Claude GDPR-compliant: sådan bruger du Claude lovligt

"Må vi overhovedet bruge Claude - er det GDPR-compliant?"

Det er det spørgsmål, jeg oftest får fra danske ledere, lige inden de enten forbyder værktøjet eller, mere typisk, lader medarbejderne bruge det i det skjulte uden rammer. Og det er det forkerte spørgsmål.

At være Claude GDPR-compliant handler ikke om platformen, men om dig. En platform er nemlig ikke i sig selv "GDPR-compliant": GDPR regulerer ikke software - den regulerer din behandling af personoplysninger. Det rigtige spørgsmål er derfor ikke "er Claude lovlig?", men "er vores brug af Claude lovlig og dokumenterbar?" Det er en langt bedre nyhed, end den lyder. For det betyder, at du selv har hånd om svaret. Du skal ikke vente på, at en leverandør bliver "godkendt". Du skal træffe nogle få, konkrete valg rigtigt.

Den gode nyhed er, at de valg ikke er svære. Denne guide tager dig gennem dem: hvilken plan du skal vælge, hvad databehandleraftalen dækker, hvordan du håndterer overførslen til USA, hvor EU AI Act kommer ind, og en tjekliste, du kan tage med til næste ledermøde.

Hvorfor "er Claude GDPR-compliant?" er det forkerte spørgsmål

Forestil dig, at du spurgte: "Er en e-mail GDPR-compliant?" Spørgsmålet giver ikke mening i sig selv. En e-mail kan være fuldstændig uproblematisk (en mødebooking) eller en alvorlig overtrædelse (en ukrypteret liste med helbredsoplysninger sendt til den forkerte modtager). Værktøjet er det samme. Det er brugen, der afgør det.

Sådan er det også med Claude. Den samme platform kan bruges helt uproblematisk - opsummering af et offentligt referat, sparring på en tekst uden personoplysninger - eller på en måde, der kræver grundig juridisk dækning, hvis du fodrer den med kundedata, medarbejderoplysninger eller fortrolige kontrakter.

Derfor handler resten af denne guide ikke om at "godkende Claude". Den handler om at sætte din brug op, så den er forsvarlig. Det starter med ét valg, der afgør det meste.

Valget der afgør 80 %: hvilken plan

Det enkeltgreb, der flytter mest, er banalt: hvilken Claude-plan kører I på? For det afgør, hvilke vilkår der gælder - og dermed om du overhovedet har en databehandleraftale.

Anthropic deler deres planer i to verdener. Forbrugerplanerne - Free, Pro og Max - kører på Consumer Terms. De kommercielle planer - Team, Enterprise og API'en - kører på Commercial Terms. Den forskel er ikke kosmetisk. Den er hele forskellen på, om du lovligt kan lægge personoplysninger ind.

Claude-planer set med GDPR-briller

Plan	Vilkår	Databehandleraftale	Egnet til persondata i virksomhed?
Free	Consumer Terms	Nej	Nej
Pro	Consumer Terms	Nej	Nej
Max	Consumer Terms	Nej	Nej
Team	Commercial Terms	Ja (automatisk)	Ja - minimum 5 brugere
Enterprise	Commercial Terms	Ja (automatisk)	Ja
API	Commercial Terms	Ja (automatisk)	Ja

Kilde: Anthropic Commercial Terms & Consumer Terms, verificeret juni 2026

To ting er værd at forstå med det samme. For det første: på forbrugerplanerne kan dine samtaler bruges til at træne Anthropics modeller, medmindre du aktivt fravælger det - og hvis du lader det være slået til, opbevares de i op til fem år. For en privatperson er det en rimelig handel. For en virksomhed, der taster kundeoplysninger ind, er det ikke en forsvarlig løsning. Det er hele historien i hvorfor Free og Pro ikke holder til persondata.

For det andet: på de kommercielle planer er billedet vendt om. Her bruger Anthropic som udgangspunkt ikke dine prompts eller output til træning, og en databehandleraftale er automatisk en del af vilkårene. Den lave, lovlige indgang hedder Claude Team. Skal du bruge SSO, audit-logs, central styring eller Zero Data Retention, er det Claude Enterprise, du skal kigge på.

