> 📥 Hele one-pageren findes som PDF. Download den øverst på siden — plan-distinktion, datatiering og det voksne svar i fem skridt.
En kunde spurgte mig, om de skulle droppe Claude på grund af den nye ID-verifikation fra 8. juli. Det er det forkerte spørgsmål. Det rigtige er todelt. Hvilken plan kører I på? Og hvilke data må overhovedet røre en amerikansk model? Her er det overblik, jeg bruger lige nu.
1 · Fakta om ID-verifikationen
Fra 8. juli 2026 kan Anthropic bede dig bekræfte alder eller identitet gennem tredjeparten Persona, før visse Claude-funktioner virker.
- Det gælder forbrugerplanerne Free, Pro og Max.
- Det gælder ikke Team, Enterprise eller Developer Platform/API. De kører på Commercial Terms — en separat aftale.
Så det første spørgsmål er ikke, hvem der ejer eller backer Persona. Det er, hvilken plan I kører på.
2 · Plan-distinktionen er nøglen
| Plantype | Hvad det betyder |
|---|---|
| Forbrugerplaner (Free / Pro / Max) | Forbrugervilkår. ID-verifikation. Jeres data kan bruges til at træne modellen, medmindre I aktivt framelder. Ingen databehandleraftale. Brug dem aldrig til virksomhedsdata. |
| Team / Enterprise (kommerciel aftale) | I er dataansvarlig, Anthropic er databehandler. De må ikke træne på jeres indhold. I beholder jeres input og ejer jeres output. Databehandleraftale med SCC'er er automatisk med. Ingen ID-verifikation. |
Bruger I Claude seriøst, så brug en virksomhedskonto. Også når udviklere koder med Claude Code. Aldrig en privat konto til arbejdsdata.
3 · Det der faktisk betyder noget: jurisdiktion
En amerikansk leverandør er underlagt amerikansk lov, uanset hvor serverne står. CLOUD Act (2018) rammer moderselskabet, ikke serverrummet i Frankfurt. EU Data Boundary og lignende flytter datalokationen, ikke jurisdiktionen. Det er hverken nyt eller unikt for Anthropic. Det gælder jeres amerikanske cloud og jeres amerikanske CRM på præcis samme måde.
At flygte til kinesiske modeller løser ikke det. Du bytter ikke risikoen væk. Du bytter den ud med en, der er sværere at gennemskue.
GDPR-vinklen: claude.com er en tredjelandsoverførsel (Kapitel V). Den kan i dag hvile på Data Privacy Framework (gyldigt siden juli 2023), men det grundlag er skørt. Det er under appel ved EU-Domstolen (sag C-703/25 P) og hviler på en amerikansk præsidentordre, som en kommende administration kan ændre.
Derfor: hold en SCC-fallback klar. SCC'erne ligger allerede i Anthropics databehandleraftale, og vil I have data liggende i EU, så kør via fx AWS Bedrock EU (Irland eller Frankfurt).
4 · Hvilke data må røre en amerikansk model?
| Tier | Eksempler |
|---|---|
| 🟢 GRØNT — ofte ok | Når input er renset for persondata: strategi og analyse, markedsføring, intern viden, design, kodning uden forretningshemmeligheder. |
| 🟡 GULT — hellere EU | Kør via EU-hosting: kundeservice-indhold, personalisering og anbefalinger, leverandørdata. |
| 🔴 RØDT — ikke US | Ikke på amerikansk infrastruktur: kundepersondata, HR-data, følsomme kontrakter, særlige kategorier som helbred og biometri. |
5 · Det voksne svar (gør det her)
1. Find ud af, hvilken plan I er på. Forbrugerplan eller kommerciel aftale (Team/Enterprise). Det afgør både ID-kravet og hvilke vilkår jeres data behandles under.
2. Læs jeres databehandleraftale (GDPR art. 28). Hvor lander data, hvem er underdatabehandlere, og er leverandøren DPF-certificeret? Tjek den officielle liste på dataprivacyframework.gov.
3. Beslut datatiering. Hvilke data må overhovedet røre en amerikansk model? Persondata, særlige kategorier (art. 9), forretningshemmeligheder og kundedata hører ikke nødvendigvis samme sted hen. Skriv det ned.
4. Hold en SCC-fallback klar. Falder DPF ved Domstolen, står de virksomheder bedst, der allerede har SCC'er og en transfer impact assessment på plads. Vent ikke på dommen.
5. Reguleret branche eller leverandør til en styrelse? Få jeres DPO eller en advokat ind nu, ikke efter beslutningen er truffet.
> ⚠️ Disclaimer. Dette er generel praktisk vejledning, ikke juridisk rådgivning eller compliance-rådgivning, og jeg er ikke advokat eller compliance-specialist. Brug det ikke som beslutningsgrundlag på egen hånd. Tag altid jeres egen compliance- eller juridiske afdeling og jeres DPO med på råd om jeres konkrete situation, før I træffer en leverandør- eller databeslutning. Tidslinjer og retspraksis flytter sig: bekræft datoer og status mod primære kilder (EUR-Lex, Europa-Kommissionen, Datatilsynet). Status pr. juni 2026.
📬 Tilmeld nyhedsbrevet "AI, Built Human" på Substack — feltet her ændrer sig hver uge.
Stefano Vincenti · AI-konsulent & ekstern underviser, IT-Universitetet i København · Cofounder & CTO BotTellMe · Partner, TryZone · aitrainer.dk