Datatilsynet i Danmark fraråder brug af Microsofts Copilot AI på grund af uigennemsigtig databehandling

Datatilsynet fraråder brug af Microsofts AI, men eneste alternativ er OpenAI hvor man har lignede problem.

Microsoft AI der i stor grad anvendes alene af advokater og revisorer er i høj grad usikker fremover i EU. I flere andre lande er der både planer om at inkluderer AI men med bekymring, men også om at ekskluderer Microsoft AI ved lande og/eller EU-direktiv.

Vi bruger selv Microsoft og OpenAI produkter og har en 3. validator Gemini, men langt de fleste advokater og revisorer har ikke en validerings API. Men fordi vi gør dette bryder vi stadig loven. Alle data på en klient må derfor ikke bruges. Vi fortsætter dog denne brug fordi det sparer tid og dermed penge for vores kunder, indtil Datatilsynet siger stop.

Det betyder, at de kan fejlrådgive klienter og virksomheder. Det er dermed usikkert om man kan stole på disse advokatfirmaer. Dertil kommer at det er en skødesløs omgang GDPR-overholdelse, fordi mange AI programmer ikke evner at fortælle hvad der sker med klienters og data fra advokater og revisorer f.eks. der på den måde er med til at bryde loven om datasikkerhed og GDPR.

Brugen af kunstig intelligens rejser alvorlige juridiske spørgsmål, når persondata høstes og behandles uden gennemsigtighed. Datatilsynet har nu truffet en markant beslutning og advarer direkte mod anvendelsen af Microsofts AI-produkt, Copilot.

Manglende gennemsigtighed i databehandlingen

I en juridisk vurdering af Microsofts Copilot har Datatilsynet konkluderet, at det er nærmest umuligt at kortlægge, hvordan virksomheden bruger de persondata, den indsamler gennem AI-løsningen. På baggrund af dette har tilsynet valgt at afskære Copilot fra deres egen infrastruktur. Samtidig anbefales det, at andre offentlige myndigheder og private virksomheder afholder sig fra at tage produktet i brug.

“Vi kan ikke verificere, hvordan data bliver behandlet, hvilket gør det umuligt at vurdere, om Copilot overholder GDPR,”

udtaler Allan Frank, jurist og IT-sikkerhedsspecialist i Datatilsynet

Offentlige myndigheder og advokatfirmaers anvendelse af AI

Microsofts AI-løsninger er allerede udbredt blandt offentlige myndigheder og private virksomheder. Ifølge Version2 har en række danske offentlige institutioner givet medarbejderne mulighed for at bruge Copilot, på trods af de uklarheder, Datatilsynet påpeger.

Også i advokatbranchen har AI-teknologi vundet indpas. Flere advokatfirmaer, herunder det danske Njord Law Firm, har investeret massivt i AI og integreret Copilot i deres arbejdsprocesser.

Udover at der er problemer med sandhedsværdien i blandt andet Copilot og ChatGPT, kan man ikke tillade sig at benytte systemer uden validering. I dag bruger ca. 30% af alle advokater og revisorer AI. Der findes utallige eksempler på fejl og opdigtede fakta eller lovhjemmel.

I Norge har den AI-drevne tjeneste været genstand for juridisk debat, da den angiveligt er eller var på vej ind i de norske domstole. Årsagen er den samme forklaring. Der er ikke en troværdighed.

Ifølge AdvokatWatch og skaber dette betydelige juridiske udfordringer, da AI-systemets manglende gennemsigtighed kolliderer med GDPR-kravene til behandling af personoplysninger.

Vi har utallige eksempler i vores daglige brug på at der opdigtes formuleringer, lovhjemmel og at der tillige udgives forkerte kendelser og afgørelser.

Dette er især tilfælde indenfor lovgivning, familieretssager, skattesager, skatteklager og f.eks. myndighedsklager hvor der direkte skrives helt forkert. Selv retsinformation citeres med forkerte ugyldige versioner og fremhævelser af lovhjemmel, der ikke har med sagen at gøre.