Hovedpointe: Hvis din virksomhed behandler personoplysninger i Claude, er minimumskravet en kommerciel plan med databehandleraftale. Free og Pro er forbrugerprodukter - og det er ikke en holdning, det følger af, at de mangler den aftale, GDPR artikel 28 kræver.

De fem spørgsmål, der gør din brug forsvarlig

Når planen er på plads, er resten den GDPR-disciplin, du allerede kender fra alle andre systemer. Fem spørgsmål afgør, om en konkret brug af Claude er defensibel:

1. Hvilke personoplysninger lægger vi ind? Skil almindelig, lav-risiko-tekst fra kundedata, medarbejderdata, fortrolige kontrakter og særlige kategorier (helbred, fagforening, m.m. - GDPR artikel 9).
2. Hvad er behandlingsgrundlaget? GDPR artikel 6 gælder, uanset hvor smart værktøjet er. Interesseafvejning, samtykke eller kontrakt - vælg og dokumentér.
3. Har vi en databehandleraftale? Ja, hvis I er på Team, Enterprise eller API. Den er indbygget. Sådan ser den ud, og det skal du tjekke.
4. Er overførslen til USA på plads? Claude behandler som udgangspunkt data i USA. Det kræver et gyldigt overførselsgrundlag - det dækker Anthropics standardkontraktbestemmelser (mere nedenfor).
5. Er sikkerheden tilstrækkelig (artikel 32), og udløser brugen en konsekvensanalyse? Især når I rører ved medarbejderdata eller automatiseret beslutningsstøtte.

Det smukke er, at ingen af de fem spørgsmål er nye. Det er præcis den vurdering, I laver for ethvert andet databehandlersystem. Claude er ikke en undtagelse - den er bare endnu et system, der skal igennem den samme dør.

Overførslen til USA: SCC'er eller EU-hosting

Det punkt, der oftest stopper en dansk virksomhed, er dataoverførsel. Claude behandler som udgangspunkt data på USA-baseret infrastruktur. Det er ikke ulovligt - men det kræver et gyldigt grundlag efter GDPR kapitel V.

Anthropic løser det i databehandleraftalen ved at indbygge EU's standardkontraktbestemmelser (SCC'er) - konkret Modul 2 (dataansvarlig til databehandler) og Modul 3 (databehandler til databehandler), i 2021-versionen. For langt de fleste virksomheder er det et tilstrækkeligt grundlag, eventuelt suppleret med en transfer impact assessment, hvor risikoen er høj.

Har du derimod et hårdt krav om, at data ikke forlader EU - fordi I er i en reguleret sektor, eller fordi en kunde forlanger det - så er svaret ikke "den almindelige Claude". Så kører du Claude via AWS Bedrock eller Google Vertex AI i en EU-region (fx Frankfurt). Det er en separat cloud-opsætning uden for selve Claude-abonnementet, men det er den eneste arkitektonisk bekræftede vej til garanteret EU-dataresidens i dag. Den praktiske opsætning - og den ene indstilling, der afgør, om data faktisk bliver i EU - har jeg samlet i guiden til EU-dataresidens via AWS Bedrock. De bredere Enterprise-rammer ligger i guiden til Claude Enterprise.

Dokumenterne, du kan læne dig op ad

En af de bedste ting ved at vælge en kommerciel plan er, at du ikke selv skal opfinde compliance-dokumentationen. Anthropic stiller den til rådighed, og du kan pege direkte på den i din egen fortegnelse og dine risikovurderinger:

• Databehandleraftalen (DPA) - den faktiske aftale ligger offentligt på anthropic.com/legal/data-processing-addendum. Den fastslår, at du er dataansvarlig, Anthropic er databehandler, og indeholder bl.a. underretning ved sikkerhedsbrud inden for 48 timer og sletning inden for 30 dage efter ophør.
• Listen over underdatabehandlere - anthropic.com/subprocessors. Den hører i din leverandørstyring.
• Certificeringer - SOC 2 Type II, ISO 27001 og ISO 42001 (AI-ledelsessystem) via trust.anthropic.com. De erstatter ikke din vurdering, men de dækker en stor del af dokumentationskravet.

