GDPR-fælderne i jeres chatbot

Følg persondataens vej fra chatvinduet gennem leverandør og sprogmodel, og få de 5 spørgsmål til leverandøren plus de 3 ting en chatbot aldrig må gøre.

GDPR-fælderne i jeres chatbot

En kunde skriver til jeres chatbot en tirsdag aften: "Jeg har ikke fået min refusion, mit CPR-nummer er 010203-1234, kan I tjekke?" Ingen bad om nummeret. Chatbotten svarer venligt, samtalen logges, og nu ligger der et CPR-nummer i en samtalelog hos jeres chatbot-leverandør, muligvis behandlet af en sprogmodel hos en tredje virksomhed. I det øjeblik er tre GDPR-spørgsmål blevet jeres: på hvilket grundlag behandler I det, hvem har adgang til det, og hvornår bliver det slettet?

Scenariet er ikke et argument mod chatbots. Det er et argument for at forstå datastrømmen bag dem, for GDPR-risikoen ligger sjældent i chatvinduet, den ligger i kæden bagved.

Følg dataene: fra chatvindue til sprogmodel

Når kunden trykker send, rejser beskeden typisk gennem tre led. Første led er jeres website, hvor chatten er indlejret. Andet led er chatbot-leverandøren, der modtager beskeden, gemmer samtalen og styrer logikken; leverandøren er jeres databehandler, og her skal databehandleraftalen efter GDPR artikel 28 ligge. Tredje led er sprogmodel-udbyderen, som leverandøren sender teksten til for at få genereret svaret; den er underdatabehandler og SKAL fremgå af databehandleraftalen med navn og lokation. Mange køber chatbot hos et dansk firma og opdager aldrig at samtalerne reelt behandles af en amerikansk modeludbyder, og præcis dét skal aftalen gøre synligt og lovligt, fx gennem EU-hosting eller gyldigt overførselsgrundlag.

To ting mere afgør om kæden er sund. Trænings-spørgsmålet: bruges jeres kunders samtaler til at træne modellen? Svaret skal være nej, og det skal stå i aftalen. Og opbevarings-spørgsmålet: hvor længe ligger samtalelogs hos hvert led, og hvem kan slette dem? En samtale om en refusion er saglig at gemme i 30-90 dage; den samme samtale er en risiko at gemme i tre år uden formål. Går noget galt undervejs, gælder GDPR's frister i øvrigt fuldt ud: et brud på persondatasikkerheden skal anmeldes til Datatilsynet inden 72 timer efter I er blevet bekendt med det, og bøderammen går op til 20 mio. euro eller 4% af den globale omsætning.

Fem spørgsmål til leverandøren før I skriver under

Stil dem skriftligt, og gem svarene, de er en del af jeres dokumentation:

  1. Databehandleraftale: Har I en standard-DPA, og må vi se den før kontrakt?
  2. Underdatabehandlere: Hvilken sprogmodel-udbyder bruger I, hvor behandles data geografisk, og varsler I os ved skift?
  3. Træning: Garanterer I at vores samtaledata ikke bruges til modeltræning, og står det i aftalen?
  4. Sletning: Hvad er jeres standard-opbevaringstid, kan vi selv sætte en kortere, og sletter I hos underdatabehandleren samtidig?
  5. Indsigt og eksport: Kan I levere alle samtaler med en given kunde hvis vedkommende beder om indsigt eller sletning?

En seriøs leverandør svarer præcist på alle fem uden tøven. Vage svar på nummer 2 og 3 er det stærkeste faresignal der findes i det her marked, og prisen skal ikke lokke jer henover det; hvad markedet ellers koster, har vi gennemgået i vores prisguide til chatbots.

Tre ting jeres chatbot aldrig må

  • Opfordre til følsomme oplysninger. Botten skal aktivt bede kunder om IKKE at dele CPR-numre, helbredsoplysninger og lignende, og et velbygget setup filtrerer eller maskerer den slags automatisk inden lagring, så tirsdagsscenariet fra indledningen bliver en ikke-hændelse.
  • Træffe automatiske afgørelser med væsentlig betydning. GDPR artikel 22 sætter grænsen: en chatbot må vejlede og forberede, men den må ikke alene afvise en kreditansøgning, opsige et abonnement med bindende virkning eller lignende afgørelser med retsvirkning for kunden uden særligt grundlag og menneskelig mulighed for indgriben.
  • Udgive sig for at være et menneske. Fra 2. august 2026 er det et direkte lovkrav i AI-forordningens artikel 50 at brugeren oplyses om at der tales med en AI; kravet og resten af forordningens betydning for SMV'er har vi dækket i guiden om AI Act for danske virksomheder. Der er ingen grund til at vente på datoen, ærligheden koster ingenting og forebygger klager.

Lovlig er ikke det samme som besværlig

Alt ovenstående kan lyde som meget, men bemærk hvad det faktisk er: én aftale, fem skriftlige spørgsmål, en slettefrist og tre forbud. Det er en eftermiddags arbejde ved anskaffelsen, ikke en løbende byrde. En chatbot med styr på datastrømmen er ikke bare lovlig, den er et bedre produkt, for den behandler kundernes oplysninger som det de er: lånte.

Ofte stillede spørgsmål

Ja, når den er sat rigtigt op. Det kræver et lovligt behandlingsgrundlag, en databehandleraftale med leverandøren, styr på hvor samtaledata opbevares og hvor længe, og at chatbotten ikke bruges til automatiske afgørelser med væsentlig betydning for kunden.

Ja. Chatbot-leverandøren behandler persondata på jeres vegne og er databehandler, så en databehandleraftale er obligatorisk efter GDPR artikel 28. Sprogmodel-udbyderen bag chatbotten skal fremgå af aftalen som underdatabehandler.

Kun så længe I har et sagligt formål, fx opfølgning på en supportsag eller dokumentation af en aftale. Sæt en fast slettefrist, typisk 30-90 dage for almindelige supportsamtaler, og sørg for at leverandøren faktisk sletter, ikke bare arkiverer.

Ja. Fra 2. august 2026 kræver AI-forordningens artikel 50 at brugere får at vide at de taler med en AI. Det er samtidig god skik der forebygger misforståelser, så der er ingen grund til at vente på fristen.

Michael Nielsen

Michael Nielsen

Michael Nielsen er AI-konsulent hos Nordium ApS og skriver om AI fra et praktisk standpunkt - hvad virker, hvad er hype, og hvordan danske virksomheder kan bruge teknologien til at skabe reel værdi. Han følger udviklingen tæt og dækker alt fra konkrete værktøjer og automatisering til de større tendenser, der former fremtidens arbejdsmarked.