Blog / claude-compliance

claude-compliance

Claude Enterprise: GDPR, DPA og EU-dataresidens

Claude Enterprise og GDPR: SSO, audit-logs, custom retention og ZDR - men ikke EU-dataresidens by default. Praktisk guide til danske virksomheder.

Thomas Cilius · 29. juni 2026 · 13 min læsetid

Indhold (8 afsnit)

Hvad Enterprise giver ud over Team
Zero Data Retention (ZDR): hvad det faktisk er
Pris: hvad koster Enterprise?
EU-dataresidens: det Enterprise IKKE løser
Team vs. Enterprise: hvornår skifter man?
Enterprise og EU AI Act: bedre dokumentation, ikke lavere risiko
Overførslen til USA - kort opsummeret
FAQ
Kilder og retsgrundlag

"Er Claude Enterprise mere GDPR-compliant end Team?"

Det er et rimeligt spørgsmål. Og svaret er: nej - men det er det forkerte spørgsmål. Begge planer har databehandleraftale. Begge lever op til det juridiske minimumskrav. Enterprise-spørgsmålet handler ikke om compliance som sådan. Det handler om governance og kontrol - og om hvem i organisationen der har behov for begge dele.

Lad mig gøre det konkret. Har I fem til tyve brugere, en standard AI-arbejdsgang og ikke noget særligt sikkerhedskrav? Så er Claude Team sandsynligvis nok. Skal I have SSO, central adgangsstyring, audit-logs til jeres ISMS eller mulighed for Zero Data Retention? Så er Enterprise den rigtige snak. Og ét emne fortjener særlig opmærksomhed: EU-dataresidens. For her er der en udbredt misforståelse, der kan koste dyrt.

Hvad Enterprise giver ud over Team

Enterprise er Anthropics governance-tier. Ud over alt hvad Team indeholder, tilføjer den en række funktioner, der typisk kræver en aftale med Anthropics salgsteam.

SSO med SCIM-provisionering. Single Sign-On integrerer Claude med jeres eksisterende identity provider - Okta, Azure AD, Entra ID og lignende. SCIM-protokollen betyder, at brugeroprettelse og -sletning sker automatisk, når I provisionerer eller deprovisionerer en bruger i jeres directory. Det er den store forskel fra Team, der understøtter SSO, men ikke nødvendigvis med fuld SCIM. Resultatet: I har ét autoritativt sted for adgangsstyring, og ingen brugere hænger på en gammel konto, fordi HR glemte at melde af.

Audit-logs. Enterprise giver adgang til audit-logs, der registrerer hvem der har gjort hvad i Claude - logins, API-kald, session-data. Det er afgørende for jeres fortegnelse over behandlingsaktiviteter (GDPR artikel 30), for intern sikkerhedsovervågning og for eventuelle tilsynsforespørgsler. Logging er ikke luksus i en reguleret kontekst - det er dokumentation.

Custom system prompts på organisationsniveau. Administrators kan sætte globale instruktioner, som gælder for alle brugeres sessioner. Det er nyttigt for at indlejre compliance-krav i brugen: "Behandl ikke personoplysninger om kunder i denne chat uden et dokumenteret grundlag." Det er ikke et teknisk lock på dataindputtet, men det hjælper med at gøre politikkerne synlige og konsekvente.

Custom data retention. Standardretentionen på API er syv dage. Med Enterprise kan I aftale en anden retention-periode, der passer til jeres egne sletningspolitikker. Det kan betyde kortere opbevaring - og i sammenhæng med Zero Data Retention kan det betyde ingen systematisk opbevaring overhovedet.

Compliance API. Giver adgang til compliance-relaterede rapporter og data via API - relevant for integrationer med jeres GRC-system (Governance, Risk and Compliance) eller til automatiseret compliance-dokumentation.

Zero Data Retention (ZDR) - som tilvalg. Det er måske Enterprise-features mest misforståede element. Se næste afsnit.

Zero Data Retention (ZDR): hvad det faktisk er

ZDR er ikke en knap, du selv skruer på i Enterprise-dashboardet. Det er en aftale, du indgår med Anthropics salgsteam som en del af din Enterprise-kontrakt. Det er heller ikke universel dækning: ZDR gælder primært på API-niveau - altså for tekniske integrationer og Claude Code på Enterprise. Det er ikke automatisk gældende for al claude.ai-chat, medmindre det er eksplicit aftalt.

