GDPR og AI automatisering: Hvad skal danske virksomheder vide?

Datatilsynet prioriterer AI automatisering i 2026. Overblik over GDPR krav, EU AI Act og regler for automatiserede afgørelser for danske virksomheder.

GDPR AI automations

Det vigtigste kort fortalt

  • Datatilsynet har offentliggjort sine prioriterede indsatsområder for 2026, og de fire hovedområder er AI baserede løsninger med overvågningspotentiale, automatiserede afgørelser, cookies og tracking samt store databehan
  • EU AI Act stiller nye krav til virksomheder, der bruger kunstig intelligens i automationsflow, og loven rammer langt flere danske virksomheder end mange regner med.
  • 42 % af danske virksomheder bruger i dag kunstig intelligens ifølge Eurostat, hvilket ligger langt over EU gennemsnittet på cirka 20 %.

Datatilsynets fokus 2026 (nyt og vigtigt)

Datatilsynet har offentliggjort sine prioriterede indsatsområder for 2026, og de fire hovedområder er AI baserede løsninger med overvågningspotentiale, automatiserede afgørelser, cookies og tracking samt store databehandlere som cloud leverandører.

Det betyder konkret, at virksomheder som anvender AI til at træffe beslutninger om kunder, medarbejdere eller borgere skal dokumentere retsgrundlaget, gennemføre risikovurderinger og sikre gennemsigtighed. EU AI Act træder delvist i kraft i august 2026 med et risikobaseret hierarki: forbudt AI som social scoring gælder allerede, mens højrisiko AI inden for rekruttering, kreditvurdering og sundhed først bliver reguleret fra august 2026. Begrænset risiko som chatbots skal overholde gennemsigtighedskrav fra samme dato.

42 % af danske virksomheder anvender mindst én AI teknologi. Det er langt over EU gennemsnittet på cirka 20 %.

For automationsprojekter betyder det, at du skal gennemføre en databeskyttelseskonsekvensvurdering når AI behandler personoplysninger. Brugeren skal informeres om, at en algoritme indgår i beslutningen. Ved højrisikobeslutninger skal der være menneskeligt tilsyn. Det gælder også for interne systemer, selvom de ikke er offentligt tilgængelige. En B2B virksomhed der automatiserer lead research skal eksempelvis sikre sig, at data ikke havner i en amerikansk sky og at behandlingen har et klart retsgrundlag.

Datatilsynet tilbyder en sandbox hvor virksomheder kan få vejledning til konkrete AI projekter før de sættes i drift.

Store databehandlere som cloud leverandører er særligt i søgelyset. Det stiller krav til databehandleraftaler med både automationsplatforme, AI udbydere og hostingleverandører. Virksomheder der håndterer kundedata eller medarbejderdata gennem automatiserede flows skal kunne redegøre for, hvor data opbevares, hvem der har adgang, og hvordan slettes perioder overholdes.

EU AI Act (ny lov, vigtig for læseren)

EU AI Act stiller nye krav til virksomheder, der bruger kunstig intelligens i automationsflow, og loven rammer langt flere danske virksomheder end mange regner med.

Eu AI act (ny lov, vigtig for læseren)

Loven arbejder med en risikobaseret inddeling. Allerede nu er forbudt AI såsom social scoring ulovlig. Fra august 2026 træder reglerne for højrisiko AI i kraft, hvilket dækker områder som rekruttering, kreditvurdering og sundhed. Begrænset risiko AI som chatbots skal fra samme dato leve op til gennemsigtighedskrav. Minimal risiko som spamfiltre og simple automationskæder undtages for særlige krav.

42 procent af danske virksomheder bruger i dag mindst én AI teknologi. Det ligger langt over EU gennemsnittet på cirka 20 procent.

For automationsprojekter betyder det at du skal kortlægge hvilke AI komponenter dine workflows indeholder. En lead berigelse der analyserer LinkedIn profiler og skriver personlige mails til B2B kunder falder typisk i højrisikokategorien. Det samme gør CRM berigelse der automatisk scorer leads baseret på adfærdsdata. I vores case med B2B SaaS virksomheden gik de fra langsom manuel research til personlig mail inden for 2 minutter per lead, men sådanne workflows kræver fremover dokumentation af retligt grundlag, formålsbegrænsning og menneskeligt tilsyn.

Datatilsynet prioriterer AI tilsyn i 2026.