Jeg har samlet, hvad hvert dokument beviser - og hvad det ikke gør - i gennemgangen af Anthropics databehandleraftale og compliance-dokumenter.

Det andet lag: EU AI Act

Her snubler mange. De får styr på GDPR og tror, de er i mål. Men GDPR og EU AI Act er to forskellige lovgivninger. GDPR spørger: "Må I behandle disse data?" AI Act spørger: "Må I bruge dette system til dette formål - og kan I dokumentere det?"

Når du bruger Claude, er du under AI Act typisk idriftsætter (deployer) af et AI-system. To ting rammer dig allerede nu:

• Artikel 4 om AI-kompetencer har været gældende siden 2. februar 2025 og gælder alle, der bruger AI - ikke kun højrisiko. Dine medarbejdere skal kunne forstå og bruge Claude forsvarligt, og I skal kunne dokumentere det.
• Brugen kan gøre jeres deployment højrisiko. Claude i sig selv er en generel model, ikke et højrisiko-system. Men bruger I den til fx CV-screening eller kreditvurdering, falder selve anvendelsen i Annex III - og så følger højrisiko-kravene med.

Hele det billede - tidslinjen, rollerne og de fem dimensioner - har jeg gennemgået i AI Act Danmark: hvad ledere skal vide. Pointen her er enkel: tjek begge lovgivninger, ikke kun den ene.

Compliance er ikke kun en IT-opgave

Den dyreste fejl, jeg ser, er at GDPR- og AI Act-ansvaret bliver smidt over hegnet til IT eller jura alene. Det holder ikke. Compliant Claude-brug rammer fem dimensioner på én gang: teknologi (hvilken plan og opsætning I vælger), processer (hvad I sender ind, og hvordan I dokumenterer det), kompetencer (om medarbejderne kan bruge Claude forsvarligt - jf. AI Act artikel 4), kultur (om reglerne faktisk følges i en travl hverdag) og governance (hvem der ejer beslutningen). En virksomhed, der har styr på fire af dimensionerne og glemmer den femte, er ikke næsten i mål - den er ikke i mål. Det er den samme fem-dimensioner-tilgang, jeg bruger til AI Act.

Ordliste: begreberne du skal kende

GDPR- og AI Act-sprog er fyldt med forkortelser. Her er dem, der går igen i hele dette cluster - så du kan læse resten uden at slå op undervejs.

Ordliste: compliance-begreber for Claude-brug

Begreb	Hvad det betyder
Dataansvarlig (controller)	Den der bestemmer formål og midler med behandlingen - det er DIN virksomhed.
Databehandler (processor)	Den der behandler personoplysninger på den dataansvarliges vegne - her Anthropic.
Databehandleraftale (DPA)	Aftalen GDPR artikel 28 kræver mellem dataansvarlig og databehandler. Anthropics version er indbygget i Commercial Terms.
Underdatabehandler (subprocessor)	Tredjepart databehandleren bruger, fx AWS eller Google Cloud. Liste på anthropic.com/subprocessors.
SCC (standardkontraktbestemmelser)	EU's standardklausuler (2021), der lovliggør overførsel af persondata til tredjelande som USA. Anthropic bruger Modul 2 og 3.
DPF (EU-US Data Privacy Framework)	Ordning, der kan give et 'tilstrækkeligt beskyttelsesniveau' for overførsel til USA. Tjek selv certificeringsstatus på deployment-tidspunktet.
ZDR (Zero Data Retention)	Aftale hvor input/output ikke gemmes efter svaret er leveret. Aftales særskilt for API/Enterprise.
DPIA / Konsekvensanalyse	Vurdering af konsekvenser for databeskyttelse (GDPR artikel 35), krævet ved høj risiko.
Fortegnelse (RoPA)	Fortegnelse over behandlingsaktiviteter (GDPR artikel 30).
Idriftsætter (deployer)	Den der bruger et AI-system i sin virksomhed - det er typisk DIG under AI Act.
AI-kompetencer (AI-literacy)	Krav i AI Act artikel 4 om at personalet kan bruge AI forsvarligt. Gælder fra 2. februar 2025.

Kilde: GDPR, EU AI Act og Anthropics vilkår

Beslutningsguide: hvad gør du nu?