Hvorfor er det relevant for jeres compliance? Fordi ZDR reducerer den data-at-rest-risiko, der kan være svær at dokumentere ellers. Standard API-retention er syv dage; med ZDR er der ingen systematisk opbevaring. Det forenkler også risikovurderingen efter GDPR artikel 32: færre data gemt = færre data at sikre.

Men ZDR er ikke et erstatningsargument for de andre due-diligence-trin. I skal stadig have et lovligt behandlingsgrundlag, styr på overførslen til USA og - måske vigtigst - en klar stillingtagen til EU-dataresidens.

Pris: hvad koster Enterprise?

Prisen er forhandlet og sælger-assisteret - der er ingen fast pris i selvbetjening, og det er med vilje. Strukturen er typisk et pladsgebyr kombineret med API-forbrug, der afregnes til Anthropics standard API-takster. Minimum-antal pladser varierer.

Opfind ikke tal her, og stol ikke på uofficielle kvoter. Tjek aktuelle priser på claude.com/pricing eller kontakt Anthropic direkte.

EU-dataresidens: det Enterprise IKKE løser

Her er den vigtigste pointe i denne artikel. Og den overrasker mange.

Claude Enterprise inkluderer ikke garanteret EU-dataresidens. Som udgangspunkt behandles dine data på USA-baseret infrastruktur, uanset om du kører Team eller Enterprise. Overførslen dækkes i Anthropics databehandleraftale af EU's standardkontraktbestemmelser (SCC'er) - Modul 2 (dataansvarlig til databehandler) og Modul 3 (databehandler til databehandler) - som lovliggør overførslen efter GDPR kapitel V og artikel 44.

SCC'er er et gyldigt overførselsgrundlag for langt de fleste danske virksomheder. Men det er ikke det samme som, at data forbliver i EU. Det er en juridisk ramme for en overførsel - ikke et dataresidenskrav.

Har I et hårdt krav om, at data ikke forlader EU - fordi I er i en reguleret sektor som finans eller sundhed, eller fordi en offentlig kontrakt forlanger det - så løser Enterprise ikke det problem. Den eneste arkitektonisk bekræftede vej til garanteret EU-dataresidens er at køre Claude via:

AWS Bedrock i en EU-region (Frankfurt eu-central-1, Irland, Paris, Stockholm), eller
Google Vertex AI i en EU-region

Begge er separate cloud-opsætninger uden for Claude Enterprise-aftalen. I kontrakter med Anthropic direkte, men med AWS eller Google som cloud-udbyder og regionsvælger. Det er en anden teknisk og juridisk model - men det er, hvad residenskravet kræver. Detaljerne ligger i guiden til Claude med EU-dataresidens via AWS Bedrock.

Anthropic vedligeholder en regional compliance-side på claude.com/regional-compliance - tjek den for de seneste muligheder på deployment-tidspunktet.

Team vs. Enterprise: hvornår skifter man?

Claude Team vs. Enterprise - governance-overblik
Feature	Team	Enterprise
Databehandleraftale (DPA)	Ja, automatisk	Ja, automatisk
SSO (SAML/OIDC)	Ja	Ja, med SCIM-provisionering
Audit-logs	Begrænset	Udvidet
Custom system prompts (org-niveau)	Nej	Ja
Custom data retention	Nej	Ja (aftales)
Compliance API	Nej	Ja
Zero Data Retention (ZDR)	Nej	Ja (aftales særskilt med salg)
EU-dataresidens (garanteret)	Nej	Nej
Min. brugere (selvbetjening)	5	Ca. 20+ (varierer)
Pris	Ca. 20-25 USD/plads/md (standardniveau)	Forhandlet/sælger-assisteret

Kilde: Anthropic dokumentation og Commercial Terms, verificeret juni 2026. Tjek aktuelle priser på claude.com/pricing.

