Datatilsynets indgriben mod Kerteminde Kommune sætter præcedens for, hvordan offentlige myndigheder lovligt må anvende AI under GDPR og den kommende EU-forordning.
Konklusion
Kerteminde Kommune tog AI i brug uden at lave de lovpligtige konsekvensanalyser. Det har udløst Datatilsynets indgriben og skabt et præcedensskabende tilfælde, der rækker langt ud over én lille fynsk kommune. Sagen viser, at mange offentlige myndigheder behandler AI som et almindeligt IT-værktøj, men glemmer, at loven stiller særlige krav, når teknologien behandler personoplysninger eller træffer afgørelser med konsekvenser for borgere. Reglerne er allerede her. AI-forordningen skruer yderligere op for kravene. Kommunerne er generelt ikke klar.
Baggrund
Kunstig intelligens er hurtigt blevet en del af hverdagen i den offentlige forvaltning. Kommuner bruger det til at screene ansøgninger, optimere sagsbehandling, analysere borgernes adfærd og i nogle tilfælde til at understøtte eller automatisere beslutninger om ydelser og indsatser.
Tempoet i den udvikling har overhalet lovgivningsforståelsen. Mange kommuner er gået i gang uden at stille sig det grundlæggende spørgsmål: hvad kræver loven egentlig, når vi bruger AI til at behandle oplysninger om borgere?
Svaret er ikke enkelt, men det er heller ikke ukendt. GDPR — databeskyttelsesforordningen — har siden 2018 krævet, at offentlige myndigheder laver en konsekvensanalyse for databeskyttelse, en såkaldt DPIA (Data Protection Impact Assessment), når de behandler personoplysninger på en måde, der indebærer høj risiko for de registrerede. AI-systemer, der analyserer borgere, scorer dem eller understøtter beslutninger om dem, falder typisk direkte ind under det krav.
Kerteminde Kommune tog ikke den analyse. Det fik konsekvenser.
Hvad sker der
Datatilsynet gik ind i sagen om Kerteminde Kommunes brug af AI efter et konkret tilsyn. Ifølge Ingeniørens artikel kunne kommunen ikke dokumentere, at den havde gennemført de lovpligtige risikovurderinger og konsekvensanalyser, inden AI-systemerne blev taget i brug.
Datatilsynet har anmodet kommunen om at redegøre for sin behandling af personoplysninger i forbindelse med AI-anvendelsen. Det er ikke blot en formel henvendelse. Når Datatilsynet går ind i en sag, kan det ende med en påtale, et påbud om at indstille behandlingen eller i yderste konsekvens en bøde.
Det centrale problem er todelt. For det første mangler dokumentationen for, at kommunen har vurderet risikoen ved at bruge AI på borgernes data. For det andet er det uklart, om borgerne overhovedet er blevet informeret om, at AI indgår i behandlingen af deres sager.
Sagen handler ikke om, at AI er forbudt i det offentlige. Den handler om, at AI skal bruges ansvarligt og inden for et lovramme, der stiller konkrete krav til dokumentation, gennemsigtighed og risikovurdering.
De centrale spørgsmål
Sagen rejser tre spørgsmål, der er relevante for hele den kommunale sektor:
Hvornår kræver brugen af AI en DPIA? GDPR artikel 35 kræver en konsekvensanalyse, når behandlingen sandsynligvis medfører høj risiko. Datatilsynet har udstedt vejledning om, at automatiseret behandling af personoplysninger til brug for beslutninger om enkeltpersoner næsten altid udløser dette krav. AI-systemer i den kommunale forvaltning vil i langt de fleste tilfælde falde ind under den kategori.
Hvad indeholder en tilstrækkelig DPIA? En DPIA skal beskrive behandlingens karakter og formål, vurdere nødvendighed og proportionalitet, identificere risici for de registrerede borgere og beskrive de foranstaltninger, der iværksættes for at imødegå risiciene. Det er ikke en bureaukratisk øvelse for skuffen — det er en dokumenteret beslutningsproces, der skal foreligge, inden systemet tages i brug.
Hvad ændrer AI-forordningen? EU's AI-forordning, der indfases frem mod 2026 og 2027, indfører yderligere krav særligt for såkaldte høj-risiko AI-systemer. AI anvendt i den offentlige forvaltning til at vurdere borgere, tildele ydelser eller understøtte afgørelser er eksplicit kategoriseret som høj-risiko. Det kræver bl.a. teknisk dokumentation, logning, menneskelig overvågning og i visse tilfælde registrering i en EU-database. Kommuner, der ikke har styr på GDPR-kravene i dag, vil have endnu sværere ved at opfylde AI-forordningens krav, når de træder fuldt i kraft.
Analyse
Kerteminde-sagen er ikke en undtagelse. Den er et symptom.
Den kommunale sektor er under pres for at effektivisere og levere mere med færre ressourcer. AI præsenteres som løsningen — og i mange tilfælde kan teknologien reelt aflaste sagsbehandlere og forbedre servicen til borgerne. Men presset for at implementere hurtigt skaber en tendens til at springe de ubehagelige forberedende skridt over.
Forskning i AI-governance peger på en strukturel udfordring i den offentlige sektor. Wijaya, Lestari og Sari (2026) beskriver i deres analyse af AI-governance i smarte byers offentlige tjenester, hvordan spændingen mellem innovation og ansvarlig implementering er et tilbagevendende problem. Kommuner og offentlige institutioner ønsker at udnytte AI's potentiale, men governance-strukturerne — de mekanismer der sikrer ansvarlighed, gennemsigtighed og risikostyring — halter efter. Det er præcis det, vi ser i Kerteminde-sagen.
