En kunde skriver til jeres chatbot en tirsdag aften: "Jeg har ikke fået min refusion, mit CPR-nummer er 010203-1234, kan I tjekke?" Ingen bad om nummeret. Chatbotten svarer venligt, samtalen logges, og nu ligger der et CPR-nummer i en samtalelog hos jeres chatbot-leverandør, muligvis behandlet af en sprogmodel hos en tredje virksomhed. I det øjeblik er tre GDPR-spørgsmål blevet jeres: på hvilket grundlag behandler I det, hvem har adgang til det, og hvornår bliver det slettet?
Scenariet er ikke et argument mod chatbots. Det er et argument for at forstå datastrømmen bag dem, for GDPR-risikoen ligger sjældent i chatvinduet, den ligger i kæden bagved.
Følg dataene: fra chatvindue til sprogmodel
Når kunden trykker send, rejser beskeden typisk gennem tre led. Første led er jeres website, hvor chatten er indlejret. Andet led er chatbot-leverandøren, der modtager beskeden, gemmer samtalen og styrer logikken; leverandøren er jeres databehandler, og her skal databehandleraftalen efter GDPR artikel 28 ligge. Tredje led er sprogmodel-udbyderen, som leverandøren sender teksten til for at få genereret svaret; den er underdatabehandler og SKAL fremgå af databehandleraftalen med navn og lokation. Mange køber chatbot hos et dansk firma og opdager aldrig at samtalerne reelt behandles af en amerikansk modeludbyder, og præcis dét skal aftalen gøre synligt og lovligt, fx gennem EU-hosting eller gyldigt overførselsgrundlag.
To ting mere afgør om kæden er sund. Trænings-spørgsmålet: bruges jeres kunders samtaler til at træne modellen? Svaret skal være nej, og det skal stå i aftalen. Og opbevarings-spørgsmålet: hvor længe ligger samtalelogs hos hvert led, og hvem kan slette dem? En samtale om en refusion er saglig at gemme i 30-90 dage; den samme samtale er en risiko at gemme i tre år uden formål. Går noget galt undervejs, gælder GDPR's frister i øvrigt fuldt ud: et brud på persondatasikkerheden skal anmeldes til Datatilsynet inden 72 timer efter I er blevet bekendt med det, og bøderammen går op til 20 mio. euro eller 4% af den globale omsætning.
Fem spørgsmål til leverandøren før I skriver under
Stil dem skriftligt, og gem svarene, de er en del af jeres dokumentation:
- Databehandleraftale: Har I en standard-DPA, og må vi se den før kontrakt?
- Underdatabehandlere: Hvilken sprogmodel-udbyder bruger I, hvor behandles data geografisk, og varsler I os ved skift?
- Træning: Garanterer I at vores samtaledata ikke bruges til modeltræning, og står det i aftalen?
- Sletning: Hvad er jeres standard-opbevaringstid, kan vi selv sætte en kortere, og sletter I hos underdatabehandleren samtidig?
- Indsigt og eksport: Kan I levere alle samtaler med en given kunde hvis vedkommende beder om indsigt eller sletning?
En seriøs leverandør svarer præcist på alle fem uden tøven. Vage svar på nummer 2 og 3 er det stærkeste faresignal der findes i det her marked, og prisen skal ikke lokke jer henover det; hvad markedet ellers koster, har vi gennemgået i vores prisguide til chatbots.
Tre ting jeres chatbot aldrig må
- Opfordre til følsomme oplysninger. Botten skal aktivt bede kunder om IKKE at dele CPR-numre, helbredsoplysninger og lignende, og et velbygget setup filtrerer eller maskerer den slags automatisk inden lagring, så tirsdagsscenariet fra indledningen bliver en ikke-hændelse.
- Træffe automatiske afgørelser med væsentlig betydning. GDPR artikel 22 sætter grænsen: en chatbot må vejlede og forberede, men den må ikke alene afvise en kreditansøgning, opsige et abonnement med bindende virkning eller lignende afgørelser med retsvirkning for kunden uden særligt grundlag og menneskelig mulighed for indgriben.
- Udgive sig for at være et menneske. Fra 2. august 2026 er det et direkte lovkrav i AI-forordningens artikel 50 at brugeren oplyses om at der tales med en AI; kravet og resten af forordningens betydning for SMV'er har vi dækket i guiden om AI Act for danske virksomheder. Der er ingen grund til at vente på datoen, ærligheden koster ingenting og forebygger klager.
Lovlig er ikke det samme som besværlig
Alt ovenstående kan lyde som meget, men bemærk hvad det faktisk er: én aftale, fem skriftlige spørgsmål, en slettefrist og tre forbud. Det er en eftermiddags arbejde ved anskaffelsen, ikke en løbende byrde. En chatbot med styr på datastrømmen er ikke bare lovlig, den er et bedre produkt, for den behandler kundernes oplysninger som det de er: lånte.