Enterprise og EU AI Act: bedre dokumentation, ikke lavere risiko

Enterprise-features hjælper med EU AI Act artikel 4 om AI-kompetencer, der har krævet, at medarbejdere bruger AI forsvarligt, siden 2. februar 2025. Audit-logs og central styring giver bedre dokumentationsgrundlag end Team. Custom system prompts kan hjælpe med at indlejre compliance-krav direkte i brugerfladen.

Men husk: Enterprise ændrer ikke på, om en konkret brug af Claude er højrisiko under AI Act. Bruger I Claude til CV-screening, kreditvurdering eller lignende, er den brug stadig potentielt højrisiko - uanset hvilken plan I kører på. Det er den funktionelle brug, der afgør risikoniveauet, ikke tier-valget. Enterprise giver bedre governance-infrastruktur. Den erstatter ikke den substantielle vurdering af, hvad I bruger Claude til.

Overførslen til USA - kort opsummeret

Uanset om I kører Team eller Enterprise kræver brugen af Anthropics egne produkter, at I har taget stilling til overførslen. Det har Anthropic løst via SCC'erne i databehandleraftalen. Men det er en god praksis at lave en transfer impact assessment (TIA) for høj-risiko-brug, og at notere SCC-grundlaget i jeres fortegnelse (GDPR artikel 30).

Anthropic støtter sig på SCC'er som overførselsgrundlag. Undersøg selv, om DPF-certificering (EU-US Data Privacy Framework) er relevant og tilgængeligt på jeres deployment-tidspunkt - det er ikke noget, vi kan fastslå her, og tjek hos Datatilsynet eller din juridiske rådgiver for aktuel status.

So what

Hvad betyder det for din virksomhed?

Beslutningen

Har I behov for SSO med SCIM, udvidede audit-logs, custom retention eller Zero Data Retention? Så er Enterprise det rigtige valg. Har I et hårdt EU-dataresidenskrav? Enterprise løser ikke det - det gør AWS Bedrock eller Google Vertex AI i EU.

Handling de næste 30 dage

1) Afklar internt: har vi governance-behov der kræver Enterprise? (SCIM, audit, ZDR) 2) Afklar separat: har vi et EU-dataresidenskrav? (→ Bedrock/Vertex) 3) Kontakt Anthropic salg for Enterprise-vilkår og ZDR-mulighed. 4) Opdater jeres fortegnelse med det valgte setup. 5) Sikr at jeres medarbejdere er dækket af AI Act artikel 4.

Risiko ved at vente

Den typiske fejl er at tro, at Enterprise = EU-compliant dataresidens. Det er en falsk tryghed. Enterprise løser governance; EU-residens kræver en separat cloud-opsætning. Konsekvensen ved at overse det kan være en overførselsovertrædelse i stedet for en governance-mangel - to meget forskellige problemer.

Thomas’ vurdering

Claude Enterprise er det rigtige valg til organisationer med reelle governance-krav: central adgangsstyring, audit, custom system prompts og ZDR-mulighed. Men det er ikke et EU-dataresidensprodukt. Vælg Enterprise til governance. Vælg Bedrock eller Vertex til residens. Og hav aldrig kun ét af de to spørgsmål på bordet.

FAQ

Kilder og retsgrundlag

Anthropic: databehandleraftale (DPA) · underdatabehandlere · Trust Center (certificeringer) · Commercial Terms · Regional Compliance
EU-ret: GDPR artikel 28 (databehandleraftale) · GDPR artikel 30 (fortegnelse) · GDPR artikel 32 (sikkerhed) · GDPR kapitel V / artikel 44 (overførsler) · GDPR artikel 46 (fornødne garantier) · SCC-afgørelse (EU) 2021/914 · EU AI Act artikel 4 (AI-kompetencer)
Danmark: Datatilsynet om kunstig intelligens

Dette er generel information, ikke juridisk rådgivning til en konkret implementering.

Ofte stillede spørgsmål

Nej, ikke i den forstand. Begge planer kører på Anthropics Commercial Terms og inkluderer en automatisk databehandleraftale. Enterprise giver dig bedre governance-værktøjer - SSO, audit-logs, central styring og mulighed for Zero Data Retention - men selve det juridiske grundlag er det samme. Det er kontrolniveauet, der er forskelligt.