AI och GDPR: Vad du måste veta

GDPR i korthet

Innan vi dyker in i AI-specifika frågor, låt oss repetera grunderna i GDPR:

• Personuppgifter: All information som kan identifiera en person (namn, e-post, IP-adress, etc.)
• Behandling: Allt du gör med personuppgifter (samla, lagra, analysera, dela)
• Laglig grund: Du måste ha en giltig anledning att behandla data (samtycke, avtal, berättigat intresse, etc.)
• Minimering: Samla bara den data du faktiskt behöver
• Ändamålsbegränsning: Använd data bara för det syfte den samlades in för

Tre centrala frågor för AI och GDPR

1. Vart skickas datan?

När du använder ChatGPT, Claude eller Gemini skickas din input till leverantörens servrar – oftast i USA.

Varför det spelar roll:

• Överföring av personuppgifter till tredjeland kräver särskilda skyddsåtgärder
• USA har inte "adekvat skyddsnivå" enligt EU-rätt (även om ny lagstiftning förbättrat situationen)
• Du måste säkerställa att leverantören har lämpliga garantier

Vad du kan göra:

• Använd företagsversioner av AI-verktyg som har EU-US Data Privacy Framework-certifiering
• Kontrollera att standardavtalsklausuler (SCC) finns på plats
• Överväg europeiska alternativ där det finns (t.ex. Mistral för vissa användningsfall)

2. Används datan för träning?

Många AI-modeller tränas på användardata. Det skapar GDPR-problem.

Varför det är problematiskt:

• Träning av AI är en ny behandling som kräver egen laglig grund
• Du förlorar kontroll över personuppgifter som "bakats in" i modellen
• Rätten att bli raderad blir svår att tillgodose

Så löser du det:

• Använd enterprise/företagsversioner: De flesta leverantörer garanterar att företagsdata inte används för träning
• Aktivera opt-out: I gratisversioner kan du ofta stänga av träning i inställningar
• Läs villkoren: Kontrollera specifikt vad som gäller för din plan

3. Vilken data matas in?

Det här är ofta den största risken – och den enklaste att kontrollera.

Data du INTE bör mata in i externa AI-verktyg:

• Personnummer
• Fullständiga kundregister med kontaktuppgifter
• Hälsoinformation
• Finansiell information kopplad till identifierbara personer
• Känsliga personuppgifter (religion, politisk åsikt, sexuell läggning, etc.)

Data som oftast är okej:

• Anonymiserad information (utan möjlighet att identifiera individer)
• Aggregerad statistik
• Allmän affärsinformation
• Publicerat material

Praktisk checklista för GDPR-compliant AI-användning

Innan ni börjar använda ett AI-verktyg

• ☐ Granska leverantörens DPA (Data Processing Agreement)
• ☐ Kontrollera var data lagras (EU vs tredjeland)
• ☐ Verifiera att data inte används för träning (för er plan)
• ☐ Säkerställ att lämpliga skyddsåtgärder finns för tredjelandsöverföring
• ☐ Uppdatera er behandlingsförteckning med AI-verktyget

När ni använder AI-verktyget

• ☐ Utbilda personal i vad som får och inte får matas in
• ☐ Skapa tydliga riktlinjer för AI-användning
• ☐ Anonymisera/pseudonymisera data innan den matas in
• ☐ Logga vilken typ av data som behandlas i AI-verktyget

Löpande

• ☐ Granska användningen regelbundet
• ☐ Uppdatera policyer när nya verktyg läggs till
• ☐ Följ upp incidenter och nära-incidenter

Vad säger Integritetsskyddsmyndigheten (IMY)?

IMY har ännu inte utfärdat specifik vägledning för AI-assistenter typ ChatGPT. Men deras allmänna principer gäller:

• Personuppgiftsansvarig ansvar gäller även när AI-verktyg används
• Tredjelandsöverföring måste ha stöd i GDPR kapitel 5
• Ändamålsprincipen gäller – du kan inte använda kunddata för nya syften utan stöd

IMY har dock uttalat sig om AI Act och dess samspel med GDPR, och betonat vikten av transparency och mänsklig översyn.

AI Act – den nya EU-förordningen

EU:s AI-förordning (AI Act) är nu i kraft och påverkar hur AI får användas:

Vad det innebär för företag

• Högrisksystem: AI för rekrytering, kreditbedömning, etc. får extra krav
• Transparenskrav: Användare ska veta när de interagerar med AI
• Förbjudna praktiker: Viss AI-användning är totalförbjuden (t.ex. social scoring)

För de flesta företag som använder ChatGPT/Claude för kontorsarbete är kraven milda. Men om ni använder AI för beslut som påverkar människor direkt (rekrytering, kundkategorisering, etc.) – läs på om högriskkraven.

Praktiska tips för olika användningsfall

Kundservice med AI

• Informera kunder att de chattar med AI (transparens)
• Mata inte in hela kundhistorik – sammanfatta istället
• Undvik att spara konversationer längre än nödvändigt

Dokumentanalys

• Anonymisera personnamn innan du laddar upp dokument
• Använd pseudonymer: "Kund A" istället för riktiga namn
• Radera känsliga detaljer som personnummer, adresser

Rekrytering

• Använd AI för jobbannonsformulering, inte kandidatscreening (högriskområde)
• Om AI används för urval: säkerställ mänsklig översyn av beslut
• Dokumentera hur AI använts i processen

Marknadsföring

• Generera content utan att mata in kunddata
• Undvik att ladda upp kundlistor för "personalisering"
• Aggregerad data (t.ex. "vår målgrupp är 25-40 år") är oftast okej

Vanliga missuppfattningar

"Vi har samtycke, så vi kan mata in vad som helst"

Fel. Samtycke gäller för ett specifikt ändamål. Att dela kunddata med en AI-leverantör är sannolikt ett nytt ändamål som kräver nytt samtycke eller annan laglig grund.

"Anonymiserad data är alltid okej"

Rätt i princip, men "anonymiserad" har en specifik juridisk betydelse. Om data kan återidentifieras (t.ex. genom att kombinera med annan information) är den pseudonymiserad, inte anonymiserad – och GDPR gäller fortfarande.

"ChatGPT sparar inte data"

Fel. ChatGPT sparar konversationer som standard. I gratisversionen kan de användas för träning. Företagsversioner har andra villkor – läs dem.

Rekommenderad approach

1. Start med företagsversioner – De har bättre dataskyddsgarantier
2. Skriv en intern AI-policy – Tydliggör vad som får och inte får göras
3. Utbilda personalen – De flesta risker kommer från okunskap, inte illvilja
4. Anonymisera som default – Ta bort personuppgifter innan AI-behandling
5. Dokumentera – Uppdatera behandlingsförteckningen, spara DPA:er