Anthropics databehandleraftale (DPA): hvad den dækker

Det bedste ved at vælge en kommerciel Claude-plan er, at du ikke selv skal opfinde compliance-dokumentationen fra bunden.

Anthropic stiller databehandleraftalen, underdatabehandlerlisten og certifikaterne til rådighed - og du kan pege direkte på dem i din egen fortegnelse og risikovurdering. Det sparer dig for en stor del af det manuelt arbejde, som ellers venter, når du skal dokumentere en ny leverandør i henhold til GDPR artikel 28.

Men der er en pointe, som det er vigtigt at have med fra starten: ingen af Anthropics dokumenter fritager dig for dit eget ansvar. De fastlægger, hvad Anthropic gør. Dit behandlingsgrundlag, din fortegnelse og din risikovurdering er stadig dit arbejde. Den her artikel er en præcis gennemgang af hvert dokument - hvad det beviser, og hvad det ikke gør.

Databehandleraftalen: det faktiske dokument

Anthropics databehandleraftale ligger offentligt tilgængeligt på anthropic.com/legal/data-processing-addendum. Den er gældende fra 24. februar 2025 og er automatisk indlejret i Commercial Terms - dvs. den dækker Team, Enterprise og API uden en separat underskrivelsesproces.

Det er et vigtigt praktisk punkt: du indgår DPA'en ved at acceptere Commercial Terms. Der er ingen yderligere procedure ved standard-deployment.

Rollefordelingen og instruktionsretten

DPA'en fastslår entydigt, at din virksomhed er dataansvarlig (controller) og Anthropic er databehandler (processor). Det er den rollefordeling, som GDPR artikel 28 kræver.

Behandling sker kun efter dokumenterede instrukser. Anthropic sælger ikke dine data og deler dem ikke med andre til egne formål. Alle medarbejdere hos Anthropic med adgang til kundedata er underlagt fortrolighed.

Underdatabehandlere

Generel skriftlig godkendelse til brug af underdatabehandlere er indeholdt i DPA'en - men med en 15 dages indsigelsesfrist, hvis Anthropic planlægger at tilføje eller erstatte en underdatabehandler. Det er dit ansvar at følge med i den liste og handle inden for fristen, hvis en ny underdatabehandler giver anledning til bekymring.

Listen over aktuelle underdatabehandlere finder du på anthropic.com/subprocessors. Den hører hjemme i din leverandørstyring og bør tjekkes med jævne mellemrum.

Frister du skal kende

To tidsfrister er bindende vilkår i DPA'en:

• Sikkerhedsbrud: Anthropic skal underrette dig inden for 48 timer.
• Sletning/returnering: Anthropic sletter eller returnerer dine data inden for 30 dage efter ophør af aftalen.

Begge frister er relevante for din hændelseshåndteringsplan og for din kontrakt med slutkunder, der stiller tilsvarende krav til dig.

Bistand til konsekvensanalyse (DPIA)

DPA'en indeholder en pligt for Anthropic til at bistå dig med konsekvensanalyser (DPIA) i henhold til GDPR artikel 35. Det betyder, at du kan anmode om bistand, hvis brugen af Claude indgår i en behandling med høj risiko. Det er ikke en garanti for, at en DPIA ikke er nødvendig - tværtimod: det er en bekræftelse af, at DPIA-pligten kan opstå, og at Anthropic ved det.

Revisionsret

DPA'en giver dig revisionsret og adgang til SOC 2-rapporten via trust.anthropic.com. I praksis vil de fleste virksomheder bruge SOC 2-rapporten som tilstrækkelig dokumentation for Anthropics sikkerhed frem for at gennemføre en selvstændig revision.

Særlige kategorier

Standard-beskrivelsen i DPA'en angiver, at behandlingens genstand er "None" for særlige kategorier (art. 9-data: helbred, fagforeningstilhørsforhold, biometriske oplysninger m.m.). Det er en praktisk vigtig pointe: Anthropics standardservices er ikke sat op til behandling af følsomme data. Vil du sende sådanne data, skal du have en selvstændig legal vurdering af, om det overhovedet er muligt inden for rammerne af den aktuelle aftale.

Overførslen til USA: SCC'erne

Behandling af data i Claude sker som udgangspunkt på USA-baseret infrastruktur. Det er ikke i sig selv ulovligt, men det kræver et gyldigt overførselsgrundlag efter GDPR kapitel V, artikel 44.

Anthropic løser det ved at indlejre EU's standardkontraktbestemmelser (SCC'er) direkte i DPA'en - konkret Modul 2 (dataansvarlig til databehandler) og Modul 3 (databehandler til databehandler) fra EU's 2021-afgørelse (EU) 2021/914. Grundlaget for at bruge SCC'erne er GDPR artikel 46.

DPA'en indeholder også UK-tillæg og Schweiz-tillæg. Lovvalg er Irland.