AI Act træder ikke i stedet for GDPR, men supplerer den. Du skal fortsat have databehandleraftaler med alle platforme, kunne forklare hvordan AI modeller træffer beslutninger, og gennemføre konsekvensanalyser når persondata behandles. Læs mere om hvordan danske virksomheder forbereder sig på AI Act før august 2026.

42% af danske virksomheder bruger AI (Eurostat), langt over EU gennemsnittet. Mange ved ikke at de er omfattet.

42 % af danske virksomheder bruger i dag kunstig intelligens ifølge Eurostat, hvilket ligger langt over EU gennemsnittet på cirka 20 %. Det betyder, at langt flere danske virksomheder end ventet skal forholde sig til EU AI Act, som træder delvist i kraft i august 2026 med en risikobaseret tilgang hvor forbudt AI som social scoring gælder allerede nu, højrisiko AI inden for rekruttering og kreditvurdering følger fra august 2026, og begrænset risiko som chatbots kræver gennemsigtighed fra samme dato.

Det største problem er ikke de store virksomheder med dedikerede compliance teams. Det er de mellemstore virksomheder, der har implementeret AI værktøjer uden at registrere det.

Shadow AI udgør en særlig risiko. Når medarbejdere bruger gratis værktøjer til at behandle kundedata eller finansielle oplysninger uden godkendelse, skaber det et compliance hul som både GDPR og AI Act rammer ned i.

Vi ser det i praksis når virksomheder automatiserer lead research og personlige udgående mails. Det kan virke uskyldigt, men når AI genererer personlige beskeder baseret på LinkedIn data og virksomhedswebsites, behandler systemet personoplysninger i en grad der potentielt udløser krav om konsekvensvurderinger og menneskeligt tilsyn. I vores case med B2B SaaS lead research gik virksomheden fra langsom manuel research til personlig mail inden for 2 minutter per lead, men uden dokumentation af databehandleraftaler og lovhjemmel risikerer den samme hastighed at blive en juridisk byrde.

Datatilsynet har annonceret AI som prioriteret område i 2026, med fokus på automatiserede beslutninger, overvågning og behandling af sensitive data. Virksomheder skal kunne redegøre for lovhjemmel, dataminimering og opbevaringsperioder for workflow data og logs. Datatilsynet tilbyder en sandbox for AI projekter der vil have vejledning før de sættes i drift.

Self hosting på danske eller EU servere giver stærkere GDPR compliance end løsninger i clouden. Databehandleraftaler med automation platforme, AI udbydere og hosting udbydere er obligatoriske ifølge guiden til AI Act for danske virksomheder. Selv lukkede interne AI systemer kræver risikovurderinger og due diligence af leverandører.

For klinikker og sundhedsvirksomheder gælder særlige regler inden for klinikker og sundhed hvor behandling af patientdata med AI automatisk placerer systemet i højrisiko kategorien.

GDPR basics for automatisering (det praktiske)

Når I bygger automatiserede workflows med AI, skal I dokumentere fire konkrete forhold før systemet går i luften. Datatilsynet har AI på prioriteringslisten for 2026, så kravene om retsgrundlag, formålsbegrænsning, dataminimering og opbevaring er ikke teoretiske. De bliver tjekket.

Retsgrundlaget er jeres første afsæt. I skal vælge mellem samtykke, kontrakt eller legitim interesse, og valget skal dokumenteres skriftligt. Samtykke passer til markedsføring og nyhedsbreve. Kontrakt dækker behandling, der er nødvendig for at opfylde en aftale med brugeren. Legitim interesse kan bruges til interne processer som lead research, men kræver en interesseafvejning, hvor I beviser, at jeres behov vejer tungere end den registreredes ret til privatliv. Vælger I legitim interesse, skal I kunne fremvise dokumentationen på dagen.

Formålsbegrænsning betyder, at data indsamlet til ét formål ikke må bruges til et andet.

Har I samlet mailadresser til ordrebekræftelser, må I ikke automatisk tilføje dem til marketingflows uden nyt samtykke. Det lyder åbenlyst, men i praksis sker det ofte, når workflows vokser organisk uden dokumentation.

Dataminimering handler om at sende kun det nødvendige til AIen. I vores case med lead research til B2B SaaS sender workflowet kun virksomhedsnavn, branche og offentligt tilgængelige kontaktpunkter til analyse. Ingen CPR numre, ingen private adresser, ingen unødvendige personoplysninger. Resultatet er den samme kvalitet med 2 minutter per lead til første svar, men uden unødig datadeling. Jo mindre I sender, jo mindre kan gå galt.

