Må du dele et Excel-ark med kundedata med AI?

Automatiseret tekst skal holde sig på den faktuelle side af linjen, så den aldrig fremstår som juridisk rådgivning.

Dele kundedata AI

Det vigtigste kort fortalt

  • Når du overvejer at dele kundedata med AI, er den største bekymring typisk ikke automatiseringen i sig selv, men at følsomme oplysninger ender et sted, hvor de ikke hører hjemme.
  • De fire tilgange ligner hinanden på overfladen, men der er stor forskel på, hvor meget du kan styre, hvordan data behandles, og hvem der sætter rammerne.
  • Automatiseret tekst skal holde sig på den faktuelle side af linjen, så den aldrig fremstår som juridisk rådgivning.

Direkte svar på en konkret bekymring

Når du overvejer at dele kundedata med AI, er den største bekymring typisk ikke automatiseringen i sig selv, men at følsomme oplysninger ender et sted, hvor de ikke hører hjemme. Mange virksomhedsejere frygter, at et Excel ark med navne, mailadresser eller købshistorik kopieres ind i et offentligt AI værktøj og dermed bryder GDPR. Den bekymring er reel og skal tages alvorligt. Svaret er ikke nødvendigvis at undgå AI eller gå tilbage til ren manuel indtastning, men at bygge en proces, hvor data ikke bliver sendt rundt tilfældigt, og hvor du ved, hvem der har adgang til hvad.

En B2B SaaS virksomhed stod med præcis den udfordring. Hver ny lead indeholdt personlige kontaktoplysninger og firmaoplysninger, som før blev behandlet manuelt i timevis. Ved at lade data køre gennem et automatiseret flow internt i stedet for at indsætte dem i et åbent AI interface, gik de fra timer til 2 minutter per lead til første svar. Mailen var stadig personlig, og researchen var stadig relevant. Forskellen var, at maskinen tog det tunge gentagelsesarbejde, mens medarbejderne beholdt vurderingen og kontakten til kunden.

Forskellen ligger i, hvordan du indsætter arket. Når du uploader et Excel dokument til en lukket automatisering med databehandleraftale på plads, forbliver oplysningerne i dit eget kontrollerede miljø. AI’en læser og beriger data uden at gemme dem til træning af generelle modeller. Det er en helt anden situation end at kopiere celler ind i en gratis chatbot på åben netadgang. Her mister du overblikket over, hvor informationen lander, og om den bruges til at forbedre fremtidige svar til andre brugere. En struktureret tilgang giver dig samtidig et dokumenterbart spor, som du kan præsentere ved en eventuel GDPR gennemgang.

Du behøver ikke at vælge mellem effektivitet og databeskyttelse. Start med ét afgrænset datasæt fra dit Excel ark. Test om output lever op til dine kvalitetskrav uden at data forlader dit miljø. Udbyg først, når du kan se, at både kvaliteten og sikkerheden holder. Automatisering handler ikke om at fjerne mennesket, men om at fjerne flaskehalsen, så du kan arbejde med kundedata og AI uden at miste overblikket over sikkerheden.

Forskellen på ChatGPT i browseren, API, Microsoft Copilot og en lukket løsning

De fire tilgange ligner hinanden på overfladen, men der er stor forskel på, hvor meget du kan styre, hvordan data behandles, og hvem der sætter rammerne.

Illustration af data for forskellen på ChatGPT i browseren, API, Microsoft Copilot og en lukket løsning

ChatGPT i browseren er den letteste vej ind. Du skriver en besked, får et svar, og kan fortsætte samtalen i et vindue. Det kræver ingen opsætning, men du har begrænset indflydelse på model, temperatur og kontekst. Alt indhold sendes til OpenAIs servere, og svarene leveres som de er. Det kan være fint til hurtige forsøg og individuelle opgaver, men er sværere at skalere eller bygge ind i faste processer.

Et API giver programmatisk adgang. Her bestemmer du selv præcis hvad der sendes til modellen, hvordan svaret struktureres, og hvordan det kædes sammen med andre systemer. Dataene forlader stadig virksomheden, men du styrer rækkefølgen, formateringen og logikken. Det kræver udvikling og vedligeholdelse, og det er her de fleste automatiseringer opstår.

Microsoft Copilot ligger et andet sted. Det er Microsofts egen implementering, som er indbygget direkte i Office 365, Teams og andre arbejdsværktøjer. Copilot trækker på din virksomheds eksisterende data i SharePoint og Outlook, men du har begrænset indflydelse på selve modellen. Det er en virksomhedsløsning, der prioriterer integration frem for dyb tilpasning.