Et punkt, du bør tjekke selv: EU-US Data Privacy Framework (DPF)-status. Anthropic støtter sig på SCC'erne - om der derudover er en aktuel DPF-certificering, bør du verificere på deployment-tidspunktet, da status kan ændre sig. Anbefal en Transfer Impact Assessment (TIA), hvor risikoprofilen gør det relevant.

Kompetent tilsynsmyndighed

En praktisk konsekvens af SCC-skemaet i 2021-afgørelsen: den kompetente tilsynsmyndighed er den, der er ansvarlig i eksportørens land. For en dansk virksomhed er det Datatilsynet. Det er relevant, hvis der opstår en tvist om overførslen eller behandlingen, og det bør fremgå af dine interne dokumenter.

Tekniske og organisatoriske foranstaltninger (TOMs)

DPA'ens Schedule 2 specificerer Anthropics TOMs i henhold til GDPR artikel 32. De centrale elementer:

• Kryptering: AES-256 at rest og TLS 1.2+ in transit
• Adgangsstyring: MFA, RBAC og SSO
• Overvågning: SIEM/SOAR
• Testning: årlig penetrationstest
• Krypteringsinfrastruktur

Det er et solidt grundlag, du kan referere til i din artikel 32-vurdering. Men bemærk: TOMs-listen i DPA'en dokumenterer Anthropics foranstaltninger - ikke dine. Hvad der er passende for din virksomhed er stadig din vurdering.

Zero Data Retention (ZDR)

ZDR er en særskilt aftale, der kan indgås for kvalificerede Enterprise API-kunder, og som indebærer, at input og output ikke gemmes "at rest" efter svaret er leveret - ud over minimal misbrugs-screening. Det aftales særskilt med Anthropics salgs- og account-team og er ikke selvbetjening. Detaljerne om ZDR hører hjemme i gennemgangen af Claude Enterprise.

Certificeringer

Anthropics aktuelle certificeringer er tilgængelige på trust.anthropic.com:

• SOC 2 Type II - uafhængig revision af sikkerhedskontroller
• ISO 27001:2022 - informationssikkerhedsledelse
• ISO/IEC 42001:2023 - AI-ledelsessystem og den relevante certificering i relation til EU AI Act, da den dækker ansvarlig AI-praksis
• HIPAA/BAA - til kvalificerede kunder med sundhedsdata
• CSA STAR, NIST 800-171

ISO 42001 er den certificering, der i stigende grad efterspørges som dokumentation for struktureret AI-governance - og dermed direkte relevant, når du som idriftsætter under AI Act skal dokumentere, at leverandøren tager AI-risici seriøst.

Men her er det vigtige forbehold: certifikater erstatter ikke din egen vurdering. De dokumenterer, at Anthropic har bestået en ekstern audit. De dokumenterer ikke, at Anthropic er det rigtige valg til netop din behandlingsaktivitet, eller at din brug er lovlig.

Overblik: hvad beviser hvert dokument?

Anthropics compliance-dokumenter: hvad de beviser - og hvad du stadig selv skal

Dokument	Hvad det beviser	Hvad du stadig selv skal
Databehandleraftalen (DPA)	At forholdet mellem jer og Anthropic opfylder GDPR artikel 28-kravene: rollefordeling, instruktionsret, underretningspligter, sletningsfrister, SCC-grundlag for overførsel til USA.	Dit behandlingsgrundlag (artikel 6), din fortegnelse (artikel 30), din DPIA hvor relevant (artikel 35), din vurdering af om særlige kategorier sendes (artikel 9).
Underdatabehandlerliste (anthropic.com/subprocessors)	Hvem Anthropic benytter som underdatabehandlere, og at du har et kontraktgrundlag for at udøve din indsigelsesfrist (15 dage).	Løbende overvågning af listen, aktivt at vurdere nye underdatabehandlere og handle inden for fristen.
SOC 2 Type II-rapport	At Anthropics sikkerhedskontroller er eksternt revideret og fundet tilstrækkelige på revisionstidspunktet.	Din egen artikel 32-vurdering af, om TOMs er passende til din behandling og dit risikoniveau.
ISO 27001 + ISO 42001	At Anthropic har certificerede ledelsessystemer for informationssikkerhed og AI-governance.	Din AI Act-rolle som idriftsætter og de krav, der følger heraf, herunder artikel 4-kompetencer for dine medarbejdere.
SCC'erne (indlejret i DPA'en)	At der foreligger et gyldigt overførselsgrundlag efter GDPR artikel 46 for data, der behandles i USA.	En Transfer Impact Assessment (TIA) hvor risikoen er høj. Løbende tjek af DPF-status, da den kan ændre sig.

Kilde: Anthropics DPA (gældende fra 24. februar 2025), verificeret juni 2026

Det du STADIG selv skal

Dokumenterne ovenfor dækker forholdet til Anthropic. De dækker ikke din egen lovlighed over for de registrerede - det vil sige dine kunder, medarbejdere eller partnere, hvis data du behandler i Claude.

