GDPR og AI-chatbots: Hvad du skal vide før du går live

GDPR og AI er to ord, der trækker bekymringspander hos mange danske virksomhedsejere. Med rette: det er svært at have overblik over, hvilke regler der gælder, hvilke leverandører der kan bruges, og hvad man rent faktisk skal gøre, før man sætter en AI-chatbot live på sit website.

Det her er en pragmatisk guide. Den dækker de syv spørgsmål, du som dataansvarlig skal kunne besvare. Den er ikke en juridisk rådgivning, og hvis du arbejder med følsomme oplysninger, særligt regulerede brancher eller offentlig sektor, bør du tjekke med en databeskyttelsesrådgiver.

Spørgsmål 1: Behandler chatbotten personoplysninger?

Næsten altid ja. En AI-chatbot indsamler typisk:

• Selve chatbeskederne, som ofte indeholder personoplysninger (navn, email, problembeskrivelser, kontonumre i værste fald)
• Tekniske data: IP-adresse, browsertype, enhedsoplysninger
• Cookies eller localStorage til at holde styr på samtalen
• Tidsstempler, sessionsdata

Det betyder, at du som virksomhed bag websitet er dataansvarlig for de oplysninger, der indsamles via chatbotten. Du har det fulde GDPR-ansvar.

Spørgsmål 2: Hvem er databehandler?

Leverandøren af chatbotten er som regel databehandler. Det betyder, at de behandler personoplysninger på dine vegne. GDPR kræver, at I har en skriftlig databehandleraftale (DPA, Data Processing Agreement). Uden den behandler de teknisk set data ulovligt.

Tjek inden underskrivelse:

• At leverandøren tilbyder en DPA (mange gør det automatisk ved kontoroprettelse)
• At DPA'en specificerer, hvilke data der behandles, til hvilke formål, og hvor længe
• At den indeholder bestemmelser om sletning ved opsigelse
• At den dækker eventuelle underdatabehandlere (f.eks. cloud-leverandøren, sprogmodelleverandøren)

Spørgsmål 3: Hvor opbevares data, og overføres de uden for EU?

Det her er det mest komplicerede spørgsmål, særligt efter Schrems II-dommen. Hvis data overføres uden for EU/EØS, skal der være et gyldigt overførselsgrundlag. De gængse muligheder er:

• Adequacy decision: Lande, EU har vurderet har tilstrækkeligt databeskyttelsesniveau (UK, Schweiz, Japan med flere). USA er i øjeblikket dækket via EU-US Data Privacy Framework, men kun for virksomheder, der er certificerede.
• Standard Contractual Clauses (SCC): Standardklausuler godkendt af EU. Kræver supplerende foranstaltninger efter Schrems II.
• Bindende virksomhedsregler (BCR): Anvendes af store internationale koncerner.

Spørg leverandøren konkret:

• Hvor er data hostet (server-lokation)?
• Hvilke underdatabehandlere bruges, og hvor er de?
• Bruges en sprogmodel hostet i USA (OpenAI, Anthropic via deres egne API'er) eller i EU?
• Hvilket overførselsgrundlag bruges?

Mange europæiske leverandører hoster i EU og bruger sprogmodel-API'er, der enten er EU-baserede eller har klare overførselsgrundlag. Det forenkler din complianceopgave.

Spørgsmål 4: Hvad er retsgrundlaget for behandlingen?

Du skal kunne pege på et af de seks retsgrundlag i GDPR artikel 6:

• Samtykke: Visitor accepterer eksplicit. Skal være frivilligt og specifikt. Et generisk cookie-banner er ikke nok.
• Opfyldelse af kontrakt: Hvis chatten er nødvendig for at levere en aftalt ydelse.
• Legitim interesse: Den mest brugte til kundeservice. Kræver en skriftlig interesseafvejning.
• Retlig forpligtelse: Sjældent relevant for chatbots.
• Vitale interesser: Næsten aldrig relevant.
• Offentlig interesse: Relevant for kommuner og offentlige institutioner.

For en almindelig virksomheds website er legitim interesse ofte det rette grundlag for selve chatten, mens samtykke kan være nødvendigt, hvis I bruger samtaledata til markedsføring eller analytics ud over driften.

Spørgsmål 5: Hvor længe opbevares data?

GDPR kræver, at I kun opbevarer data, så længe det er nødvendigt. For chat-samtaler er typiske retentionsperioder:

• 30 dage: tilstrækkeligt for de fleste support-formål
• 90 dage: hvis der er behov for opfølgning eller mønsteranalyse
• Op til 5 år: hvis samtalen er relevant for bogføring (f.eks. en konkret aftale)

Sæt en konkret retentionsperiode, dokumenter den, og sørg for at leverandøren faktisk sletter automatisk.

Spørgsmål 6: Hvordan håndterer I de registreredes rettigheder?

Borgere/kunder har efter GDPR ret til:

• Indsigt: At se, hvilke data I har om dem
• Berigtigelse: At få urigtige oplysninger rettet
• Sletning (retten til at blive glemt)
• Begrænsning af behandlingen
• Dataportabilitet: At få deres data udleveret i et struktureret format
• Indsigelse mod behandlingen

I skal kunne efterleve disse rettigheder også for chat-data. Det betyder, at jeres leverandør skal kunne søge en specifik bruger frem og enten eksportere eller slette deres samtaler. Spørg, om denne funktionalitet er tilgængelig i dashboardet.

Spørgsmål 7: Hvordan informerer I brugerne?

I skal informere brugerne om databehandlingen, før de begynder. Det sker typisk via:

• Privatlivspolitik: Skal beskrive, hvilke data der indsamles via chatbotten, formål, retsgrundlag, opbevaringsperiode, leverandør
• Cookie-banner: Hvis chatbotten bruger cookies, skal det dækkes der
• Notits ved chat-start: Mange vælger at vise en kort tekst i widgeten ved første åbning, der linker til privatlivspolitikken

Glem ikke at opdatere jeres privatlivspolitik, når I går live med en ny chatbot. Det er den hyppigst overset detalje.

Hvad gør Clarifier på GDPR?

Clarifier er udviklet i Danmark og overholder GDPR. Vi tilbyder databehandleraftale ved kontoroprettelse, opbevarer chat-samtaler i op til 30 dage til drift og forbedring, og videresælger ikke data til tredjepart. Du kan se den fulde behandlingsbeskrivelse i vores privatlivspolitik.

For kommuner og offentlige institutioner tilpasser vi databehandleraftalen efter jeres konkrete krav. Kontakt os for at få den gennemgået sammen med jeres databeskyttelsesrådgiver.