En lukket løsning er noget helt tredje. Her bygger du et miljø, hvor data ikke nødvendigvis forlader virksomheden, og hvor hele arbejdsgangen tilpasses præcis dine processer. Det kan være et internt værktøj, der beriger leads, overvåger konkurrenter eller opdaterer produktdatabaser uden at sende følsomme oplysninger gennem eksterne grænseflader. En B2B SaaS virksomhed gik for eksempel fra manuel research til personlig mail på blot to minutter per nyt lead, fordi workflowet er bygget som en lukket kæde uden manuelle indtastninger i browseren.

Valget afhænger af, hvad du skal løse.

Browseren fungerer bedst til eksperimenter. Et API giver mening, når AI skal indgå i en fast automatisering. Copilot passer typisk til produktivitet i Microsofts økosystem, mens en lukket løsning er relevant, når data, workflow og konkurrencefordele skal blive inden for egne rammer. I den proces kan en strategisk gennemgang af jeres AI muligheder afklare, hvilken tilgang der matcher jeres systemer og risikoprofil.

Hold AI tekst faktuel, ikke rådgivende

Automatiseret tekst skal holde sig på den faktuelle side af linjen, så den aldrig fremstår som juridisk rådgivning. AI kan formulere sig overbevisende, men overbevisende er ikke det samme som korrekt. Når du lader algoritmer skrive tekster, mails eller svar til kunder, skal du sikre dig, at indholdet ikke træder ind på områder, hvor der kræves autoriseret rådgivning. Det gælder især regler om juridisk vejledning, skatteforhold, medicinsk information eller kontraktlige forpligtelser.

Hold automatiseret tekst faktuelt og beskrivende frem for rådgivende.

Skriv, hvad et produkt indeholder, ikke hvad det juridisk beskytter mod. Beskriv en ydelses omfang, ikke om den opfylder en specifik lovs krav. Den lille forskel i formulering skiller vejledning fra oplysning. Jo tættere teksten kommer på at anbefale en konkret handling, desto større er risikoen for at krydse grænsen for, hvad personer uden autorisation bør udtale sig om.

Overvej altid, hvem der modtager teksten.

I vores case om lead research og personlig mail til B2B SaaS så vi, at præcise mandater for tone og indhold er afgørende. En mail til et nyt lead skal naturligvis være professionel, men den må ikke antyde, at din løsning påtager sig et ansvar for at opfylde lovkrav, du ikke kan stå inde for. Klare rammer holder udsagnene på den rigtige side af grænsen mellem salg og rådgivning.

En kort disclaimer kan ofte fjerne noget af tvivlen. Det behøver ikke være en lang juridisk fodnote. Et simpelt præfiks om, at indholdet er automatisk genereret og ikke erstatter faglig rådgivning, kan være tilstrækkeligt i mange sammenhænge. Hvis du arbejder med persondata eller automatiserede beslutninger, er der yderligere lag at tage højde for. Vores indlæg om GDPR og AI automatisering går tættere på, hvad danske virksomheder skal vide om samspillet mellem databeskyttelse og automatiserede processer.

En praktisk tjekliste før du uploader noget

En kort tjekliste før upload gør det lettere at fange fejl, før kundedata lander i et AI værktøj.

Illustration af proces for en praktisk tjekliste før du uploader noget

Start med at tjekke rådata.

Kontroller hvilke felter arket indeholder. Navne, mailadresser, telefonnumre, købshistorik og fritekstfelter kan alle indeholde persondata, også når de ser harmløse ud. I vores produktimport til WooCommerce brugte vi samme princip: data blev renset og struktureret, før de kom videre i flowet.

Gennemgå faner, noter og skjulte kolonner. Et Excel ark kan nemt indeholde flere oplysninger end dem, du egentlig skal bruge.

Test med et lille udtræk først. Så kan du se, om svaret giver mening, uden at sende hele kundelisten afsted.

Gennemgå adgangen bagefter. Aftal hvem der må bruge flowet, og dokumenter hvilke data der bliver sendt til AI værktøjet.

AI processen bliver kun så sikker som de data, du sender ind. Ret fejl og fjern unødige oplysninger, før de bliver en del af et fast flow.

Sådan vurderer du om Excel arket kan sendes til en AI

Det er fristende at uploade et kundeark til et AI værktøj for hurtigt at få overblik eller skrive personlige mails. Før du gør det, skal du vide om din aftale med udbyderen dækker persondata.

