Datatilsynet udsender ny vejledning om AI i danske virksomheder
Datatilsynet offentliggør konkret tjekliste til virksomheder der bruger AI som ChatGPT, Claude og Copilot. Skærpet fokus på DPA og medarbejder-træning.
Kort fortalt
- 7-punkts tjekliste til virksomheder — fra DPA-validering til medarbejder-træning
- Specifik vejledning når AI-output påvirker beslutninger om enkeltpersoner (kandidater, kunder, ansatte)
- Højere bøde-eksponering for virksomheder uden klar AI-politik — Datatilsynet varsler øget tilsynsindsats
Hvorfor nu?
Datatilsynet har gennem 2025 modtaget et stigende antal sager om uhensigtsmæssig brug af generative AI-værktøjer hos danske virksomheder — særligt indtastning af persondata i ChatGPT-prompts uden gyldig databehandleraftale. Den nye vejledning samler tilsynets praksis i ét dokument og bliver det centrale referencedokument for virksomheders AI-compliance.
Vejledningen er ikke retligt bindende, men beskriver hvilke forhold tilsynet vil lægge vægt på i fremtidige tilsynssager. Det betyder reelt at virksomheder der ikke følger den, har en tungere bevisbyrde i en eventuel sag.
7-punkts tjeklisten
- Databehandleraftale (DPA): Skal være underskrevet før AI-værktøjet bruges til persondata. Skal omfatte SCCs ved overførsel uden for EU.
- Lovligt grundlag: Vurder om behandlingen kan baseres på interesseafvejning eller kræver samtykke (særligt ved kandidatscreening).
- AI-politik: Skriftlig politik der beskriver hvilke værktøjer der må bruges, til hvilke data og formål.
- Medarbejdertræning: Dokumenteret træning i hvad der må indtastes i AI-prompts (CPR, e-mail, helbreds-data).
- DPIA: Konsekvensanalyse hvis AI bruges til beslutninger om enkeltpersoner (rekruttering, kreditvurdering, segmentering).
- Logging og kontrol: Hvem har brugt hvad, hvornår — særligt vigtigt ved fejlsager og audit.
- Menneskelig kontrol: AI-output må ikke automatisk lede til væsentlige beslutninger uden et review-trin.
"Vi ser virksomheder der bruger generativ AI uden at have grundlæggende dokumentation på plads. I 2026 er det ikke længere undskyldeligt at sige 'vi vidste ikke vi skulle have en DPA'."
— Direktør, Datatilsynet
🇩🇰 Hvad betyder det for danske SMV'er?
For en typisk dansk SMV der allerede bruger ChatGPT eller Claude er det første konkrete skridt at lave en simpel AI-politik på 1-2 sider der beskriver hvilke værktøjer der er godkendt, og hvad medarbejdere må indtaste. Det dækker de første 3 punkter på tjeklisten.
DPA er gratis at downloade hos de fleste leverandører — OpenAI, Anthropic, Microsoft og Google har alle standard-DPAs på deres hjemmesider. Det tager typisk 30 minutter at signere og arkivere.
Det største risikoområde for SMV'er er rekruttering med AI: hvis Copilot screener CV'er eller ChatGPT bruges til at sortere ansøgere, kræver det DPIA og særligt fokus på automatiseret beslutningstagen jf. GDPR art. 22.
Vil du læse den oprindelige artikel?
Læs hos DatatilsynetVi linker altid til den oprindelige kilde, så du kan verificere selv.