Mini-tjekliste til næste ledermøde

Spørgsmål I bør kunne svare "ja + bevis" på:

1. Kører al arbejdsrelateret Claude-brug på en kommerciel plan (Team/Enterprise/API)? Bevis: licensoversigt.
2. Har vi databehandleraftalen og underdatabehandler-listen liggende i vores fortegnelse? Bevis: dokumenterne selv.
3. Har vi et behandlingsgrundlag for de datatyper, vi lægger ind? Bevis: artikel 6-vurdering.
4. Ved medarbejderne, hvad de må og ikke må lægge i Claude? Bevis: en kort, skriftlig regel.
5. Har vi taget stilling til EU-dataresidens - og til AI Act artikel 4? Bevis: beslutningsnotat + kompetenceplan.

Færre end fire "ja + bevis"? Så er I ikke i compliance-zonen endnu. Det er ikke en katastrofe - det er en to-ugers oprydning.

FAQ

Hovedpointe: Spørg ikke "er Claude GDPR-compliant?" - spørg "er vores brug forsvarlig?" Svaret er ja, hvis I vælger en kommerciel plan med databehandleraftale, har et lovligt grundlag, styr på overførslen til USA, og holder de følsomme data ude, hvor I ikke har dækning. Det er fire valg, I selv styrer. Og når de er på plads, er det ikke længere et spørgsmål om at turde bruge Claude - det er et spørgsmål om at bruge den klogt.

Kilder og retsgrundlag

• Anthropic: databehandleraftale (DPA) · underdatabehandlere · Trust Center (certificeringer) · Commercial Terms · Consumer Terms
• EU-ret: GDPR - forordning 2016/679 (dansk fuldtekst) · SCC-afgørelse (EU) 2021/914 · EU AI Act - forordning 2024/1689
• Danmark: Datatilsynet om kunstig intelligens

Dette er generel information, ikke juridisk rådgivning til en konkret implementering.

Ofte stillede spørgsmål

01Er Claude GDPR-compliant?–

Det er det forkerte spørgsmål. En platform er ikke i sig selv "GDPR-compliant" - det er din brug af den, der er lovlig eller ej. Claude kan bruges GDPR-compliant, hvis du vælger en kommerciel plan med databehandleraftale (Team, Enterprise eller API - ikke Free eller Pro), har et lovligt behandlingsgrundlag, styr på overførsel til USA, og holder følsomme data ude, hvor du ikke har dækning.

02Hvilken Claude-plan skal jeg vælge for at være compliant?+

Minimum Claude Team. Team, Enterprise og API'en kører på Anthropics Commercial Terms med en indbygget databehandleraftale. Free og Pro kører på forbrugervilkår uden databehandleraftale - og dine chats kan indgå i modeltræning, medmindre du aktivt fravælger det. Til persondata i en virksomhed er Free og Pro ikke en forsvarlig løsning.

03Behandler Anthropic mine data, og træner de på dem?+

På de kommercielle planer (Team, Enterprise, API) bruger Anthropic som udgangspunkt ikke dine prompts eller output til at træne modeller. Du er dataansvarlig, Anthropic er databehandler. På forbrugerplanerne (Free, Pro, Max) kan dine samtaler bruges til træning, medmindre du fravælger det - og ved tilvalg opbevares de i op til fem år.

04Hvor opbevares mine data - er det i EU?+

Som udgangspunkt behandles data på USA-baseret infrastruktur, og overførslen dækkes af EU's standardkontraktbestemmelser (SCC'er) i Anthropics databehandleraftale. Vil du have garanteret EU-dataresidens, kører du Claude via AWS Bedrock eller Google Vertex AI i en EU-region - det er en separat cloud-opsætning uden for Claude-abonnementet.

05Hvad med EU AI Act - gælder den også, når jeg bruger Claude?+

Ja. GDPR og AI Act er to forskellige lovgivninger. Når du bruger Claude, er du typisk "idriftsætter" af et AI-system. Artikel 4 om AI-kompetencer har været gældende siden 2. februar 2025 og kræver, at dine medarbejdere kan bruge AI forsvarligt. Selve brugen kan desuden gøre et deployment højrisiko - fx hvis du bruger Claude til CV-screening.