, kodeassistance og beslutningsstøtte. Når AI går fra prøvehandlinger til drift, stiger kravene markant.

Det gælder især i organisationer, der håndterer persondata, kontrakter, sundhedsoplysninger, finansielle oplysninger eller fortrolige interne dokumenter. Her er spørgsmålet ikke kun, om en model virker godt. Spørgsmålet er, om løsningen kan drives ansvarligt, dokumenteres ordentligt og passes ind i eksisterende styring.

En SaaS-løsning kan være den hurtigste vej til værdi. En privat cloud kan være den sikreste vej til kontrol. Ingen af delene er automatisk den rigtige løsning.

Start med compliance, ikke med features

Mange vælger fejl, fordi de sammenligner brugeroplevelse før regulering. Det er fristende. SaaS-platforme er ofte lette at tage i brug, kommer med færdige funktioner og kræver begrænset lokal infrastruktur. Men hvis compliancekravene er stramme, kan en elegant standardløsning blive dyr at rette til bagefter.

I EU er GDPR stadig et centralt pejlemærke. Hvis generativ AI behandler persondata, skal der være styr på behandlingsgrundlag, dataminimering, sletning, overførsel til tredjelande og databehandleraftaler. Kommer data uden for EU/EØS, skal overførslen have et lovligt grundlag, typisk via standardkontraktbestemmelser og et konkret risikoblik på overførslen. For mange virksomheder er det allerede nok til, at privat cloud eller dedikerede europæiske miljøer bliver mere interessante.

EU AI Act skærper billedet yderligere, særligt for anvendelser med høj risiko. Her bliver logning, overvågning, hændelseshåndtering og dokumentation ikke nice-to-have. Det bliver en fast del af driften. Når organisationen selv styrer miljøet, bliver det ofte lettere at fastlægge præcis logretention, adgangsstyring og dokumentation på tværs af systemer.

Hvis virksomheden arbejder i stærkt regulerede sektorer, bør de første spørgsmål være disse:

  • Hvilke data: persondata, følsomme persondata, fortrolige forretningsdata eller offentlig information?
  • Hvilken lovgivning: GDPR, DORA, branchespecifikke krav, kundekrav eller interne politikker?
  • Hvilken dokumentation: audit logs, hændelsesrapportering, datalokation, modelstyring?
  • Hvilken overførsel: må data forlade Danmark, Norden eller EU?
  • Hvilken revision: skal løsningen kunne gennemgås detaljeret af intern revision eller eksternt tilsyn?

Her viser forskellen sig hurtigt. I privat cloud kan organisationen typisk vælge datalokation, netværkssegmentering, nøglestyring og logdesign med langt større frihed. I SaaS er man afhængig af leverandørens standarder, tilvalg og kontraktuelle muligheder.

Data er ikke bare input, men ansvar

Når generativ AI omtales, fokuseres der ofte på modelvalg. I praksis er datahåndtering næsten altid det vanskeligste punkt. Det gælder både under indlæsning, behandling, lagring, genfinding og sletning.

Privat cloud giver et højt niveau af datakontrol. Data kan blive i egne datacentre eller i et dedikeret miljø med klare grænser. Det er en stærk fordel, hvis virksomheden arbejder med følsomme kundeoplysninger, patientdata, personalsager eller materiale, der ikke må forlade en bestemt jurisdiktion. Egen nøglestyring og tæt kobling til interne IAM-systemer gør det også lettere at håndhæve princippet om mindst mulige rettigheder.

SaaS giver derimod fart. Platformen er tilgængelig, sikkerhedsopdateringer håndteres centralt, og mange leverandører tilbyder solide standardkontroller. Men datagovernance bliver mere delt. Man skal kende leverandørens praksis for retention, træning på kundedata, underdatabehandlere, eksportmuligheder og sletning i detaljer.

Det er ofte her, beslutningen tipper.

Område Privat cloud SaaS
Datalokation Styres af virksomheden Styres inden for leverandørens valgmuligheder
Krypteringsnøgler Ofte fuld kundekontrol Typisk leverandørstyret, nogle steder med BYOK
Audit logs Høj fleksibilitet og fuld råderet Standardiserede logs og eksportmuligheder
Databehandlerstyring Færre eksterne led, men mere internt ansvar Mere kontraktstyring og afhængighed af leverandør
Sletning og retention Egen politik og timing Bundet til platformens funktioner og processer
Træning på data Kan afgrænses stramt internt Kræver tydelig afklaring i aftaler og indstillinger

Et godt arbejdsspørgsmål er derfor ikke “kan vi bruge generativ AI?”, men “hvilke data må møde hvilken type AI-miljø?”.

Når drift og skalerbarhed også tæller

Der er en grund til, at SaaS fylder meget i markedet. Det er ganske enkelt lettere at komme i gang. Kapacitet kan tilføjes hurtigt, nye features lander løbende, og driftsopgaven ligger i høj grad hos leverandøren. Hvis formålet er at teste use cases, løfte produktivitet i bred skala eller rulle en intern assistent ud til mange medarbejdere, kan SaaS være et meget stærkt valg.

Samtidig har let adgang en pris. Den viser sig ikke kun i abonnementsudgifter, men også i begrænset indflydelse på underliggende arkitektur, logdetaljer, netværkskontrol og specifikke sikkerhedsdesign. Det er sjældent et problem i mindre følsomme scenarier. Det bliver langt mere vigtigt, når AI kobles direkte på forretningskritiske systemer.

Privat cloud er den modsatte profil. Her er opstarten tungere, investeringerne større og behovet for specialiserede kompetencer mere tydeligt. Til gengæld får organisationen et miljø, der kan skræddersys til drift, sikkerhed og integration på et niveau, som mange SaaS-løsninger ikke matcher.