Version2 som er et medie under Ingeniøren, siger klart at det frarådes at bruge det.

Datatilsynets vurdering og internationale paralleller

Datatilsynets beslutning flugter med tidligere internationale retssager og afgørelser, der har haft afgørende betydning for GDPR-overholdelse. Et af de mest kendte eksempler er sagerne anlagt af den østrigske jurist og privatlivsaktivist Max Schrems mod Facebook og overførslen af persondata mellem EU og USA.

Schrems II-afgørelsen fra EU-Domstolen i 2020 fastslog, at Privacy Shield-aftalen ikke gav tilstrækkelig beskyttelse af europæiske persondata, hvilket resulterede i betydelige restriktioner for dataoverførsler til USA.

Schrems-sagerne viser, at manglende gennemsigtighed i datahåndtering kan medføre omfattende juridiske konsekvenser. Microsofts AI-teknologi kan potentielt være i strid med GDPR, hvis det ikke er muligt at fastslå, hvordan og hvor persondata bliver behandlet.

Kritiske sikkerhedsproblemer påvist i Norge

Det norske datatilsyn har ligeledes undersøgt Copilot og fundet flere alvorlige sikkerhedsproblemer. Ifølge Allan Frank er vurderingen i Danmark på linje med nordmændenes:

“Nordmændene kan ikke, som Copilot er konstrueret på nuværende tidspunkt og med den beskrivelsesgrad, Microsoft har lavet, se, hvordan norske offentlige myndigheder vil kunne bruge produktet lovligt.”

Denne udtalelse understreger de fundamentale juridiske udfordringer, der knytter sig til anvendelsen af AI i offentlige systemer, særligt når behandlingen af persondata ikke er fuldt dokumenteret eller kontrollerbar.

Fremtiden for AI og juridiske udfordringer

Datatilsynets beslutning skaber et vigtigt præcedens for, hvordan AI-teknologi vurderes i en juridisk kontekst. Indtil Microsoft kan dokumentere fuld gennemsigtighed i databehandlingen, er der en reel risiko for, at Copilot vil blive anset for uforenelig med GDPR.

I en tid, hvor AI bliver en stadig større del af det juridiske arbejde og den offentlige sektor, vil afgørelser som Schrems II og de europæiske datatilsyns vurderinger spille en afgørende rolle for teknologiens fremtidige anvendelse.

Overholder ChatGPT GDPR loven?

Ja, OpenAI, som står bag ChatGPT, har implementeret foranstaltninger for at overholde GDPR (General Data Protection Regulation). Her er de vigtigste aspekter af, hvordan OpenAI håndterer GDPR-overholdelse:

1. Databeskyttelse og Privatliv

  • ChatGPT gemmer ikke dine samtaler permanent, og brugerdata anvendes ikke til træning af modeller med mindre, det eksplicit er angivet i en virksomhedsmodel.
  • Brugere kan anmode om sletning af deres data eller oplysninger efter gældende regler, der er et formelt krav.

2. Dataminimering

  • OpenAI indsamler og behandler kun de nødvendige data for at levere AI-tjenesten.
  • Der lagres ikke personfølsomme oplysninger, medmindre brugeren selv vælger at dele dem (hvilket generelt ikke anbefales).

3. Retten til adgang og sletning

  • Brugere i EU kan anmode om at få indsigt i de data, der er behandlet af OpenAI.
  • Brugere kan også anmode om sletning af data efter GDPR’s “ret til at blive glemt”.

4. Datasikkerhed

  • OpenAI anvender kryptering og adgangskontrol for at beskytte brugerdata mod uautoriseret adgang.
  • Tekniske og organisatoriske sikkerhedsforanstaltninger er implementeret for at sikre GDPR-overholdelse.

5. Dataoverførsler uden for EU

  • OpenAI er en amerikansk virksomhed, men anvender mekanismer som SCC (Standard Contractual Clauses) for lovlig dataoverførsel fra EU til USA.

6. Automatiseret beslutningstagning

  • Selvom ChatGPT er en AI-model, foretager den ikke automatiserede beslutninger med juridiske eller lignende konsekvenser for brugeren.

