Hvilke rettigheder har jeg som bankkunde under GDPR, når banken bruger AI?

Du har ret til indsigt (artikel 15) – at se hvilke data banken har om dig, og om de bruges til automatiseret beslutningstagning. Du har ret til berigtigelse (artikel 16) hvis data er forkerte. Du har ret til at gøre indsigelse mod profilering (artikel 21). Ved automatiserede beslutninger har du ret til menneskelig gennemgang, ret til at udtrykke dit synspunkt og ret til en meningsfuld forklaring af logikken bag beslutningen. Endelig har du ret til dataportabilitet (artikel 20), så du kan flytte dine data til en anden udbyder.

GDPR og regulering

AI og GDPR i finanssektoren – hvad må din bank?

Q: Hvad siger GDPR om bankernes brug af AI?

GDPR stiller krav om, at banker har et lovligt grundlag for at behandle dine persondata – også når de bruger AI. Bankerne skal informere dig om, at AI indgår i behandlingen, formålet med den, og hvor længe data opbevares. GDPR artikel 22 giver dig ret til ikke at blive underlagt en beslutning, der udelukkende er baseret på automatiseret behandling, herunder profilering, hvis beslutningen har retlige virkninger eller på tilsvarende vis påvirker dig væsentligt. Det betyder, at din bank som udgangspunkt ikke må lade en algoritme alene afvise dit lån uden menneskelig involvering.

Q: Hvordan spiller EU AI Act sammen med GDPR i finanssektoren?

EU AI Act og GDPR supplerer hinanden. GDPR regulerer behandlingen af persondata, mens AI Act regulerer selve AI-systemet og dets risici. I finanssektoren er overlappet stort: 7 ud af 8 højrisiko-kategorier i AI Act involverer persondata, hvilket betyder, at banker i praksis skal overholde begge regelsæt samtidigt. Kreditvurdering, forsikringsberegning og AML-screening er alle klassificeret som højrisiko under AI Act. Bødeniveauerne er markante: op til 35 mio. EUR eller 7 % af global omsætning under AI Act, op til 20 mio. EUR eller 4 % under GDPR. Fuld håndhævelse af AI Act på højrisiko-systemer begynder august 2026.

Q: Må min bank dele mine data med en AI-leverandør som OpenAI eller Microsoft?

Kun under strenge betingelser. Banken skal have en databehandleraftale med leverandøren, der sikrer, at dine data ikke bruges til at træne offentlige modeller. Data må ikke overføres til lande uden tilstrækkeligt beskyttelsesniveau, medmindre der er passende garantier som EU-standardkontraktklausuler. De fleste danske banker kører i 2026 deres AI-løsninger i privat cloud-infrastruktur (fx Azure med dataresidence i EU) eller on-premise. Flere banker bruger interne sprogmodeller – som Danske Banks DanskeGPT – for at undgå at sende kundedata til tredjeparter overhovedet. Datatilsynet har gentagne gange understreget, at bankens ansvar som dataansvarlig ikke forsvinder, fordi AI-behandlingen sker hos en underleverandør.

Q: Hvad kan jeg gøre, hvis jeg mener min bank bryder GDPR med sin AI?

Start med at kontakte bankens databeskyttelsesrådgiver (DPO) og bede om indsigt i, hvordan AI bruges i din sag. Hvis banken ikke svarer tilfredsstillende, kan du klage til Datatilsynet, som kan undersøge sagen og udstede påbud eller bøder. Du kan også klage til Det finansielle ankenævn, hvis AI-brugen har ført til en konkret afgørelse, du er uenig i. Ved systematiske overtrædelser kan Datatilsynet indlede en egentlig tilsynssag. Gem altid dokumentation – skærmbilleder af afvisninger, chatsamtaler og korrespondance – da det styrker din klage.

Opdateret 1. juni 2026 · 8 min. læsetid

Danske banker bruger i stigende grad kunstig intelligens til alt fra kreditvurdering og svindelbekæmpelse til personlig rådgivning og chatbots. Men med mere AI følger også flere spørgsmål om persondata: Hvor meget ved banken om dig? Hvem ser dine data? Og hvad siger loven egentlig? Her er de 8 spørgsmål, danske bankkunder oftest stiller om samspillet mellem AI og GDPR i finanssektoren.