Opbevaringsperioden skal defineres konkret for workflow data. Hvor længe gemmer I logs fra automatiserede beslutninger? Hvor længe opbevarer I rå AI svar før de anonymiseres? Sæt faste perioder: 30 dage for midlertidige logs, 12 måneder for dokumentation af automatiserede beslutninger, og slet straks når formålet er opfyldt. Husk at databehandleraftaler med platforme som Make, Zapier eller AI udbydere skal være på plads inden første kørsel.

Det er her mange virksomheder falder igennem. 42 % af danske virksomheder bruger AI teknologi, langt over EU gennemsnittet på cirka 20 %, men mange har ikke styr på de grundlæggende dokumentationskrav. Start med at kortlægge, hvad jeres workflows faktisk behandler, før Datatilsynet gør det for jer.

Databehandleraftaler (det de fleste glemmer)

Du skal have databehandleraftaler med alle mellemled. Punktum.

Når du bygger en automation, går data gennem flere hænder end du lige gætter. Din automation platform behandler data. Din AI udbyder behandler data. Din hosting udbyder behandler data. Hver eneste led i kæden skal have en skriftlig databehandleraftale (DPA) med dig. Det er ikke en teknisk detalje. Det er et lovkrav.

Standardvilkår er ikke nok.

De fleste tjekker bare “acceptér vilkår” og går videre. Det holder ikke. Du skal have en dedikeret databehandleraftale, der specifikt beskriver hvilke data, der behandles, hvordan de beskyttes, og hvad der sker når samarbejdet ophører. Datatilsynet prioriterer AI tilsyn i 2026, og mangel på dokumentation er en af de nemmeste bøder at give.

Aftalen skal som minimum dække: hvilke personoplysninger der behandles, formålet med behandlingen, tekniske og organisatoriske sikkerhedsforanstaltninger, underleverandører (subprocessors), og hvordan data slettes når aftalen udløber. Spørg din udbyder direkte om deres DPA. Seriøse udbydere har den klar.

Self hosting ændrer ikke på reglerne. Kører du n8n på egne servere, skal du stadig have databehandleraftaler med din hosting udbyder og eventuelle AI API er du kalder. Lukkede interne systemer kræver stadig dokumentation og risikovurderinger.

Tag en time i dag. Gå dine aktive automationer igennem. Skriv en liste over alle platforme, AI værktøjer og hosting udbydere du bruger. Send dem en mail og bed om deres databehandleraftale. Får du et standardsvar med henvisning til generelle vilkår, så bed om en dedikeret DPA. Din dokumentation er din forsikring.

Self, hosting som GDPR strategi

Self hosted n8n på en dansk eller EU baseret server betyder, at dine data aldrig forlader din infrastruktur. Kombineret med Claude API fra Anthropic eller Mistral opnår du den mest GDPR, sikre opsætning mulig for AI drevne arbejdsgange.

Når du kører n8n på egen server hos en dansk eller EU baseret udbyder, beholder du bedre styr på, hvor data lagres og behandles. Workflowlogs, brugerdata og al kommunikation mellem systemer forbliver inden for dine egne servergrænser. Dette eliminerer behovet for at overføre personoplysninger til tredjelande eller dele data med eksterne platforme ud over det strengt nødvendige.

Claude API og Mistral er to AI, modeller, der begge tilbyder databehandleraftaler og opbevarer data i EU. Claude API koster fra 3 kr. pr. 1.000 tokens (3 kr. (0,40 USD)) mens Mistral har gratis tier til test og betalte planer fra 0,75 kr. pr. 1.000 tokens (1 kr. (0,10 EUR)). Begge muligheder giver dig mulighed for at automatisere tekstbehandling, kundeservice eller lead research uden at overlade følsomme data til amerikanske udbydere.

Cloud, baserede automatiseringsplatformer kræver som udgangspunkt databehandleraftaler og kan indebære, at dine data lagres på servere uden for EU. Med self hosting reducerer du både juridisk kompleksitet og risikoen for compliance, brud. Datatilsynet har ifølge Olesen Advokater prioriteret AI, overvågning i 2026, hvilket gør det endnu vigtigere at kunne dokumentere præcis, hvor og hvordan persondata behandles.

Denne opsætning kræver teknisk ekspertise eller samarbejde med en udvikler til initial opsætning. Til gengæld får du en infrastruktur, hvor du kan automatisere kritiske forretningsprocesser uden at bekymre dig om, hvorvidt tredjelandsoverførsler eller manglende databehandleraftaler bringer dig i konflikt med GDPR.

