← Alle memoer
Memo 04 · Dataresidens

Hvor sendes dine data hen?

AI-værktøjer, EU-dataresidens og GDPR i et klart sprog.

København · 16. maj 2026

Den korte version

Hver gang du indsætter et dokument i ChatGPT, hver gang Copilot foreslår tekst i din Outlook, hver gang dit team bruger et AI-værktøj til at lave resuméer, forlader disse data din computer. Hvor de havner, betyder noget. Under GDPR kan det betyde rigtig meget.

Dette memo forklarer i et klart sprog: hvad dataresidens faktisk er, hvor dine data havner, når du bruger de mest udbredte AI-værktøjer, hvilke EU-regler der gælder, hvordan god praksis ser ud for en lille organisation, og hvad du gør, når et AI-værktøj, du faktisk har brug for, opbevarer data uden for EU.

Hvis du driver en skole, en klinik, en almennyttig organisation, et offentligt kontor, et advokatfirma eller en hvilken som helst organisation, der behandler personoplysninger i Europa, gælder dette dig. Læs det.

Dette memo er en forklaring i et klart sprog. Det er ikke juridisk rådgivning. For forpligtelser, der er specifikke for din organisation, bør du rådføre dig med en kvalificeret advokat eller din databeskyttelsesrådgiver.

Hvorfor det betyder noget nu

Tre ting er sket inden for de seneste to år.

For det første blev AI-værktøjer til almindelig kontorsoftware. ChatGPT, Microsoft Copilot, Google Gemini, Anthropic Claude og snesevis af mindre værktøjer er nu integreret i det daglige arbejde. Mange af dem sender som standard data ud af EU.

For det andet har EU's tilsynsmyndigheder gjort det klart, at brug af AI ikke får en fritagelse under databeskyttelsesforordningen. Det italienske datatilsyn, det franske CNIL, de tyske datatilsyn og Det Europæiske Databeskyttelsesråd har alle udsendt udtalelser eller truffet håndhævelsesafgørelser om generativ AI, træningsdata og overførsler på tværs af grænser.

For det tredje trådte EU's AI-forordning i kraft. Artikel 4 kræver, at organisationer, der bruger AI, sikrer, at de personer, der anvender den, har tilstrækkelig AI-dannelse, herunder at de ved, hvad værktøjet gør med deres data. (Se Memo 02.)

Kombinationen betyder noget. Hvis dit team indsætter klientdata i et værktøj, du ikke har noget retsgrundlag for at bruge, har du et GDPR-problem, et Artikel 4-problem og et problem med faglig adfærd. De fleste organisationer har ikke standset op for at tjekke det.

Hvad "dataresidens" faktisk betyder

Dataresidens handler om, hvor dine data geografisk opbevares og behandles. Det er ikke en enkelt regel. Det er svaret på fire praktiske spørgsmål.

  1. Hvor opbevares dataene fysisk? I hvilket datacenter, i hvilket land?
  2. Hvor behandles de? Hvor sker den faktiske beregning?
  3. Hvem har adgang til dem? Hvilke af leverandørens medarbejdere, i hvilken jurisdiktion, under hvilke love?
  4. Hvor ligger logfiler og metadata? Disse befinder sig ofte i en anden region end selve dataene.

Et værktøj kan være "EU-hostet" til opbevaring og alligevel behandle data i USA. Et værktøj kan holde hovedindholdet i Europa og sende diagnostiske logfiler til en global sky. Et værktøj kan love "EU-dataresidens", mens det udliciterer dele af sin drift til leverandører uden for EU. Marketingmærkatet er ikke nok. Læs detaljerne.

Et værktøj kan være "EU-hostet" og alligevel sende dine data til USA. Marketingmærkatet er ikke nok.

Den juridiske ramme, i et klart sprog

Under databeskyttelsesforordningen (GDPR) må personoplysninger om personer i EU kun flyttes uden for EU under bestemte betingelser. Forordningen kalder dette "internationale overførsler" og behandler det i kapitel V (Artikel 44 til 50).

Der findes tre primære lovlige grundlag for at overføre personoplysninger uden for EU/EØS.

