ChatGPT
- Leverantör
- OpenAI (USA)
- Kategori
- general_chat
- Webbplats
- https://chat.openai.com
- Hosting
- US (Azure-infrastruktur globalt). EU Data Residency-program finns för ChatGPT Enterprise — kräver kontakt med OpenAI sales.
Vad det är
Generell konversations-AI baserad på GPT-modellerna. Används till research, sammanfattningar, formulering, översättning, kodgenerering och brainstorming. Användaren skriver fritt i text, ChatGPT svarar konversationellt.
Typisk dataaccess
- All text och bild som användaren klistrar in eller laddar upp
- Tidigare meddelanden i samma konversation (kontextfönster, ~128k tokens i GPT-4-klassmodellerna)
- Vid "Custom GPTs" eller integrations: extern data som GPT:n explicit kopplats till
- Vid Team/Enterprise: ev. integrationer mot Drive, Gmail, etc om aktiverat
EU AI Act-bedömning
Risknivå: Limited (transparensplikt för generell konversations-AI)
Motivering: ChatGPT är en general-purpose AI-modell (GPAI) som inte automatiskt klassas som high-risk enligt Annex III. Användningen kan dock göra det high-risk — t.ex. om revisionsbyrån använder ChatGPT för att fatta automatiserade beslut om klientavtal eller anställdas prestationer (Annex III-områden). Då gäller high-risk-skyldigheter på användarsidan, inte på OpenAI.
GDPR-överväganden
Datalagring:
- Free + Plus: konversationer sparas på OpenAI:s servrar i USA
- Team + Enterprise: data lagras inte för modell-träning by default; konfigurerbart kvarhållande
- Free + Plus default sedan 2024: konversationer används till modell-träning om man inte explicit opt:at out via Settings → Data Controls
Datatransfer: Tredjelandsöverföring USA → EU. Standard Contractual Clauses (SCC) tillämpas via OpenAI:s DPA. EU-kunder bör säkerställa Article 28-compliance.
DPA tillgänglig: Ja, för Team/Enterprise. Free/Plus har bara konsumentavtal — inte tillräckligt för byrå som behandlar klientdata.
Särskilda risker:
- Risk att klientdata används till modell-träning om Free/Plus och opt-out missas
- Schrems II-implikationer vid tredjelandsöverföring
- "Memory"-funktionen (om aktiverad) lagrar info över sessioner — kan blanda data mellan klienter
Vanliga risker
- Anställd klistrar in klientdata för "snabb sammanfattning" → data hamnar i tredjelands-server
- Hallucinationer: ChatGPT genererar plausibla men felaktiga referenser, paragrafnummer, datum
- Inkonsekvent språk vid svensk fackterminologi (revisorslagen, ÅRL, K3-regelverk) — kan blanda terminologi
- "Custom GPTs" som tredje part skapat kan logga indata på sätt som inte är synligt för användaren
Rekommenderade mitigeringar
- Kräv Team eller Enterprise-licens för all professionell användning. Förbjud Free/Plus i policy.
- Aldrig klistra in klientmedel-information, granskningsbevis, eller sekretessbelagda dokument — oavsett licensnivå.
- Anonymisera person-/bolagsnamn innan input vid behov av hjälp med formulering
- Verifiera alltid juridiska/regulatoriska referenser mot primärkälla — ChatGPT kan citera obefintliga paragrafer
- Aktivera SSO och centraliserad användarhantering i Team/Enterprise
- Logga relevant användning i klientärenden enligt revisorslagens dokumentationsplikt
Branschspecifik vägledning – revision/redovisning
Får användas för:
- Allmän research kring redovisningsregelverk (men verifiera mot källa)
- Formulering av rapportstycken där inga klientuppgifter ingår
- Sammanfattning av offentliga dokument (årsredovisningar publicerade på Bolagsverket etc)
- Kodgenerering för Excel-makron, SQL-queries mot anonymiserad data
- Utbildningssyfte och egna anteckningar
Får INTE användas för:
- Inmatning av klientdata utan medgivande från klient (revisorslagen 19 §, sekretess)
- Granskningsbevis enligt ISA — AI-genererat material är inte tillräckligt självständigt för bevisvärde
- Beslut om klients fortlevnadsförmåga (going concern) — kräver professionell bedömning
- Genuint identifierande information om enskilda (CIN, lönelistor, hälsouppgifter)
- Strategiskt känsliga klientförhandlingar eller M&A-due-diligence-material
Särskild försiktighet vid:
- Konversationer där "Memory"-funktionen är aktiv — risk att kontext från klient A bär över till klient B
- "Code Interpreter"/"Advanced Data Analysis" — laddar upp filer som tolkas som data, riskerar att klientdata laddas upp
- Custom GPTs gjorda av tredje part — kontrollera vem som äger GPT:n och deras data-policy
Källor
- OpenAI Data Processing Addendum: https://openai.com/policies/data-processing-addendum
- OpenAI Enterprise Privacy: https://openai.com/enterprise-privacy
- OpenAI Trust Portal: https://trust.openai.com
- EU AI Act, Article 50 (transparency obligations for general-purpose AI)
- Revisorsinspektionens uttalande om AI i revision: behöver verifieras vid kommande uppdatering
Behöver ni hjälp att tolka detta för er specifika byrå?
Boka 30 min →