For virksomheder, der håndterer følsomme kundedata, finansielle oplysninger eller personlige detaljer i deres workflows, er self hosting ikke bare en teknisk præference. Det er den mest direkte vej til at overholde lovgivningen samtidig med at udnytte AI’s potentiale.

Praktisk indsats: Fra risikovurdering til selvhostet automation

42 % af danske virksomheder anvender AI, teknologi ifølge Eurostat, langt over EU, gennemsnittet på cirka 20 %. Samtidig træder EU AI Act delvist i kraft i august 2026, mens Datatilsynet allerede i 2026 prioriterer tilsyn med automatiserede beslutninger, overvågning og store databehandlere. GDPR gælder uændret og overlapper med de nye regler.

Det er håndterbare greb.

Datatilsynet kræver dokumentation af retsgrundlag, formålsbegrænsning, dataminimering og opbevaringsperioder ved højrisikoautomation. Databeskyttelsesvurderinger og menneskelig kontrol er påkrævet. Det gælder både eksterne AI, værktøjer og interne systemer.

Samarbejdsaftaler med alle parter er obligatorisk. Når du bygger flows i n8n, Make eller Zapier og sender data til OpenAI eller Anthropic, skal hver leverandør være dækket af en databehandleraftale. Overvej selvhosting på danske eller EU, servere med lokale modeller som Mistral eller Claude API for at holde data inden for jurisdiktionen og reducere afhængighed af tredjelandsoverførsler.

Shadow AI udgør en akut risiko.

Ansatte der indsætter kundedata eller økonomiske oplysninger i gratis værktøjer som ChatGPT uden godkendelse, bryder GDPR. Etablér en politik for godkendte værktøjer og dataregler. Samtidig viser praktisk erfaring værdien af kontrolleret automation: Et bureau sparede seks timer ugentligt på konkurrentovervågning ved at automere indsamling og analyse. En webshop importerer 24 produkter dagligt fra leverandørdata til færdige WooCommerce-produkter uden manuel indtastning.

Datatilsynet tilbyder en sandbox for AI, projekter, hvor virksomheder kan få vejledning til specifikke flows før implementering.

EU AI Act og GDPR overlapper, men begge kræver dokumentation. Start med at kortlægge dataflowet. Så kan du bygge automation der holder i en revision.

Ofte stillede spørgsmål

Gælder GDPR for vores n8n workflows?

Ja. GDPR gælder når workflows behandler persondata uanset om det er kundeoplysninger, ansattes data eller logfiler. Du skal dokumentere retsgrundlag, sikre formålsbegrænsning og have styr på lagringsperioder for al data, der passerer gennem automationen.

Skal vi have DPA med OpenAI?

Ja. Databehandleraftaler (DPA) er obligatoriske med alle AI, udbydere, automation, platforme og hosting, leverandører. Uden en DPA har du ikke dokumenteret, hvordan data behandles sikkert og det kræver Datatilsynet ved tilsyn.

Er self hosting nødvendigt?

Nej, men det styrker compliance betydeligt. Ved at hoste n8n på danske eller EU, servere med lokale modeller som Mistral holder du data internt og undgår tredjelandsoverførsler. Cloud, løsninger kan bruges, men kræver grundig due diligence.

Hvad er skygge, AI?

Skygge, AI er når medarbejdere uautoriseret bruger gratis AI, værktøjer som ChatGPT til at behandle kunde, eller finansielle data. Det udgør en alvorlig GDPR, risiko. Lav en klar AI, politik med godkendte værktøjer og regler for hvilke data, der må behandles hvor.

Hvad sker der ved GDPR, overtrædelse?

Datatilsynet prioriterer AI i 2026 med særligt fokus på automatiske beslutninger og overvågning. Overtrædelser kan medføre bøder op til 4 % af årlig omsætning, påbud om at stoppe systemer og offentlige irettesættelser. Dokumenter altid dit arbejde som forsvar.

Skal vi lave en DPIA før vi automatiserer?

Ja, hvis AI’en behandler persondata systematisk især ved automatiserede beslutninger, profilering eller behandling af følsomme data. EU AI Act træder i kraft august 2026 og stiller yderligere krav til dokumentation for high, risk AI som rekruttering eller kreditvurdering.

Azad Habib
Azad Habib Lynpadden
Skal jeg ringe dig op? 1-24 timers responstid · Ingen forpligtelser

Mere fra bloggen

Fire artikler der ligger tæt på det du lige har læst.