GDPR og AI – hvad danske virksomheder skal vide i 2026

Q: Hvad betyder EU AI Act for danske SMV'er?

EU AI Act klassificerer AI-systemer i risikokategorier. De fleste værktøjer danske SMV'er bruger – chatbots, regnskabsautomatisering, marketinganalyse – falder i kategorien begrænset eller minimal risiko og kræver primært transparens. Højrisiko-AI (fx kreditscoring, HR-screening) kræver konformitetsvurdering, logning og menneskeligt opsyn. Forordningens krav udrulles trinvist fra februar 2025 til august 2027.

Publiceret 29. maj 2026 · Nyhedsartikel · 4 min. læsetid

Danske virksomheder adopterer AI i rekordfart – fra chatbots og automatiseret kundeservice til avanceret dataanalyse og HR-screening. Men med AI følger en skærpet opmærksomhed på persondata. I 2026 står virksomheder over for et dobbelt regelsæt: GDPR, der har været gældende siden 2018, og den nye EU AI Act, der udrulles trinvist frem mod august 2027.

GDPR og AI: De centrale udfordringer

GDPR blev skrevet før den nuværende AI-bølge, men forordningens principper rammer direkte ind i AI-anvendelser:

Dataminimering (artikel 5.1.c): AI-modeller er datahungrige af natur. Virksomheder skal sikre, at de kun indsamler og behandler persondata, der er nødvendige for det specifikke formål – ikke «alt hvad vi måske kan bruge senere.»
Formålsbegrænsning (artikel 5.1.b): Data indsamlet til ét formål må ikke genbruges til AI-træning eller analyse uden nyt lovligt grundlag. En kundeliste til fakturering kan ikke automatisk bruges til AI-drevet churn-prediction.
Automatiserede beslutninger (artikel 22): Registrerede har ret til ikke at være genstand for afgørelser, der udelukkende er baseret på automatiseret behandling, herunder profilering, som har retlige virkninger. I praksis betyder det, at AI kan anbefale – men et menneske skal træffe den endelige beslutning ved kreditvurdering, ansættelse og lignende.
Gennemsigtighed (artikel 13–14): Virksomheder skal informere registrerede om, at der bruges AI, hvilken logik der ligger bag, og hvad konsekvenserne er. «Vi bruger AI» er ikke tilstrækkeligt – der kræves en meningsfuld forklaring.

EU AI Act: Det nye lag oven på GDPR

EU AI Act tilføjer et risikobaseret reguleringsframework specifikt for AI-systemer. For danske virksomheder er de vigtigste kategorier:

Risikokategori	Eksempler	Krav
Uacceptabel risiko	Social scoring, manipulativ AI, biometrisk masseovervågning	Forbudt
Høj risiko	Kreditscoring, HR-screening, medicinsk diagnostik	Konformitetsvurdering, logning, menneskeligt opsyn, DPIA
Begrænset risiko	Chatbots, deepfakes, følelsesanalyse	Transparenskrav – brugere skal vide de interagerer med AI
Minimal risiko	Spamfiltre, regnskabsautomatisering, marketinganalyse	Ingen særlige krav (best practice anbefales)

Tidsplanen er trinvis: forbud mod uacceptabel risiko trådte i kraft februar 2025, krav til general-purpose AI-modeller gælder fra august 2025, og højrisiko-krav følger fra august 2026.

Konkrete skridt for danske virksomheder

1. Kortæg jeres AI-anvendelser

Første skridt er et overblik over hvor I bruger AI – også indlejret AI i eksisterende software. Mange virksomheder opdager, at deres CRM, regnskabssystem eller HR-platform allerede indeholder AI-funktioner, der behandler persondata. Dokumentér hver anvendelse med formål, datatyper og risikokategori.

2. Gennemfør konsekvensanalyse (DPIA)

GDPR kræver en Data Protection Impact Assessment for behandlinger med høj risiko for registrerede. AI-baseret profilering, automatiserede beslutninger og storskala-databehandling udløser næsten altid DPIA-kravet. Datatilsynet har publiceret en vejledning og en DPIA-skabelon, der kan bruges som udgangspunkt.

3. Sikr databehandleraftaler

Når I bruger cloud-baserede AI-værktøjer (ChatGPT Enterprise, Google Gemini, Microsoft Copilot), skal der foreligge en databehandleraftale efter GDPR artikel 28. Vurder også tredjelandsoverførsler – mange AI-udbydere behandler data i USA, hvilket kræver EU-US Data Privacy Framework eller supplerende foranstaltninger.