Konklusion:
Ja, ChatGPT er designet til at overholde GDPR, og OpenAI implementerer standarder for privatliv og databeskyttelse. Brugere kan altid kontakte OpenAI for at få indsigt i, hvordan deres data behandles.

Svaret er med forbehold idet det er generet af CHATGPT selv, og ved at se i dens bruger klausuler, men hvorvidt data gemmes for APPS som vi selv har lavet, står mere i det uklare. Vi har f.eks. lavet ChatGPT – Skatterådgiveren by AORS.DK

  • Kilde: Advokat og Revisor Samvirket, AORS.DK
  • Fotokredit: stock.adobe.com eller Emnefirma
  • Personer/Firmaer/Emner/: #GDPR, #Datatilsynet, #Microsoft, #AI, #Copilot, #MaxSchrems, #SchremsII, #NjordLawFirm,
  • Copyrights: Ⓡ 2025 Copyright by AORS.DK – kan deles ved aktivt link til denne artikel.

ADVOKAT & REVISOR NYHEDER:

Om Datatilsynet’s kontrolbesøg og spørgeskemaer til virksomheder, foreninger og myndigheder m.v.

Om Datatilsynet’s kontrolbesøg og spørgeskemaer til virksomheder, foreninger og myndigheder m.v.

Datatilsynet har netop publiceret en række dokumenter som her vedlagt her. Det er tale om de spørgeskemaer der reelt benyttes af Datatilsynet på de tilsyn de udfører i tiden efter GDPR lovens indførsel. Disse tilsyn gennemføres hos virksomheder og organisationer og er et reelt kontrolbesøg. Kontrolbesøg gennemføres for, at sikre at loven om GDPR Privatlivspolitikker…

Millioner er berørt af Microsoft nedbrud, men kun hvis de bruger Cloud tjenester

Millioner er berørt af Microsoft nedbrud, men kun hvis de bruger Cloud tjenester

Vi må ikke lige bruge Cloud Services og bruger egne mailtjenester og er derfor ikke nede. Det er derimod næsten alle andre. Som et lille trick kan du installere apps lokalt f.eks. outlook og du kan arbejde videre straks, hvis du har mailservere via internetudbydere hvilket kan anbefales. Globalt Microsoft-nedbrud rammer kunder: Teams og mails…

Hackere i de mest frygtede lande udnytter AI til Ransomware, Phishing og hacking

Hackere i de mest frygtede lande udnytter AI til Ransomware, Phishing og hacking

I en nylig afsløring har Microsoft og OpenAI trukket sløret for en række statsstøttede hackergrupper fra Rusland, Iran, Nordkorea og Kina, som har udnyttet kunstig intelligens til at fremme deres cyberkriminelle aktiviteter. Disse grupper, der har benyttet AI-værktøjer fra de to techgiganter til blandt andet at finde kodefejl og køre kodningsopgaver, er nu blevet effektivt…

GDPR Millionbøde til Gyldendal

GDPR Millionbøde til Gyldendal

Datatilsynet markerer skarpt at data ikke må opbevares “længere end nødvendigt” i en ny indstilling til Politiet. Datatilsynet anmelder nu Gyldendal til politiet og indstiller til en bøde på 1.000.000 kr. for at opbevare oplysninger om 685.000 bogklub-medlemmer længere tid end nødvendigt. På baggrund af et tilsynsbesøg hos Gyldendal A/S har Datatilsynet anmeldt virksomheden til…

Deepseek, der er Open Source og har kostet $6M, giver børsfald på billioner af kroner

Deepseek, der er Open Source og har kostet $6M, giver børsfald på billioner af kroner

DeepSeek har i løbet af forbløffende kort tid vendt op og ned på den globale AI-branche. I en tid hvor teknologiudvikling kan afgøre økonomiske balancegange mellem stormagter, bliver der nu sået tvivl om, hvorvidt DeepSeek har skabt sin imponerende AI ved hjælp af lovlige eller mindre lovlige metoder. Samtidig giver produktets overraskende lave udviklingsomkostninger en…