ChatGPT
- Leverantör
- OpenAI (USA)
- Kategori
- general_chat
- Webbplats
- https://chat.openai.com
Vad det är
Generell konversations-AI baserad på GPT-modellerna. Används till research, sammanfattningar, formulering, översättning, kodgenerering och brainstorming. Användaren skriver fritt i text, ChatGPT svarar konversationellt.
Typisk dataaccess
- All text och bild som användaren klistrar in eller laddar upp
- Tidigare meddelanden i samma konversation (kontextfönster, ~128k tokens i GPT-4-klassmodellerna)
- Vid "Custom GPTs" eller integrations: extern data som GPT:n explicit kopplats till
- Vid Team/Enterprise: ev. integrationer mot Drive, Gmail, etc om aktiverat
EU AI Act-bedömning
Risknivå: Limited (transparensplikt för generell konversations-AI)
Motivering: ChatGPT är en general-purpose AI-modell (GPAI) som inte automatiskt klassas som high-risk enligt Annex III. Användningen kan dock göra det high-risk — t.ex. om revisionsbyrån använder ChatGPT för att fatta automatiserade beslut om klientavtal eller anställdas prestationer (Annex III-områden). Då gäller high-risk-skyldigheter på användarsidan, inte på OpenAI.
GPAI-status (2026): OpenAI är signatär av EU:s GPAI Code of Practice (publicerad 2025-07-10; GPAI-skyldigheter gäller från 2025-08-02) och har skrivit under alla kapitel (transparens, upphovsrätt, säkerhet). Article 50-transparensplikten (märkning av AI-genererat innehåll) gäller deployern — byrån — från 2026-08-02 (möjlig förskjutning till 2026-12-02 via Digital Omnibus, ej fastställt).
GDPR-överväganden
Datalagring:
- Free + Plus: konversationer sparas på OpenAI:s servrar i USA
- Team + Enterprise: data lagras inte för modell-träning by default; konfigurerbart kvarhållande
- Free + Plus default sedan 2024: konversationer används till modell-träning om man inte explicit opt:at out via Settings → Data Controls
Datatransfer: Tredjelandsöverföring USA → EU. Standard Contractual Clauses (SCC) tillämpas via OpenAI:s DPA. EU-kunder bör säkerställa Article 28-compliance.
DPA tillgänglig: Ja, för Team/Enterprise. Free/Plus har bara konsumentavtal — inte tillräckligt för byrå som behandlar klientdata.
Särskilda risker:
- Risk att klientdata används till modell-träning om Free/Plus och opt-out missas
- Schrems II-implikationer vid tredjelandsöverföring
- "Memory"-funktionen (om aktiverad) lagrar info över sessioner — kan blanda data mellan klienter
Vanliga risker
- Anställd klistrar in klientdata för "snabb sammanfattning" → data hamnar i tredjelands-server
- Hallucinationer: ChatGPT genererar plausibla men felaktiga referenser, paragrafnummer, datum
- Inkonsekvent språk vid svensk fackterminologi (revisorslagen, ÅRL, K3-regelverk) — kan blanda terminologi
- "Custom GPTs" som tredje part skapat kan logga indata på sätt som inte är synligt för användaren
Rekommenderade mitigeringar
- Kräv Team eller Enterprise-licens för all professionell användning. Förbjud Free/Plus i policy.
- Aldrig klistra in klientmedel-information, granskningsbevis, eller sekretessbelagda dokument — oavsett licensnivå.
- Anonymisera person-/bolagsnamn innan input vid behov av hjälp med formulering
- Verifiera alltid juridiska/regulatoriska referenser mot primärkälla — ChatGPT kan citera obefintliga paragrafer
- Aktivera SSO och centraliserad användarhantering i Team/Enterprise
- Logga relevant användning i klientärenden enligt revisorslagens dokumentationsplikt
Branschspecifik vägledning – revision/redovisning
Får användas för:
- Allmän research kring redovisningsregelverk (men verifiera mot källa)
- Formulering av rapportstycken där inga klientuppgifter ingår
- Sammanfattning av offentliga dokument (årsredovisningar publicerade på Bolagsverket etc)
- Kodgenerering för Excel-makron, SQL-queries mot anonymiserad data
- Utbildningssyfte och egna anteckningar
Får INTE användas för:
- Inmatning av klientdata utan medgivande från klient (revisorslagen 19 §, sekretess)
- Granskningsbevis enligt ISA — AI-genererat material är inte tillräckligt självständigt för bevisvärde
- Beslut om klients fortlevnadsförmåga (going concern) — kräver professionell bedömning
- Genuint identifierande information om enskilda (CIN, lönelistor, hälsouppgifter)
- Strategiskt känsliga klientförhandlingar eller M&A-due-diligence-material
Särskild försiktighet vid:
- Konversationer där "Memory"-funktionen är aktiv — risk att kontext från klient A bär över till klient B
- "Code Interpreter"/"Advanced Data Analysis" — laddar upp filer som tolkas som data, riskerar att klientdata laddas upp
- Custom GPTs gjorda av tredje part — kontrollera vem som äger GPT:n och deras data-policy
Källor
- OpenAI Data Processing Addendum: https://openai.com/policies/data-processing-addendum
- OpenAI Enterprise Privacy: https://openai.com/enterprise-privacy
- OpenAI EU data residency (storage + inference): https://openai.com/index/expanding-data-residency-access-to-business-customers-worldwide/ · https://help.openai.com/en/articles/9903489-data-residency-and-inference-residency-for-chatgpt
- OpenAI hur data används / Data Controls (consumer opt-out): https://help.openai.com/en/articles/5722486-how-your-data-is-used-to-improve-model-performance
- EU GPAI Code of Practice — signatärlista: https://digital-strategy.ec.europa.eu/en/policies/signatory-taskforce-gpai-code-practice
- Revisorsinspektionens uttalande om AI i revision: behöver verifieras vid kommande uppdatering
Relaterade verktyg
Andra verktyg i samma kategori och fas — kan ha liknande överväganden.
Behöver ni hjälp att tolka detta för er specifika byrå?
Boka 30 min →