Flere detaljer: Kommunens reaktion

Kerteminde Kommune er ikke overrasket over, at sagen er blevet rejst. Ifølge kommunens IT-chef har man været opmærksom på, at et tilsyn kunne komme, og organisationen samarbejder nu med Datatilsynet. Kommunen oplyser samtidig, at den allerede er i gang med at følge op på de forhold, der er identificeret i DPO’ens årsrapport, og at der arbejdes med forbedringer. Det viser, at mange organisationer er i en overgangsfase: AI bruges allerede aktivt – men governance halter bagefter.

Flere detaljer: Hvorfor er risikovurdering og konsekvensanalyse vigtigt ved AI?

AI-systemer – især generative – kan:Behandle store mængder persondataGenerere nyt indhold baseret på inputSkabe uforudsete udfald Derfor kræver brugen ofte en struktureret vurdering, før løsningerne tages i brug.

Datatilsynet åbner sag: Kommune brugte AI uden risikovurdering

Nyhed

30.06.2026

Kerteminde Kommunes udbredte brug af AI er nu under lup, fordi kommunen har taget AI i brug uden at have styr på risikovurdering og konsekvensanalyse (DPIA).

Sagen understreger, at governance ikke er “nice to have”, men er et krav, når AI bruges med persondata.

Manglende risikovurdering og konsekvensanalyse førte til sag om AI

Datatilsynet har netop indledt en undersøgelse af Kerteminde Kommunes brug af kunstig intelligens.

Kommunen har nemlig taget AI i brug på tværs af organisationen – uden at gennemføre risikovurderinger eller konsekvensanalyser.

Sagen rammer direkte ind i en af de største udfordringer for både offentlige og private organisationer og virksomheder: Hvordan bruger man AI effektivt uden at komme i konflikt med GDPR?

AI brugt uden den nødvendige risikovurdering: Hvad er der sket?

Kerteminde Kommune har anvendt AI-værktøjer som ChatGPT og Gemini bredt i det daglige arbejde. Det gælder blandt andet:

Sagsforberedelse
Administrativ støtte
Tekstproduktion

Problemet er, at kommunen ikke har gennemført:

Risikovurderinger
Konsekvensanalyser (DPIA)
Klare interne retningslinjer for brugen

Det betyder, at medarbejdere og ledelse i praksis har brugt AI uden en fælles forståelse af, hvad der er lovligt eller forsvarligt – især når der behandles personoplysninger – og det er i direkte strid med GDPR-reglerne.

Står din organisation i samme situation? Få hjælp her, inden Datatilsynet kommer forbi.

Datatilsynets reaktion: Kræver redegørelse for risikovurdering og DPIA ved brug af AI

Datatilsynet er gået ind i sagen af egen drift, efter at brugen af AI blev afdækket.

Tilsynet kræver, at kommunen:

Indsender sine to seneste DPO-rapporter
Redegør for overvejelser om risikovurderinger og DPIA
Forklarer, hvordan AI anvendes i praksis

Kommunen har samtidig fået en kort svarfrist: 3. juli.

Hele sagen sender et klart signal om, at myndighederne i stigende grad fører aktiv kontrol med brugen af AI, og at kontrollen ikke kun er reaktiv, men også proaktivt.

Kerteminde Kommune er ikke overrasket over, at sagen er blevet rejst.

Ifølge kommunens IT-chef har man været opmærksom på, at et tilsyn kunne komme, og organisationen samarbejder nu med Datatilsynet.

Kommunen oplyser samtidig, at den allerede er i gang med at følge op på de forhold, der er identificeret i DPO’ens årsrapport, og at der arbejdes med forbedringer.

Det viser, at mange organisationer er i en overgangsfase: AI bruges allerede aktivt – men governance halter bagefter.

AI-systemer – især generative – kan:
- Behandle store mængder persondata
- Generere nyt indhold baseret på input
- Skabe uforudsete udfald
Derfor kræver brugen ofte en struktureret vurdering, før løsningerne tages i brug.

Hvad betyder det i praksis for dig og din organisations brug af AI?

Sagen illustrerer nogle centrale begreber i GDPR, som mange organisationer stadig kæmper med:

Risikovurdering: En vurdering af, hvilke risici behandlingen indebærer for de registreredes rettigheder – feks. risiko for fejl, bias eller datalæk.

Konsekvensanalyse (DPIA): En mere dybdegående analyse, der er påkrævet ved høj risiko. Her dokumenteres bl.a. formål, datatyper, risici og foranstaltninger.

AI-konsekvensanalyse: Hvis risikovurderingen viser, at AI-systemet indebærer høj risiko, kan det derudover være nødvendigt at gennemføre en særskilt AI‑konsekvensanalyse (FRIA – Fundamental Rights Impact Assessment) efter AI-forordningens artikel 27. Denne analyse har fokus på påvirkningen af grundlæggende rettigheder og supplerer den klassiske DPIA.

Vores specialister i databeskyttelse kan rådgive dig om, hvordan din orgisation skal gribe AI an. Du er velkommen til at kontakte os for en uforpligtende afklaring af dine behov og muligheder.

5 ting du skal sikre, inden din organisation bruger AI

Før din organisation udruller AI, skal ledelsen eller de dataansvarlige:

Gennemføre risikovurderinger før implementering
Vurdere, om der er behov for en DPIA
Fastlægge klare interne retningslinjer
Dokumentere beslutninger og vurderinger
Involvere DPO’en tidligt i processen

Skal vi hjælpe dig med at sikre både GDPR og brugen af AI? Læs mere om vores rådgivning her.

Perspektivering: En forsmag på mere tilsyn

Sagen fra Kerteminde er næppe et enkeltstående tilfælde. Den viser nemlig, at Datatilsynet har fokus på:

Udbredt og uformel brug af AI
Manglende governance
Fravær af dokumentation

Med både GDPR og AI-forordningen på vej ind i organisationernes hverdag vil tilsynet formentlig intensiveres i de kommende år.

For både kommuner og virksomheder er budskabet derfor klart:

Det er ikke lovligt “bare lige at teste” AI i praksis. Anvendelsen skal være dokumenteret, risikovurderet og forankret i klare retningslinjer, inden AI udrulles i organisationen eller virksomheden. Få hjælp til at sikre alle krav her.

Har du styr på organisationens brug af AI?

Mange organisationer er allerede i gang – men mangler dokumentation og struktur.

Vi kan sikre din organisation eller virksomheds brug af AI og hjælpe jer med at få styr på risikovurderinger, DPIA og governance, før Datatilsynet kommer.

Få specialiseret hjælp her