Chatbot og GDPR: Er en AI-chatbot lovlig i Danmark?
GDPR-reglerne bekymrer mange virksomheder, der overvejer en AI-chatbot. Vi gennemgår hvad loven kræver, hvad EU AI Act betyder for dig, og hvad du konkret skal have på plads.
Det er et af de mest stillede spørgsmål, når vi taler med virksomheder om AI-chatbots: "Er det overhovedet lovligt?"
Det korte svar er: Ja — men du skal have styr på et par ting. Denne artikel giver dig et klart overblik over, hvad GDPR kræver, hvad EU AI Act indebærer, og hvad du som virksomhed skal sikre, når du implementerer en AI-chatbot.
Bemærk: Denne artikel er vejledende og udgør ikke juridisk rådgivning. Har du komplekse databeskyttelsesforhold, anbefaler vi at konsultere en GDPR-specialist.
Det grundlæggende: GDPR og chatbots
GDPR (Databeskyttelsesforordningen) gælder, når du behandler personoplysninger om EU-borgere. En chatbot behandler potentielt personoplysninger, når en bruger:
- Skriver sit navn, e-mail eller telefonnummer i chatten
- Beskriver sit problem på en måde der identificerer dem
- Deler oplysninger om helbred, økonomi eller andre følsomme emner
Selve chat-sessionen — altså indholdet af samtalen — er personoplysninger, der skal behandles lovligt.
De tre vigtigste GDPR-krav til chatbots
1. Behandlingsgrundlag
Du skal have et lovligt grundlag for at behandle personoplysninger. For en kundesupport-chatbot vil grundlaget typisk være legitim interesse (at betjene din kunde) eller samtykke. De fleste virksomheder bruger legitim interesse, da en besøgende aktivt henvender sig til chatbotten.
2. Oplysningspligt
Du skal informere brugerne om, at de chatter med en AI-chatbot, og at samtalen kan gemmes. Dette kan gøres enkelt i en lille velkomstbesked eller i et link til din privatlivspolitik i chatvinduet.
3. Opbevaringsperiode
Du må ikke gemme personoplysninger længere end nødvendigt. Fastlæg en sletningspolitik for chathistorik — fx 90 eller 180 dage — og overhold den.
Databehandleraftale: Hvem behandler data på dine vegne?
Når du bruger en chatbot-løsning, behandler udbyderen personoplysninger på dine vegne. Det kræver en databehandleraftale (DPA) mellem dig og udbyderen.
Spørg altid din chatbot-udbyder:
- Hvor opbevares data? (EU-servere er et krav under GDPR)
- Har I en databehandleraftale jeg kan underskrive?
- Bruges mine kunders data til at træne AI-modeller?
Advarsel: Mange internationale chatbot-løsninger opbevarer data i USA. Det kan skabe GDPR-problemer uden tilstrækkelige overførselsgrundlag (Standard Contractual Clauses). Vælg altid en løsning med EU-baseret dataopbevaring.
EU AI Act: Hvad betyder det for chatbots?
EU AI Act trådte i kraft i 2024 og indfases gradvist frem mod 2027. For de fleste SMV'er med en standard kundesupport-chatbot er konsekvenserne minimale, men der er et vigtigt krav:
Åbenhedspligt: AI-systemer der interagerer med mennesker skal gøre det klart, at brugeren taler med en AI — medmindre det er indlysende. Din chatbot må altså ikke udgive sig for at være et menneske.
Chatbots klassificeres typisk som lav-risiko AI-systemer under EU AI Act, da de ikke bruges til kritiske beslutninger som kreditvurdering eller ansættelse. Det betyder begrænsede forpligtelser for dig.
Hvad NemChatbot gør for at overholde GDPR
NemChatbot er designet med GDPR-overholdelse som udgangspunkt:
- EU-baseret data: Al data opbevares i Supabase EU-central (Frankfurt, Tyskland)
- Ingen AI-træning på kundedata: Dine kunders samtaler bruges aldrig til at træne AI-modeller
- Automatisk sletning: Samtalehistorik kan konfigureres til automatisk sletning
- Databehandleraftale: Vi tilbyder DPA til alle kunder
- Åbenhed: Chatbotten identificerer sig tydeligt som en AI-assistent
GDPR-tjekliste til din chatbot
Brug denne tjekliste for at sikre, at din chatbot-implementering er GDPR-compliant:
- Informer brugerne om at de taler med en AI (velkomstbesked eller privatlivspolitik)
- Indgå databehandleraftale med din chatbot-udbyder
- Verificer at data opbevares inden for EU
- Fastlæg og overhold en sletningsperiode for chathistorik
- Opdater din privatlivspolitik til at nævne chatbot-databehandling
- Bekræft at udbyderen ikke bruger dine data til AI-træning
- Dokumentér behandlingsgrundlaget i dit behandlingsregister
Er en AI-chatbot lovlig? Konklusion
Ja — AI-chatbots er fuldt lovlige i Danmark og EU, så længe du følger GDPR's grundprincipper. De vigtigste punkter er: vær åben over for brugerne, hav en databehandleraftale med din udbyder, sørg for EU-baseret dataopbevaring, og fastlæg klare retningslinjer for, hvornår data slettes.
Det er langt enklere end mange tror — og frygten for GDPR bør ikke stå i vejen for de fordele, en chatbot kan give din virksomhed.
GDPR-klar chatbot på 30 minutter
NemChatbot er designet til at overholde GDPR fra dag ét. EU-servere, databehandleraftale inkluderet, og ingen AI-træning på dine data.
Få gratis demo →