Kort sagt bør du lade være, medmindre du har styr på aftalerne.

De fleste gratis chatværktøjer som ChatGPT og Claude fungerer ikke som databehandlere under GDPR i deres standardversioner. Det betyder at du ikke må indsætte personnumre, adresser eller købshistorik uden en specifik virksomhedsaftale. Betalte teamsplaner og API løsninger giver ofte mulighed for en databehandleraftale, men du skal aktivt aktivere den.

En tommelfingerregel: hvis du ikke ville maile arkene til en tilfældig ekstern konsulent, så upload dem heller ikke til en gratis AI.

Lynpadden har automatiseret lead research og CRM berigelse uden at sende følsomme data gennem ukontrollerede kanaler. I casen med lead research og personlig mail til B2B SaaS kom virksomheden fra research til første svar på to minutter per lead ved at holde processen i et lukket miljø. Tilsvarende sparede en B2B virksomhed otte minutter per lead i casen med CRM berigelse til B2B, fordi berigelsen kørte via sikrede servere frem for manuel kopiering til eksterne værktøjer.

Hvis du har brug for AI bearbejdning, så overvej om du kan anonymisere dataene først. Fjern navne, telefonnumre og præcise adresser hvis opgaven ikke kræver dem. Alternativt kan du køre modeller på egne servere hos Microsoft Azure eller lignende tjenester baseret i EU med en gyldig databehandleraftale.

Jeg ville starte med databehandleraftalen, før Excel arket overhovedet bliver åbnet i et AI værktøj.

Ofte stillede spørgsmål

Må jeg indsætte kundedata i en gratis AI tjeneste?

Nej, det bør du undgå. I gratis eller åbne AI tjenester har du sjældent den aftale og de indstillinger, der skal være på plads, før kundedata er forsvarlige at sende ind. Nogle tjenester kan også bruge input til at forbedre modeller, afhængigt af produkt og indstillinger. Brug i stedet en virksomhedsløsning med en databehandleraftale.

Hvad sker der med mine data, når jeg deler et Excel ark med AI?

Dataene sendes til AI udbyderens servere, hvor de behandles og kan blive midlertidigt lagret. Bruger du en standardversion uden særlige databeskyttelsesforanstaltninger, kan oplysningerne i nogle tilfælde indgå i fremtidig modeltræning. Så bliver det svært at dokumentere, at du behandler persondata ansvarligt og gennemsigtigt.

Kan jeg bruge AI til at analysere kundedata, hvis jeg anonymiserer dem først?

Ja, anonymisering fjerner den direkte forbindelse til personer. Hvis dataene reelt ikke kan føres tilbage til enkeltpersoner, er de normalt ikke persondata efter GDPR. Vær dog grundig, da pseudonymisering ikke er nok. Kombinationer af data som postnummer og fødselsdato kan stadig identificere personer.

Hvilke konsekvenser kan der være ved at dele kundedata med AI i strid med GDPR?

Datatilsynet kan give bøder på op til 4 % af din globale omsætning eller 150 mio. kr. (20 mio. EUR). For en SMV kan det også betyde alvorlig skade på omdømmet, mistet kundetillid og i grove tilfælde erstatningskrav fra de registrerede. Hvis der er tale om et brud på persondatasikkerheden, skal det som udgangspunkt anmeldes til Datatilsynet hurtigt, medmindre det er usandsynligt, at bruddet medfører en risiko for personers rettigheder.

Hvordan kan jeg sikkert bruge AI i mit arbejde med kundedata?

Vælg en AI løsning med en formel databehandleraftale og databeskyttelse som standard. Anonymiser følsomme data grundigt inden upload, begræns adgangen til få medarbejdere, og dokumenter hvilke data du behandler. Lav interne retningslinjer, så alle i virksomheden ved, hvornår AI må bruges, og hvornår den ikke må.

Gælder GDPR reglerne også, hvis jeg kun bruger AI til interne noter uden kundedata?

Nej, hvis der ikke er personoplysninger involveret, gælder GDPR ikke. Vær dog opmærksom på, at interne noter kan indeholde indirekte persondata, for eksempel medarbejdernavne eller telefonnumre. Vurder altid indholdet grundigt, før du indsætter det i en ekstern AI tjeneste uden databehandleraftale.

Azad Habib
Azad Habib Lynpadden
Skal jeg ringe dig op? 1-24 timers responstid · Ingen forpligtelser

Mere fra bloggen

Fire artikler der ligger tæt på det du lige har læst.