4. Implementér menneskeligt opsyn

For automatiserede beslutninger med væsentlige konsekvenser (kreditvurdering, HR-screening, forsikringspræmier) skal der være et menneske i løkket. Det betyder ikke bare en «godkend»-knap, men reel kompetence til at forstå og tilsidesætte AI-anbefalingen.

Værktøjer til GDPR-compliance med AI

Flere værktøjer hjælper danske virksomheder med at navigere compliance-landskabet:

OneTrust og Cookiebot: Automatiseret consent management og DPIA-værktøjer med AI-støttet klassificering af databehandlinger.
Keepit og Veeam: Danske backup- og datahåndteringsløsninger med EU-dataresidency og AI-drevet anomali-detektion.
Plesner og Kromann Reumert GDPR-guides: Opdaterede danske juridiske vejledninger til AI og persondata, tilgængelige online.
Datatilsynets AI-vejledning: Datatilsynet har i 2025–2026 udgivet flere vejledninger om AI og persondata, herunder specifik guidance til chatbots, ansigtsanalyse og automatiserede afgørelser.

Hvad sker der hvis man ikke overholder reglerne?

Konsekvenserne er ikke teoretiske. Europæiske datatilsyn har i 2025–2026 udstedt bøder specifikt for AI-relaterede GDPR-brud. Italiens Garante bødede OpenAI 15 mio. EUR i 2024, og flere nationale tilsyn har sanktioneret virksomheder for manglende DPIA ved AI-profilering. I Danmark har Datatilsynet skærpet fokus på automatiserede beslutninger og har varslet øget tilsyn med AI-anvendelser i 2026.

Bødeniveauerne under GDPR er op til 20 mio. EUR eller 4 % af global årlig omsætning. EU AI Act tilføjer yderligere sanktioner på op til 35 mio. EUR eller 7 % af omsætning for de alvorligste overtrædelser.

Ofte stillede spørgsmål

Skal jeg have samtykke for at bruge AI på kundedata?

Ikke nødvendigvis. GDPR kræver et lovligt grundlag for behandling, men samtykke er kun ét af seks mulige grundlag. Mange virksomheder kan bruge «berettiget interesse» (artikel 6.1.f) til AI-analyse af kundedata, så længe behandlingen er proportional og dokumenteret. Dog kræver profilering, der har retlige virkninger for den registrerede, typisk eksplicit samtykke eller et andet særligt grundlag ifølge artikel 22.

Hvad betyder EU AI Act for danske SMV'er?

De fleste værktøjer danske SMV'er bruger – chatbots, regnskabsautomatisering, marketinganalyse – falder i kategorien begrænset eller minimal risiko og kræver primært transparens. Højrisiko-AI (fx kreditscoring, HR-screening) kræver konformitetsvurdering, logning og menneskeligt opsyn. Forordningens krav udrulles trinvist fra februar 2025 til august 2027.

Kan jeg bruge ChatGPT og lignende AI med kundedata?

Ja, men med forbehold. Du skal sikre en databehandleraftale med udbyderen, vurdere om data overføres til tredjelande (typisk USA), og dokumentere det i din ROPA (Record of Processing Activities). Enterprise-versioner af de store AI-platforme tilbyder EU-dataresidency og databehandleraftaler. Undgå at uploade personfølsomme data til gratis-versioner uden databehandleraftale.

Hvad er bødeniveauet for GDPR-overtrædelser relateret til AI?

GDPR-bøder kan nå op til 20 mio. EUR eller 4 % af global årlig omsætning. I praksis har Datatilsynet i Danmark udstedt bødeforlæg på typisk 100.000–1,5 mio. kr. Flere europæiske datatilsyn har i 2025–2026 specifikt sanktioneret virksomheder for mangelfuld konsekvensanalyse (DPIA) ved brug af AI, og for automatiserede beslutninger uden tilstrækkeligt menneskeligt opsyn.

Ansvarsfraskrivelse: Denne artikel er kun til informationsformål og udgør ikke juridisk rådgivning. GDPR- og AI-regulering er komplekst og under udvikling. Kontakt en advokat med specialviden inden for databeskyttelse ved konkrete spørgsmål om jeres virksomheds compliance-forpligtelser.

Læs også

Interesseret i selskab.ai?

Dette premium .ai-domæne er til salg – ideelt til compliance-platforme, juridisk tech eller AI-løsninger til erhvervsservice.

Send en forespørgsel