  • Tilstrækkelighedsafgørelse. Europa-Kommissionen har formelt vurderet, at modtagerlandet yder en "i det væsentlige tilsvarende" databeskyttelse. Pr. midten af 2026 findes der tilstrækkelighedsafgørelser for Andorra, Argentina, Canada (kommercielle organisationer), Færøerne, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Republikken Korea, Schweiz, Storbritannien, Uruguay og USA under EU-US Data Privacy Framework. Tilstrækkeligheden for USA er betinget af, at modtagerorganisationen er selvcertificeret under denne ramme.
  • Fornødne garantier. De mest udbredte i praksis er Standardkontraktbestemmelser (SCC'er) og Bindende Virksomhedsregler (BCR'er). Det er kontraktlige mekanismer, der forpligter modtagerorganisationen til en beskyttelse på niveau med GDPR.
  • Undtagelser. Snævre undtagelser, såsom udtrykkeligt samtykke til en bestemt overførsel, eller hvor overførslen er reelt nødvendig for at opfylde en kontrakt med den registrerede. Disse er ikke en generel rute til rutinemæssige overførsler.

Udgangspunktet er, at personoplysninger bør forblive i EU/EØS, eller kun flyttes til et land med en tilstrækkelighedsafgørelse, eller kun flyttes med de fornødne garantier på plads. Bevisbyrden ligger hos den organisation, der sender dataene, ikke hos den person, dataene tilhører.

EU's AI-forordning ændrer ikke disse regler. Den lægger sig oven på dem. Når du bruger AI-værktøjer, der behandler personoplysninger, gælder både GDPR og AI-forordningen.

Hvor de store AI-værktøjer faktisk sender dine data hen

Det følgende er det generelle billede for de mest udbredte AI-værktøjer pr. midten af 2026. Leverandørernes politikker ændrer sig. Verificér altid mod den aktuelle databehandleraftale eller trust-center-side for det værktøj, du faktisk bruger.

ChatGPT (gratis og Plus). Samtaler sendes til OpenAI's infrastruktur, primært i USA. På gratis- og Plus-niveauet kan OpenAI opbevare samtaler og, afhængigt af brugerens indstillinger, bruge dem til at forbedre sine modeller. OpenAI er selvcertificeret under EU-US Data Privacy Framework, men kontrolfunktionerne på erhvervsniveau (ingen træning, EU-dataresidens, revisionslogfiler, kontraktlig databehandleraftale) er ikke tilgængelige på disse forbrugerniveauer.

ChatGPT Team og Enterprise. OpenAI tilbyder EU-dataresidens for disse niveauer. Samtaledata bruges som standard ikke til at træne modeller. En databehandleraftale er tilgængelig. For de fleste danske organisationer, der vil bruge ChatGPT lovligt på reelle arbejdsdata, er dette det laveste niveau, der bør overvejes.

OpenAI API. Data bruges som standard ikke til at træne modeller. Kunder kan anmode om nul dataopbevaring for kvalificerede endpoints. Regionsvalg er tilgængeligt for visse konfigurationer. Egnet til organisationer med teknisk kapacitet til at integrere API'et direkte.

Microsoft 365 Copilot. Data behandles inden for grænsen af din Microsoft 365-tenant. For EU-tenants betyder dette typisk EU-dataresidens, selvom den præcise adfærd afhænger af din Microsoft-licens, din tenant-konfiguration og den specifikke Copilot-funktion. Din Microsoft-administrator kan verificere den aktuelle indstilling i Microsoft 365-administrationscentret.

Azure OpenAI Service. Du vælger regionen. EU-regioner som West Europe, Sweden Central og France Central holder data inden for EU. Microsoft tilbyder stærkere kontraktlige garantier end det offentlige ChatGPT-forbrugerprodukt. Dette er ofte den reneste kommercielle rute til en amerikansk-udviklet model med EU-residens.

Anthropic Claude (claude.ai, forbruger). Samtaler behandles på Anthropics primære infrastruktur, der er placeret i USA. Anthropic er selvcertificeret under EU-US Data Privacy Framework. Enterprise- og API-kunder kan forhandle vilkårene for databehandling.

Anthropic Claude via Amazon Bedrock eller Google Cloud Vertex AI. Claude er tilgængelig gennem de store cloududbydere, og du kan vælge en EU-region til behandlingen. For organisationer, der allerede bruger AWS eller Google Cloud, er dette ofte den reneste vej til Claude med EU-residens.

Google Gemini (forbruger). Data flyder ind i Googles globale infrastruktur, og håndteringen er underlagt Googles generelle privatlivspraksis for forbrugere. Egnet til personlig brug, men generelt ikke egnet til arbejdsdata, der indeholder personoplysninger om andre.

Google Workspace Gemini. Databehandlingen følger din Workspace-dataregion og dine databehandlingsindstillinger. Workspace Business- og Enterprise-kunder kan konfigurere EU-dataregioner.

Vertex AI (Gemini, Gemma, Claude, partnermodeller). Region kan vælges, herunder EU-regioner. Giver de kontraktlige og driftsmæssige kontroller, som de fleste virksomheder har brug for.

