Virksomheder integrerer i stigende grad AI-agenter på tværs af processer og systemer. Hvis agenten er baseret på public AI, kan input blive brugt til modeltræning eller på anden måde genanvendt hos leverandøren. Det indebærer risiko for ulovlig videregivelse af personoplysninger, brud på tavshedspligt og tab af forretningshemmeligheder. Et tidligt valg af privat AI er afgørende, da efterfølgende udskiftning typisk er dyr og forretningskritisk.
GDPR- og fortrolighedsrisici ved public AI-agenter
Public AI-tjenester kører ofte i leverandørens miljø som SaaS, hvor brugerdata kan anvendes til træning. Uden en gyldig databehandleraftale behandles oplysningerne reelt af udbyderen til egne formål, hvilket udgør en videregivelse, som sjældent er lovlig – særligt ved følsomme oplysninger eller data, der behandles som databehandler på vegne af kunder.
Fortrolige dokumenter, kildekode, prisoplysninger eller M&A-materiale, der tilgås via en public AI-agent, kan miste deres beskyttelse som forretningshemmeligheder. Samtidig kan kontraktuelle tavshedsklausuler og lovbestemte fortrolighedsforpligtelser overtrædes, hvilket forstærker det juridiske ansvar.
Kendetegn ved privat AI og nødvendige kontrakter
En privat AI-løsning indebærer, at input-data ikke bruges til træning eller deles på tværs af kunder. Modellen bør køre lokalt eller i et isoleret cloudmiljø med streng adgangskontrol, logging, sletning og passende tekniske og organisatoriske foranstaltninger. Databehandling bør ske inden for EU/EØS eller med gyldige overførselsgrundlag.
Kontraktuelt kræves en databehandleraftale efter GDPR art. 28 med klare instrukser, underdatabehandlere, overførsler og sikkerhedskrav. Leverandøren skal forpligte sig til ikke at tilgå eller genbruge data. Privatlivspolitik samt licens- og servicevilkår skal afspejle dette; en “betalt plan” gør ikke i sig selv løsningen privat.
Interesseret i forvaltningsret? Deltag i Forvaltningskonferencen 2026
Læs mere her →DPIA, due diligence og kontrolspørgsmål før implementering
Brug af AI-agenter til personoplysninger vil ofte kræve en konsekvensanalyse (DPIA) efter art. 35, udarbejdet inden ibrugtagning. DPIA’en afdækker datatyper, formål, risici og afværgeforanstaltninger og bør integreres i virksomhedens AI-governance.
Valg af public AI kan senere reducere virksomhedens værdi i en M&A-proces og gøre udskiftning omkostningstung. En dokumenteret privat AI-arkitektur mindsker regulatoriske og kommercielle risici og fremmer skalerbar implementering.
Før ibrugtagning bør følgende kontrolleres og dokumenteres:
- Hvilke data får AI-agenten adgang til, og med hvilke adgangsrettigheder.
- Om data bruges til træning eller anden genanvendelse hos leverandøren.
- Om der foreligger en gyldig databehandleraftale med underdatabehandlere.
- Hvad privatlivspolitikken og service-/licensvilkår siger om databrug.
- Hvor data behandles, herunder EU/EØS eller tredjelande og overførselsgrundlag.
- Hvem der har adgang, inkl. tredjepartskomponenter og support.
- Løsningens arkitektur, isolation, logging, sletning og kryptering.
- Hvordan sikkerheden testes og overvåges løbende.