I driftssammenhæng handler valget ofte om dette spænd:

  • Hurtig opstart
  • Elastisk skalering
  • Lokal kontrol
  • Forudsigelig performance
  • Dyb integration

Det er ikke et spørgsmål om moden eller umoden organisation. Det er et spørgsmål om, hvilken risiko- og driftsprofil man vil leve med.

Hvem vælger typisk hvad?

I praksis ses nogle klare mønstre på tværs af brancher. Finans, sundhed og offentlig sektor hælder oftere mod private eller stærkt isolerede miljøer, fordi datalokalitet, revision og kontrol er helt centrale. Marketing, salg, læring, support og mange interne produktivitetsopgaver kan langt oftere drives effektivt i SaaS.

Det betyder ikke, at regulerede organisationer aldrig bruger SaaS. Det betyder blot, at de sjældent lægger de mest følsomme AI-arbejdsgange direkte i et standard multi-tenant setup uden tydelig afgrænsning og ekstra kontroller.

En enkel tommelfingerregel kan være:

  • Lav følsomhed, høj hastighed: SaaS giver ofte mening
  • Høj følsomhed, høj dokumentationspligt: privat cloud er ofte stærkest
  • Blandede datatyper og skiftende behov: hybrid bliver ofte mest realistisk

Hybrid er ofte det mest modne svar

Det mest interessante er, at valget sjældent ender som enten-eller. Mange organisationer lander bedst i en hybrid model, hvor data klassificeres før arkitektur vælges.

Mindre følsomme opgaver kan køre i SaaS med stærke kontrakter, god adgangsstyring og klare brugerregler. Fortrolige eller regulerede data kan blive i privat cloud, hvor modeller, logs og integrationer styres internt. Det giver et mere nuanceret setup og et bedre forhold mellem hastighed og kontrol.

En velfungerende hybrid model bygger normalt på tre lag: dataklassifikation, arkitekturprincipper og driftsansvar. Hvis et af dem mangler, bliver løsningen hurtigt usammenhængende.

Typiske tegn på, at en hybrid model er relevant:

  • Flere datatyper med forskellig følsomhed
  • Både pilotprojekter og forretningskritiske AI-flows
  • Krav om lokal logning kombineret med behov for hurtig skalering
  • Eksisterende investeringer i både cloud og intern infrastruktur

De vigtigste faldgruber i beslutningen

Det er sjældent teknologien alene, der vælter et AI-projekt. Det er oftere uklare ansvarslinjer, svag dataklassifikation eller manglende overblik over leverandøraftaler.

En SaaS-løsning kan se compliant ud på overfladen og alligevel mangle den logdybde, revisionsadgang eller datalokationsklarhed, som virksomheden senere får brug for. En privat cloud kan omvendt se sikker ud, men ende som dyr og sårbar, hvis driftsteam, backupstrategi og patch-processer ikke er modne nok.

Derfor bør beslutningen ikke tages i en ren it-workshop. Den bør samles på tværs af jura, sikkerhed, drift, forretning og dataejere.

De mest almindelige fejl ser sådan ud:

  • Feature-først: platformen vælges før datatyperne er kortlagt
  • Kontrakt-senere: databehandleraftaler og underleverandører gennemgås for sent
  • Log-svaghed: man antager, at standardlogs er nok til revision og hændelseshåndtering
  • Driftsoptimisme: intern hosting vælges uden realistisk plan for vedligehold og beredskab
  • Samme model for alt: alle use cases tvinges ind i én hostingstrategi

Et beslutningsfilter, der virker i praksis

Hvis valget skal blive operationelt og ikke bare strategisk, hjælper det at bruge et enkelt filter. Start med use casen, ikke med platformen. Hvilken opgave skal løses, hvilke data indgår, og hvor stor er forretningsrisikoen ved fejl, læk eller manglende dokumentation?

Derefter kan hver use case vurderes i tre lag:

  1. Compliance-egnethed
  2. Datastyring og integrationskrav
  3. Driftsmodel og økonomi

Hvis en use case falder igennem på første lag, er diskussionen om brugeroplevelse næsten irrelevant. Hvis den består første lag, men kræver dyb intern integration og høj kontrol over logs, peger pilen ofte mod privat cloud eller et dedikeret miljø. Hvis den består alle tre lag med lave krav til følsomhed og høj værdi af hurtig skalering, er SaaS ofte det mest fornuftige valg.

Det kan være en stor fordel at arbejde med en porteføljemodel i stedet for én standardbeslutning. Nogle AI-arbejdsopgaver fortjener maksimal kontrol. Andre fortjener maksimal hastighed. Den stærke organisation er ikke den, der vælger én løsning til alt. Det er den, der matcher setup til risiko og formål.

Fra pilot til drift kræver nye spørgsmål

Det, der virker i en workshop, er ikke nødvendigvis det, der virker i produktion. Når generativ AI skal forankres i drift, bør man kunne svare klart på, hvem der ejer adgangsmodellen, hvem der godkender databrug, hvordan logs bevares, og hvordan en løsning kan tages ned eller flyttes, hvis kravene ændrer sig.

Her bliver hostingbeslutningen et aktiv, ikke bare en teknisk baggrundsdetalje. Den skaber rammen for ansvarlig AI, hurtigere revision, bedre sikkerhed og mere realistisk skalering.

For mange danske organisationer er det derfor et stærkt næste skridt at kortlægge use cases i risikoklasser og derefter vælge hostingmodel per klasse. Det giver et mere robust grundlag for generativ AI, og det gør det langt lettere at bygge løsninger, der både kan bruges, forklares og drives.

Forrige indlæg

Næste indlæg

Related Article
nist ai rmf

NIST AI RMF (Risk Management Framework) ...

apr 21, 2026
Til top