Magnusson, Iqbal og Elm (2025) understreger i deres undersøgelse af informationssikkerhedsgovernance i den offentlige sektor, at effektiv governance kræver klare processer, definerede ansvarsroller og systematisk dokumentation. Det er ikke noget, der opstår af sig selv. Det kræver bevidste ledelsesmæssige valg og ressourcer. Mange kommuner har hverken en DPO — en databeskyttelsesrådgiver — med tilstrækkelig kapacitet eller en IT-afdeling med kompetencer til at vurdere AI-systemers juridiske og etiske implikationer.
Imbrosio Filho (2025) peger i sin analyse af AI, databeskyttelse og compliance på, at organisationer generelt undervurderer kompleksiteten i at navigere GDPR og den fremvoksende AI-regulering. Forordningerne overlapper, supplerer og til tider komplicerer hinanden. For en stor virksomhed med dedikerede compliance-afdelinger er det en udfordring. For en mellemstor dansk kommune kan det være overvældende.
Det er ikke en undskyldning, men det er en forklaring — og en vigtig del af konteksten for Kerteminde-sagen.
Hvad er den egentlige risiko for borgerne?
Når en kommune bruger AI til at analysere borgernes oplysninger uden at have vurderet risikoen, sker der to ting. For det første kan systemet indeholde skævheder, der ikke er identificeret og korrigeret. AI-systemer lærer af historiske data, og hvis de data afspejler tidligere diskrimination eller strukturelle uligheder, kan systemet reproducere dem — og nu med en teknologisk autoritet, der kan gøre dem sværere at anfægte.
For det andet mister borgerne gennemsigtighed. Hvis du ikke ved, at AI er med til at vurdere din ansøgning om et kommunalt tilbud, kan du heller ikke kræve en forklaring eller anfægte grundlaget. GDPR giver dig ret til ikke at være genstand for rent automatiserede beslutninger med retsvirkning, og ret til at kende logikken bag dem. Uden en DPIA og tilstrækkelig information til borgerne undergraves disse rettigheder i praksis.
Hvad kræver det at rette op?
Svaret er ikke, at kommunerne skal stoppe med at bruge AI. Det ville være en overreaktion, der ville skade borgerne mere end det hjælper dem.
Men kommunerne skal:
- Kortlægge hvilke AI-systemer de bruger og til hvad
- Gennemføre DPIA for alle systemer, der behandler personoplysninger på en måde, der kan have konsekvenser for borgere
- Sikre, at borgerne informeres om AI's rolle i sagsbehandlingen
- Etablere systemer for løbende overvågning og menneskelig kontrol
- Forberede sig på AI-forordningens krav til høj-risiko systemer
Det er ressourcekrævende. Og der er et reelt problem i, at de juridiske og tekniske kompetencer ikke er ligeligt fordelt mellem kommunerne. En stor by som Aarhus eller København har kapacitet til at bygge disse strukturer. En kommune som Kerteminde har det sværere.
Det er et argument for, at KL — Kommunernes Landsforening — og Digitaliseringsstyrelsen bør spille en langt mere aktiv rolle i at støtte kommunerne med fælles vejledning, skabeloner og kompetenceudvikling. AI-forordningen og GDPR er ikke frivillige. Ansvaret for at overholde dem er kommunernes, men staten har et medansvar for at skabe rammerne for, at det kan lade sig gøre.
Er Datatilsynets indgriben et signal til sektoren?
Ja. Datatilsynet har i de seneste år intensiveret sit fokus på AI og automatiseret behandling. Kerteminde-sagen er næppe den eneste, der ligger i tilsynets pipeline. Når Datatilsynet vælger at gå ind i en relativt lille kommunes sag og omtalen når bredere frem, sender det et klart signal: reglerne gælder alle, uanset størrelse, og manglende dokumentation er ikke et teknisk problem, der kan løses bagefter — det er et lovbrud, der skal forebygges.
Kamisetty og Nagamangalam (2025) beskriver i forbindelse med AI-governance i den finansielle sektor, hvordan tilsynsmyndighedernes øgede fokus på AI-compliance tvinger organisationer til at opbygge systematiske governance-strukturer frem for ad hoc-løsninger. Den samme dynamik er ved at udspille sig i den offentlige sektor. Datatilsynets indgriben i Kerteminde-sagen kan meget vel blive det tidspunkt, man ser tilbage på som begyndelsen af en ny fase i tilsynets tilgang til kommunal AI-brug.
Konklusion
Kerteminde-sagen handler ikke kun om én kommune, der glemte et dokument. Den handler om en systematisk mangel på governance-modenhed i den offentlige sektors tilgang til AI.
Reglerne er klare nok. GDPR kræver konsekvensanalyser. AI-forordningen vil skærpe kravene yderligere. Borgerne har ret til gennemsigtighed og beskyttelse mod ugennemsigtig automatiseret behandling. Disse krav eksisterer ikke for at bremse digitaliseringen — de eksisterer for at sikre, at digitaliseringen ikke sker på bekostning af borgernes retssikkerhed.
Den store opgave nu er at sikre, at sagen ikke bare bliver en enkelt kommunes ubehagelige oplevelse, men at den udløser den systematiske oprydning og kompetenceopbygning, som hele den kommunale sektor har brug for — inden AI-forordningens fulde krav træder i kraft, og inden flere borgere har betalt prisen for manglende risikovurderinger.