Oversættelsesværktøjer. DeepL (tysk virksomhed) tilbyder et Pro-niveau med strenge garantier mod opbevaring og EU-hosting. Gratisniveauerne hos enhver oversættelsestjeneste (DeepL Free, Google Translate, Microsoft Translator) opbevarer typisk data og kan bruge dem til produktforbedring. Ikke egnet til fortroligt eller personligt indhold.

Open source-modeller, du selv hoster (Mistral, Llama, Qwen, Whisper og lignende). Dataene havner der, hvor du placerer serveren. Selvhostet på EU-infrastruktur er den reneste vej til reel dataresidens, med den afvejning, at det kræver teknisk kapacitet at sætte op og vedligeholde.

Mindre AI-produktivitetsværktøjer. Notatværktøjer, transskriptionsværktøjer, AI-mødeplanlæggere, AI-baseret berigelse af CRM-data. Meget varierende. Mange små AI-startups bruger OpenAI, Anthropic eller Google under motorhjelmen og videresender dine data til disse leverandører. Nogle har slet ingen databehandleraftale. Tjek altid efter, og spørg leverandøren direkte, hvis dokumentationen er uklar.

Denne liste er et øjebliksbillede. Leverandørernes politikker, regionale muligheder og certificeringer ændrer sig løbende. Behandl enhver konkret påstand ovenfor som et udgangspunkt for verifikation, ikke som et endeligt svar.

Hvor det går galt

Fire mønstre, vi ser igen og igen i små organisationer.

1. Gratisniveau i drift

En medarbejder begynder at eksperimentere med gratis ChatGPT, finder det nyttigt og begynder stilfærdigt at bruge det på reelt arbejde, herunder dokumenter med personoplysninger. Organisationen har ingen viden om det, ingen kontrakt, intet revisionsspor og intet retsgrundlag for overførslen. Dette er den enkeltvis mest udbredte GDPR-eksponering i små organisationer.

2. EU-residens udadtil, amerikanske logfiler bagved

En leverandør markedsfører "EU-dataresidens", men sender diagnostiske logfiler, fejlrapporter eller telemetri til sin globale infrastruktur. Hoveddataene ligger i Frankfurt, logfilerne ligger i Virginia. Overførslen sker stadig, ofte med metadata, der indeholder personoplysninger.

3. Den integration, ingen kortlagde

Dit CRM-system har en AI-funktion. Din e-mail har en skriveassistent. Dit mødeværktøj har et AI-notatværktøj. Hver enkelt blev godkendt for sig, af en forskellig person, på et forskelligt tidspunkt. Ingen kortlagde det samlede billede, så ingen lagde mærke til, at fortrolige klientmøder ender med at blive resumeret på tre forskellige amerikanske skyer.

4. "Det her er bare til mig"-værktøjet

En ledende person bruger et personligt abonnement på et AI-forbrugerværktøj til at lave resuméer af bestyrelsespapirer, herunder personoplysninger om medarbejdere, donorer eller brugere. Organisationen er stadig dataansvarlig for de personoplysninger. Et personligt abonnement er ikke et forsvar.

Hvis noget af dette lyder bekendt, har du et problem med dataresidens, der er værd at tage alvorligt.

Hvordan god praksis ser ud

En lille organisation kan ikke have en dataansvarlig direktør og en konsekvensanalyse for overførsler på halvtreds sider for hvert eneste værktøj. Det kræver GDPR heller ikke. Den kræver rimelig, dokumenteret omhu, der står i forhold til dataene og risikoen.

Seks konkrete trin, der dækker de fleste små organisationer.

  1. Lav en oversigt. Notér hvert eneste AI-værktøj, dit team rent faktisk bruger. Tag også dem med, der er indlejret i software, du allerede betaler for (Microsoft 365, Google Workspace, dit CRM-system, din regnskabsplatform, dit ansøgersystem).
  2. Klassificér dataene. For hvert værktøj noterer du, hvilken slags data der lægges ind i det. Personoplysninger om medarbejdere? Personoplysninger om klienter eller brugere? Helbredsoplysninger? Oplysninger om børn? Økonomiske oplysninger? Fortrolige forretningsoplysninger? Eller kun offentlige, ikke-personlige oplysninger? Dette afgør risikoen.
  3. Find placeringen. For hvert værktøj, der behandler personoplysninger, finder du ud af, hvor dataene behandles. Tjek leverandørens databehandleraftale, liste over underdatabehandlere eller trust-center-side. Hvor svaret er uklart, spørger du leverandøren skriftligt og gemmer svaret.
  4. Træf en beslutning. For hvert værktøj afgør du, om den nuværende opsætning er acceptabel. Spørgsmålet er ikke, om værktøjet siger "EU-hostet" i markedsføringsmateriale. Spørgsmålet er, om din konkrete brug, med dine konkrete data, opfylder GDPR.
  5. Skift eller dokumentér. Hvis et værktøj ikke er acceptabelt, skifter du til et, der er. Hvis det er acceptabelt, skriver du en kort note (et afsnit), der forklarer, hvorfor overførslen er lovlig, hvilken mekanisme der gælder (tilstrækkelighedsafgørelse, SCC'er osv.), og gemmer den.
  6. Fortæl det til dit team. En intern politik på én side, der angiver hvilke værktøjer der er godkendt, hvilke slags data der må lægges ind i dem, og hvad der ikke må. Dette er også en del af Artikel 4-overholdelsen under EU's AI-forordning.

