ChatGPT är inte ett GDPR-problem i sig. Det är ett GDPR-problem så fort ni klistrar in namn på en person, ett mejl, ett ärende, ett HR-underlag. Det händer hela tiden, utan att någon tänker på det.
Problemet är inte att anställda använder AI. Det är att gränsen för när det blir ett regelbrott är låg, och att de flesta organisationer inte vet var den gränsen går.
Varför privata konton är riskabla
GDPR artikel 28 kräver ett bindande avtal när en tredje part behandlar personuppgifter på er organisations vägnar. Artikel 28(3) anger:
“Processing by a processor shall be governed by a contract or other legal act under Union or Member State law, that is binding on the processor with regard to the controller and that sets out the subject-matter and duration of the processing, the nature and purpose of the processing, the type of personal data and categories of data subjects and the obligations and rights of the controller.”
Med ett privat AI-konto saknas det avtalet. Er anställde väljer leverantören på egen hand. Ni har inget avtal med den leverantören. Ingen kontroll. Ingen insyn.
Om personuppgifter skickas in i den sessionen har ni ett problem. Och det är lätt hänt: namnet på kontaktpersonen hos en kund i ett mejlutkast, ett ärende med personnummer, ett HR-underlag ni vill sammanfatta. Det behöver inte vara avsiktligt för att vara ett regelbrott.
Det handlar om kontot, inte verktyget
ChatGPT, Claude, Gemini: verktygen i sig är inte problemet. Det är kontot.
Med ett privat konto gäller konsumentvillkoren. Anthropics integritetspolicy är tydlig: den gäller inte när Anthropic behandlar data på uppdrag av företagskunder med Claude-företagskonton. För privata konton är det Anthropic som är personuppgiftsansvarig. Inte er.
Det innebär i praktiken:
- Ni kan inte begära ut vad som lagrats
- Ni kan inte kräva radering
- Ni vet inte om datan delas vidare eller hur
- Ni vet inte vilket land servern faktiskt står i
Ingen på er organisation kan granska den sessionen. Ni är personuppgiftsansvariga för datan, men ni har noll kontroll över hur den hanteras.
Privata konton: gör regeln enkel
Problemet med grånyanser är att de kräver bedömning i stunden. Det fungerar inte när folk är stressade, söker en snabb lösning, eller helt enkelt inte vet var gränsen går.
Därför är en enkel regel bättre än en nyanserad: jobbdata behandlas inte i privata AI-konton.
Inte för att all AI-användning i ett privat konto automatiskt är ett brott — utan för att det räcker med ett enda mejl med ett kundnamn för att det ska bli det. Regeln ska vara enkel nog att följa utan att tänka.
Anställda som använder privata konton idag gör det inte av illvilja. De saknar ett alternativ. Ge dem ett.
Företagskonton löser halva problemet
Med ett företagskonto (Claude Team, Claude Enterprise, ChatGPT Team eller likvärdigt) finns ett personuppgiftsbiträdesavtal. Ni bestämmer vad som får lagras, ni har rätt att begära radering, ni vet i vilket land data behandlas.
Det är nödvändigt. Men det är inte tillräckligt.
Artikel 5(1)(c) i GDPR (uppgiftsminimering) gäller oavsett vilket avtal ni har:
“adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (‘data minimisation’)”
Ni behöver ställa er frågan: behöver vi skicka personuppgifterna alls?
I många fall är svaret nej. Ni kan anonymisera, pseudonymisera eller referera till ärendet utan att klistra in namn, personnummer och kontaktuppgifter. Det minskar risken, det minskar exponeringen, och det är god praxis oavsett vilket avtal ni har med leverantören.
Vad ni faktiskt behöver göra
Steg 1: Förbjud privata konton, utan undantag. Sätt det i en policy. Kommunicera det. Ge tydliga exempel på vad som räknas som jobbdata. Inte “känslig data”: jobbdata. Mejl, ärenden, avtal, HR-information, kunduppgifter.
Steg 2: Ge folk ett företagskonto. Det behöver inte vara alla. Identifiera de roller som regelbundet hanterar personuppgifter i AI-verktygen och börja där. En policy utan alternativ är en deklaration, inte styrning.
Steg 3: Lär ut uppgiftsminimering. Även med företagskonto: träna folk på att inte klistra in mer än nödvändigt. “Beskriv kundens situation” är inte samma sak som “klistra in ärendet med namn och personnummer.”
Steg 4: Inventera vad som används. Ni kan inte hantera ett problem ni inte ser. Fråga chefer i varje avdelning. En kort inventering räcker.
Policyer utan alternativ löser ingenting
Det är frestande att skicka ut ett mejl och anse frågan avklarad. Det fungerar inte om det privata kontot är det enda tillgängliga verktyget.
Ge folk ett alternativ. Förklara varför regeln finns. Gör det enkelt att göra rätt.
GDPR artikel 28 och artikel 5 finns där för att skydda de personer vars data ni hanterar. Privata AI-konton med personuppgifter bryter mot artikel 28. Och även med ett avtal på plats kvarstår kravet på minimering.
Vill ni strukturera en AI-policy och hantera vilka verktyg som används i er organisation? Boka en genomgång.