1Hvad siger GDPR om bankernes brug af AI?

GDPR (databeskyttelsesforordningen) stiller krav om, at banker har et lovligt grundlag for at behandle dine persondata – også når de bruger AI. Bankerne skal informere dig om, at AI indgår i behandlingen, formålet med den, og hvor længe data opbevares.

Helt centralt er GDPR artikel 22: Du har ret til ikke at blive underlagt en beslutning, der udelukkende er baseret på automatiseret behandling – herunder profilering – hvis beslutningen har retlige virkninger eller på tilsvarende vis påvirker dig væsentligt. I praksis betyder det, at din bank som udgangspunkt ikke må lade en algoritme alene afvise dit lån uden menneskelig involvering.

Derudover kræver GDPR, at banken gennemfører en konsekvensanalyse (DPIA), inden den tager AI-systemer med høj risiko for registreredes rettigheder i brug – fx kreditscoring eller svindeldetektion.

2Må banken profilere mig med AI?

Ja, banken må profilere dig med AI – men kun under bestemte betingelser. Profilering betyder, at banken automatisk analyserer dine data for at vurdere fx kreditværdighed, forbrugsmønstre eller risiko.

Banken skal informere dig om profileringen, formålet med den og den logik, der ligger bag. Hvis profileringen fører til automatiserede beslutninger med væsentlig betydning for dig (fx et lånafslag), har du tre rettigheder:

Menneskelig gennemgang – en reel person skal vurdere sagen
Ret til indsigelse – du kan protestere mod profileringen
Ret til forklaring – banken skal kunne forklare, hvad der lå bag

Datatilsynet har understreget, at banker skal dokumentere konsekvensanalyser (DPIA), inden de tager AI-baseret profilering i brug.

3Kan min bank afvise mit lån udelukkende baseret på en AI-vurdering?

Som udgangspunkt nej. GDPR artikel 22 forbyder beslutninger med retlige virkninger, der udelukkende er baseret på automatiseret behandling, medmindre:

Du har givet udtrykkeligt samtykke
Beslutningen er nødvendig for at indgå en aftale
Der er hjemmel i national lovgivning med passende garantier

I praksis bruger danske banker AI til at forberede en kreditvurdering – fx ved at analysere indkomst, gæld og transaktionsmønstre – men den endelige beslutning involverer typisk en kreditmedarbejder.

Fra august 2026 klassificerer EU AI Act kreditvurdering som højrisiko-AI, hvilket skærper kravene til forklarbarhed, bias-test og menneskelig kontrol yderligere. Banker skal kunne dokumentere, at AI-systemet ikke diskriminerer på baggrund af køn, etnicitet eller andre beskyttede karakteristika.

4Hvilke rettigheder har jeg som bankkunde, når banken bruger AI?

GDPR giver dig en række konkrete rettigheder, der også gælder, når banken anvender AI:

Indsigtsret (artikel 15) – se hvilke data banken har om dig, og om de bruges til automatiseret beslutningstagning eller profilering
Berigtigelsesret (artikel 16) – få rettet forkerte oplysninger, der kan påvirke en AI-vurdering
Indsigelsesret (artikel 21) – protestere mod profilering, herunder AI-baseret scoring
Ret til menneskelig gennemgang (artikel 22) – kræve at en person vurderer en automatiseret afgørelse
Ret til forklaring – forstå logikken bag en automatiseret beslutning
Dataportabilitet (artikel 20) – flytte dine data til en anden udbyder

Bankens DPO (databeskyttelsesrådgiver) er din første kontakt, hvis du vil udøve disse rettigheder.

5Hvad er Datatilsynets rolle i forhold til AI i banker?

Datatilsynet er den danske databeskyttelsesmyndighed og fører tilsyn med, at banker overholder GDPR, når de bruger AI. Med den danske supplerende lov til EU AI Act, der trådte i kraft i 2025, er Datatilsynet også udpeget som markedsovervågningsmyndighed for AI-systemer, der involverer persondata.

