Det var temaet for webinaret “Hvordan bruger man AI uden at kompromittere GDPR?”, hvor Kim Jensen fra Lexoforms sammen med Jonas Nygreen fra Exektek og Jacob Naur fra UNITAS gennemgik teknologien, lovgivningen og de praktiske faldgruber. Budskabet var klart: AI skal bruges med omtanke – men det skal bruges.
Fra hype til hverdagsværktøj
AI er ikke længere et futuristisk begreb, men en fast del af moderne it-systemer. De fleste af os bruger AI hver dag – ofte uden at vide det. Når vi søger på Google, får anbefalinger på Netflix eller får en automatisk korrektur i Word, arbejder en algoritme i baggrunden.
Under webinaret viste en hurtig meningsmåling, at næsten halvdelen af deltagerne allerede bruger AI dagligt, mens kun 10% aldrig har prøvet det. Det viser, hvor hurtigt teknologien er blevet en naturlig del af hverdagen. Men som direktør for Lexoforms, Kim, Jensen, bemærkede: “AI og GDPR er for mange blevet en ny ‘elefant i rummet’. Usikkerheden handler sjældent om reglerne – men om fortolkningen og frygten for at gøre noget forkert.”
Derfor handler det ikke om at undgå AI, men om at bruge den fornuftigt – og ikke mindst forstå dens begrænsninger. Ligesom med alt andet it kræver det klare rammer, sikkerhed og menneskelig dømmekraft.
Hvad er AI – i praksis?
Jonas Nygreen, der til daglig er udvikler og AI-rådgiver hos Exektek, forklarede teknologien på forståeligt dansk: AI er et samspil mellem data, algoritmer og computerkraft. Data er brændstoffet, computerkraften er motoren, og algoritmen er GPS’en. Sammen skaber de systemer, der kan lære mønstre, forudsige resultater og generere nyt indhold.
Han beskrev det med et billede af et træ: Data er rødderne, der suger næring fra jorden. Algoritmen er stammen, der bestemmer, hvordan træet vokser. Og computerkraften er sol og gødning, der får det hele til at gro. Jo mere data og energi, man tilfører, desto hurtigere og kraftigere vokser træet – men det bliver også des mere uigennemsigtigt.
Denne kompleksitet betyder, at mange ikke længere har fuldt overblik over, hvor data ender, eller hvordan de bliver brugt til at træne modellerne. Derfor er det afgørende at vide, om man arbejder i et åbent eller lukket system, og om data bruges til videre træning.
Som Jonas sagde: “Når du bruger en gratis version af et AI-værktøj, betaler du ofte med dine data. Så snart noget er gratis, er du selv produktet.”
AI og GDPR – et nødvendigt krydsfelt
Advokat Jacob fra UNITAS satte juridisk perspektiv på: AI bør i virkeligheden betragtes som et hvilket som helst andet it-system. Hvis det håndterer personoplysninger, gælder de samme krav som for alle andre databehandlere.
Det betyder, at man skal kunne dokumentere hvilket formål behandlingen har, hvilket lovligt grundlag man bruger, og hvordan data opbevares, beskyttes og eventuelt deles.
Har man AI-værktøjer, der behandler persondata, kræver det en databehandleraftale – præcis som med enhver anden leverandør. Det gælder uanset, om man bruger Copilot fra Microsoft, ChatGPT eller andre tjenester. Mange glemmer, at input til AI-modeller også kan indeholde personoplysninger, og dermed udløse GDPR-krav.
Jacob pegede på, at de fleste former for AI-anvendelse ikke er ulovlige eller forbudte – men de skal håndteres med omtanke. EU’s kommende AI-forordning fokuserer især på de risikofyldte anvendelser, som fx social scoring, ansigtsgenkendelse og manipulation af mennesker. For almindelige virksomheder handler det i stedet om at have styr på dokumentation, risikovurdering og etik.
“Langt de fleste AI-systemer falder slet ikke under de forbudte kategorier,” forklarede han. “Men hvis man bruger AI til at analysere persondata, så gælder GDPR – og så skal man have styr på sin risikovurdering.”
AI-politik og ansvar
En vigtig del af diskussionen handlede om AI-politik – et område, hvor mange virksomheder stadig mangler klare retningslinjer. I en afstemning blandt deltagerne svarede 60%, at de ikke har nogen intern politik for, hvordan medarbejdere må bruge AI.
Men som både Kim og Jacob understregede, er det afgørende at sætte rammer: Hvilke værktøjer må bruges? Må man anvende persondata? Hvordan håndterer man output?
Hos UNITAS har man fx udarbejdet en intern AI-politik, hvor alt output fra AI skal faktatjekkes, og ingen må dele kundedata eller medarbejderoplysninger med eksterne værktøjer. “Det handler ikke om at forbyde brugen af AI,” forklarede Jacob, “men om at bruge det med omtanke, præcis som man gør med enhver anden it-løsning.”
Lexoforms arbejder på samme måde med at indføre Copilot i deres Microsoft-miljø – netop fordi det er et lukket system, hvor data bliver i virksomhedens eget miljø og under dansk/europæisk lovgivning.
Når AI går galt
Eksemplerne på fejl og misbrug viser tydeligt behovet for omtanke. Jonas nævnte blandt andet Amazons rekrutteringsværktøj, der ubevidst diskriminerede kvinder, fordi det var trænet på historiske data, hvor mænd dominerede.
Et andet eksempel kom fra Samsung, hvor en ingeniør uforvarende uploadede kildekoden til virksomhedens styresystem til ChatGPT for at finde en fejl – hvorefter oplysningerne potentielt blev en del af OpenAI’s træningsdata.
Og i en amerikansk retssag blev advokater irettesat, fordi de havde brugt ChatGPT til at skrive juridiske dokumenter med opdigtede referencer til domme, der aldrig havde eksisteret.
“De her eksempler viser, at man aldrig må stole blindt på output,” sagde Jonas. “AI hallucinerer – den finder på. Derfor skal man altid faktatjekke, før man bruger materialet professionelt.”
Gode råd til ansvarlig brug af AI
Eksperterne opsummerede webinaret med en række praktiske anbefalinger til alle, der arbejder med AI i hverdagen:
- Opret en AI-politik og træn medarbejderne i at bruge teknologien ansvarligt
- Vær kritisk og brug sund fornuft. AI er et redskab – ikke en erstatning for faglighed.
- Kontrollér altid resultaterne
- Del aldrig persondata i åbne systemer
- Brug fiktive eller anonymiserede oplysninger, når du skriver prompts
- Vælg sikre platforme i lukkede miljøer, som Microsoft Copilot eller andre EU-hostede løsninger
- Lav en risikovurdering og overvej konsekvenserne, hvis data skulle blive delt eller misbrugt
Fra frygt til forståelse
Budskabet fra alle oplægsholderne var samstemmende: AI skal ikke ses som en trussel mod GDPR, men som en teknologi, der kræver ansvarlighed. Det handler ikke om at sige nej til innovation, men om at kombinere fremdrift med fornuft.
Som Kim Jensen konstaterede: “AI er ikke en stopklods – men det kræver opmærksomhed. Vurder risikoen, sæt foranstaltninger i gang og brug jeres kritiske sans. Så kan I bruge AI sikkert, effektivt og lovligt.”
Virksomheder, der arbejder strategisk med etik, datasikkerhed og compliance, klarer sig i øvrigt bedre end andre. En nyere analyse fra Capgemini viser, at virksomheder, der prioriterer compliance, i gennemsnit performer 18 procent bedre på både indtjening og kundetillid.
Med andre ord: God dataskik og god forretning hænger uløseligt sammen.
