GDPR og ansvarlig AI-brug

Databeskyttelse integreret fra start – ikke som eftertanke

GDPR er ikke bare et juridisk krav – det er fundamentalt for at bruge AI ansvarligt i den offentlige sektor. Alle medarbejdere skal vide hvad de må dele, og hvad de absolut ikke må dele.

Trafiklyskort: Hvad må jeg dele med AI?

🔴 STOP!

Personfølsomme data

Del ALDRIG:

  • CPR-numre
  • Helbredsoplysninger fra børnesager eller plejejournaler
  • Fagforeningsforhold
  • Religiøs overbevisning
  • Data om seksuel orientering
  • Etnisk oprindelse
  • Politisk holdning

Konsekvens: Brud på GDPR, potentiel databeskyttelsesklage

🟡 PAS PÅ!

Fortrolige/interne data

Kræver anonymisering:

  • Udkast til politiske dagsordener
  • Interne strategier og referater
  • Data hvor medarbejdere kan identificeres
  • Personalemæssige oplysninger
  • Konkrete borgerhenvendelser

→ Fjern navne, identificerbare detaljer og direkte citater først

🟢 KØR!

Generelle/offentlige data

Frit at bruge:

  • Borgerbreve om affaldssortering (anonymiseret)
  • Opsummering af lokalplaner
  • Lektionsplaner uden elevnavne
  • Generelle mødereferater
  • Faglig tekst uden personfølsomme data
  • Offentligt tilgængelige dokumenter

Regel: Ville det være OK at dele i en avis? Så er det OK at dele med AI

GDPR i den offentlige sektor

Databeskyttelsesforordningen (GDPR)

GDPR gælder for al behandling af personoplysninger – inkl. når man bruger AI-værktøjer. Offentlige myndigheder har et særligt ansvar for at beskytte borgernes data.

Centrale principper:

  • Dataministrering: Brug kun nødvendige data
  • Fortrolig behandling: Beskyt mod uautoriseret adgang
  • Formålsbegrænsning: Brug kun data til det tænkte formål
  • Transparens: Borgerne skal vide hvordan deres data bruges

Overlap med anden lovgivning

GDPR er ikke den eneste lov – der er overlap med flere andre regelsæt som medarbejdere skal kende til:

Relevante love:

  • Databeskyttelsesloven: Dansk implementering af GDPR
  • Forvaltningsloven: Tavshedspligt i den offentlige forvaltning
  • Offentlighedsloven: Hvad må offentliggøres?
  • Arkivloven: Opbevaring og sletning af data
  • Sundhedsloven: Særlige regler for helbredsdata

Borgerrettigheder (artikel 15-22)

Retten til indsigt

Borgere har ret til at vide hvilke oplysninger kommunen har om dem, hvordan de bruges, og hvor længe de opbevares.

Konsekvens for AI: Vi skal kunne dokumentere hvad AI har set af data

Retten til berigtigelse

Hvis data er forkerte eller forældede, kan borgeren kræve dem rettet.

Konsekvens for AI: Tjek altid AI-output for faktuelle fejl før brug i sagsbehandling

Retten til at blive slettet

Under visse betingelser kan borgeren kræve at deres data slettes ("retten til at blive glemt").

Konsekvens for AI: Brug ikke AI-værktøjer der gemmer data permanent

Retten til at gøre indsigelse

Borgeren kan gøre indsigelse mod behandling af deres data i visse situationer.

Konsekvens for AI: Vær forberedt på at kunne stoppe AI-behandling hvis borgeren protesterer

Ret til ikke at underlagt automatiserede afgørelser

Borgere har ret til menneskelig involvering i afgørelser der har juridisk effekt.

Konsekvens for AI: AI må ALDRIG træffe afgørelser alene – altid menneskelig kontrol

Dataportabilitet

Borgeren har ret til at få deres data i et struktureret, maskinlæsbart format.

Konsekvens for AI: Opbevar altid originale dokumenter, ikke kun AI-bearbejdede versioner

Forskel på AI-værktøjer

ChatGPT (gratis)

⚠️ BØR IKKE BRUGES TIL ARBEJDE

  • Data kan bruges til træning af modellen
  • Ingen databehandleraftale
  • Data sendes til USA
  • Ikke GDPR-compliant for personfølsomme data

Microsoft Copilot (M365)

✓ KAN BRUGES MED FORSIGTIGHED

  • Databehandleraftale med Microsoft
  • Data gemmes ikke til træning
  • Overholder GDPR ved korrekt opsætning
  • MEN: Stadig ingen følsomme persondata

Interne AI-værktøjer

✓ FORETRUKKET TIL FØLSOMME DATA

  • Data forbliver i kommunens infrastruktur
  • Fuld kontrol over databehandling
  • Godkendt af IT-sikkerhed
  • Bedst til personfølsomme oplysninger

Ved tvivl

Hvis du er i tvivl om noget må deles med AI – så del det IKKE. Kontakt i stedet IT & Digitalisering eller din nærmeste leder for vejledning.

Husk: Det er bedre at være forsigtig end at begå en GDPR-overtrædelse. Anonymisering er altid en mulighed hvis du er usikker.

Næste: FAQ