Det betyder, at Datatilsynet fra 2026 fører dobbelt tilsyn: både GDPR-compliance og AI Act-compliance. Banken skal kunne dokumentere:

Konsekvensanalyser (DPIA) for AI-systemer med høj risiko
Databehandleraftaler med AI-leverandører
Passende sikkerhedsforanstaltninger mod bias, diskrimination og datalæk
Logning og sporbarhed af AI-beslutninger

Datatilsynet kan udstede påbud, forbud og administrative bøder, hvis en bank ikke lever op til kravene.

6Hvordan spiller EU AI Act sammen med GDPR i finanssektoren?

EU AI Act og GDPR supplerer hinanden. GDPR regulerer behandlingen af persondata, mens AI Act regulerer selve AI-systemet og dets risici. I finanssektoren er overlappet stort: 7 ud af 8 højrisiko-kategorier i AI Act involverer persondata, hvilket betyder, at banker i praksis skal overholde begge regelsæt samtidigt.

Konkret er følgende AI-anvendelser i banker klassificeret som højrisiko under AI Act:

Kreditvurdering og lånegodkendelse
Forsikringsberegning og risikoscoring
AML-screening (anti-hvidvask)
Svindeldetektering med biometriske data

Bødeniveauerne er markante: op til 35 mio. EUR eller 7 % af global omsætning under AI Act, op til 20 mio. EUR eller 4 % under GDPR. Fuld håndhævelse af AI Act på højrisiko-systemer begynder i august 2026.

7Må min bank dele mine data med en AI-leverandør?

Kun under strenge betingelser. Banken skal have en databehandleraftale med leverandøren, der sikrer, at dine data ikke bruges til at træne offentlige modeller. Data må ikke overføres til lande uden tilstrækkeligt beskyttelsesniveau, medmindre der er passende garantier som EU-standardkontraktklausuler (SCC).

De fleste danske banker kører i 2026 deres AI-løsninger i privat cloud-infrastruktur (fx Azure med dataresidence i EU) eller on-premise. Flere banker bruger interne sprogmodeller – som Danske Banks DanskeGPT – for at undgå at sende kundedata til tredjeparter overhovedet.

Datatilsynet har gentagne gange understreget, at bankens ansvar som dataansvarlig ikke forsvinder, fordi AI-behandlingen sker hos en underleverandør. Banken skal føre tilsyn med leverandøren og sikre, at databehandleraftalen overholdes i praksis.

8Hvad kan jeg gøre, hvis jeg mener min bank bryder GDPR med sin AI?

Start med at kontakte bankens databeskyttelsesrådgiver (DPO) og bede om indsigt i, hvordan AI bruges i din sag. Alle danske banker er forpligtet til at have en DPO, og kontaktoplysningerne skal fremgå af bankens privatlivspolitik.

Hvis banken ikke svarer tilfredsstillende inden 30 dage, kan du:

Klage til Datatilsynet, som kan undersøge sagen og udstede påbud eller bøder
Klage til Det finansielle ankenævn, hvis AI-brugen har ført til en konkret finansiel afgørelse, du er uenig i
Søge rådgivning hos Forbrugerrådet Tænk

Gem altid dokumentation – skærmbilleder af afvisninger, chatsamtaler og korrespondance – da det styrker din klage. EU AI Act's krav om logning af højrisiko-AI gør det fra august 2026 også lettere for myndigheder at efterprøve bankens AI-beslutninger.

Læs også

Ansvarsfraskrivelse: Indholdet på denne side udgør ikke juridisk eller finansiel rådgivning. Oplysningerne er udelukkende til informationsformål og bør ikke danne grundlag for juridiske eller finansielle beslutninger. Søg altid uafhængig rådgivning fra en kvalificeret jurist eller din banks databeskyttelsesrådgiver ved konkrete spørgsmål om dine rettigheder.

penge.ai er til salg

Dette premium .ai-domæne er til salg. Ideelt til fintech, neobanking eller AI-drevet finansiel teknologi.

Forespørg på domænet