Gjort i god tro med dokumentation, du kan fremvise, er dette rimeligt. Gjort uden oversigt og uden politik er det ikke.

Du behøver ikke en complianceansvarlig for at løse dette. Du har brug for en times opmærksomhed, en oversigt på én side og en politik på én side.

Forbindelsen til Artikel 4

Memo 02 forklarede Artikel 4 i EU's AI-forordning: organisationer, der bruger AI, skal sikre, at deres medarbejdere har tilstrækkelig AI-dannelse. At vide, hvor dine data havner, er en del af den dannelse.

En medarbejder med AI-dannelse kan besvare tre spørgsmål om ethvert værktøj, vedkommende bruger på arbejdet:

  • Hvilke AI-værktøjer må jeg bruge til hvilke slags arbejde?
  • Hvilken slags data må jeg lægge ind i hvert værktøj, og hvad må jeg ikke?
  • Hvor havner dataene, når jeg bruger værktøjet?

Hvis en væsentlig del af dit team ikke kan besvare de tre spørgsmål, er I endnu ikke i overensstemmelse med Artikel 4 på datadimensionen. Løsningen er ikke svær. Det er mest et spørgsmål om at gøre det.

En kort, praktisk tjekliste

Til den, der gerne vil vide, hvad der skal gøres i denne uge.

  1. Notér de AI-værktøjer, dit team rent faktisk bruger.
  2. For hvert af dem noterer du, hvilke data der lægges ind.
  3. For hvert af dem finder du ud af, hvor dataene behandles.
  4. Hvor der indgår personoplysninger, tjekker du retsgrundlaget for enhver overførsel uden for EU.
  5. Skriv en intern politik på én side, og orientér teamet.
  6. Gennemgå det hver sjette måned.

Hvad Foreningen vil gøre

Dataresidens er en del af hver eneste gennemgang af et AI-værktøj, som AI Literacy Foundation foretager. Når vi vurderer et værktøj for en dansk organisation, dokumenterer vi, hvor dataene havner, hvilket retsgrundlag der gælder, hvordan residens-situationen er, og hvilke kendte risici der er. Gennemgangen er gratis ved adgangspunktet.

Vi inkluderer spørgsmål om dataresidens i vores undervisning i Artikel 4-overholdelse, så de personer, der gennemfører et hold, kan besvare de tre kernespørgsmål for deres egen organisation: hvilke AI-værktøjer der er i brug, hvilke data der lægges ind i dem, og hvor dataene behandles.

Vi sælger ikke AI-værktøjer. Vi har ingen foretrukken leverandør. Vi hjælper folk med at træffe informerede beslutninger.

Hvis du er usikker på, hvor du skal begynde, så skriv til os.

Afslutning

Dataresidens er et af de mest konkrete skæringspunkter mellem AI og loven. Det er også et af de mest oversete. De fleste små organisationer, der bruger AI i 2026, har ingen oversigt, ingen politik og intet klart svar på spørgsmålet "hvor havner vores data egentlig".

Den juridiske eksponering er reel. Løsningen er rimelig. Forskellen mellem en organisation, der overholder reglerne, og en, der ikke gør, handler sjældent om raffinement. Den handler som regel om opmærksomhed.

Det er det, denne forening er til for.

Ali Al Mokdad

Stifter, AI Literacy Foundation

hello@ailiteracyfoundation.eu

ailiteracyfoundation.eu


Dette memo er en forklaring i et klart sprog. Det er ikke juridisk rådgivning. Leverandørernes politikker, regionale muligheder og tilstrækkelighedsafgørelser ændrer sig løbende. For forpligtelser, der er specifikke for din organisation, bør du rådføre dig med en kvalificeret advokat eller din databeskyttelsesrådgiver og verificere enhver konkret leverandørpåstand ovenfor mod den aktuelle dokumentation for det værktøj, du faktisk bruger.