Det skal du selv:

Behandlingsgrundlag (artikel 6): Hvad er det juridiske grundlag for, at du må sende disse data til Claude overhovedet? Interesseafvejning, kontrakt eller samtykke - det bestemmer du, og det er dit ansvar at dokumentere det. Anthropics DPA ændrer intet ved det krav.

Fortegnelse (artikel 30): Du skal føre fortegnelse over dine behandlingsaktiviteter. Det inkluderer at beskrive brugen af Claude: formål, kategorier af registrerede, kategorier af data, overdragelse til tredjeland og sikkerhedsforanstaltninger. DPA'en og underdatabehandlerlisten er bilag til den fortegnelse - ikke erstatningen for den.

DPIA (artikel 35): Hvis brugen af Claude indgår i en behandling med høj risiko - fx systematisk overvågning af medarbejdere, behandling af følsomme kategorier i stor skala, eller automatiseret beslutningstagning med retlige konsekvenser - skal du gennemføre en konsekvensanalyse, inden behandlingen begynder. DPA'ens DPIA-bistandsklausul er et hjælpeværktøj til det arbejde, ikke en erstatning.

AI Act-rolle (idriftsætter/deployer): Bruger du Claude i en virksomhedssammenhæng, er du typisk idriftsætter under AI Act. Det medfører egne forpligtelser, herunder artikel 4 om AI-kompetencer for dine medarbejdere, der har været gældende siden 2. februar 2025. GDPR-dokumentationen dækker ikke det spor.

FAQ

Kilder og retsgrundlag

Anthropic:

• Databehandleraftalen (DPA) - gældende fra 24. februar 2025
• Underdatabehandlere (subprocessors)
• Trust Center - certificeringer og sikkerhedsrapporter
• Commercial Terms

EU-ret:

• GDPR - forordning 2016/679 (dansk fuldtekst)
• GDPR artikel 6 (lovlig behandling)
• GDPR artikel 9 (særlige kategorier)
• GDPR artikel 28 (databehandler/DPA-krav)
• GDPR artikel 30 (fortegnelse/RoPA)
• GDPR artikel 32 (sikkerhed/TOMs)
• GDPR artikel 35 (DPIA/konsekvensanalyse)
• GDPR kapitel V, artikel 44 (overførsler til tredjelande)
• GDPR artikel 46 (fornødne garantier/SCC-grundlag)
• SCC-afgørelse (EU) 2021/914
• EU AI Act - forordning 2024/1689
• EU AI Act artikel 4 (AI-kompetencer)

Danmark:

• Datatilsynet om kunstig intelligens

Dette er generel information, ikke juridisk rådgivning til en konkret implementering.

Ofte stillede spørgsmål

01Skal jeg underskrive en særskilt databehandleraftale med Anthropic?–

Nej, ikke ved standard-brug. Databehandleraftalen er automatisk en del af Anthropics Commercial Terms for Team, Enterprise og API. Du indgår den ved at acceptere Commercial Terms - ingen separat underskrivelsesproces. Gælder ikke forbrugerplanerne Free, Pro og Max, som ikke har en databehandleraftale overhovedet.

02Hvem er dataansvarlig og hvem er databehandler, når jeg bruger Claude?+

Din virksomhed er dataansvarlig (controller) - det er jer, der bestemmer formål og midler med behandlingen af personoplysninger. Anthropic er databehandler (processor) - de behandler data på jeres vegne og efter jeres instruks. Det fastslår DPA'en direkte, og det er præcis den rollefordeling, GDPR artikel 28 kræver.

03Hvad er Anthropics frister ved sikkerhedsbrud og ophør?+

Underretning ved sikkerhedsbrud: inden 48 timer. Sletning eller returnering af data: inden 30 dage efter ophør af aftalen. Begge frister er bindende vilkår i DPA'en.

04Hvordan overfører Anthropic data til USA lovligt?+

Via EU's standardkontraktbestemmelser (SCC'er), konkret Modul 2 (dataansvarlig til databehandler) og Modul 3 (databehandler til databehandler) fra 2021-afgørelsen (EU) 2021/914. SCC'erne er direkte indlejret i DPA'en. Anthropic støtter sig på SCC'er - tjek selv om DPF-certificering er tilgængelig og relevant på deployment-tidspunktet.

05Erstatter SOC 2 og ISO-certifikaterne min egen sikkerhedsvurdering?+

Nej. Certifikaterne dokumenterer Anthropics eget sikkerhedsarbejde og letter din due diligence betragteligt. Men de erstatter ikke din selvstændige vurdering af, om TOMs er passende til netop dine behandlingsaktiviteter og risikoniveau - det kræver GDPR artikel 32.

06Hvad er min kompetente tilsynsmyndighed som dansk virksomhed?+

Datatilsynet. DPA'en følger SCC-skemaet fra 2021-afgørelsen, hvor den kompetente tilsynsmyndighed er den, der er ansvarlig i eksportørens land. For en dansk eksportør er det Datatilsynet.