Identitetsbekræftelse | Dit ansigt og dine data tilhører ikke dig – Anthropic (Claude), LinkedIn og den nye økonomi med biometrisk kontrol

ID, tak! Hvordan AI-platforme tager total kontrol over vores digitale identiteter

Dataens hemmelige kraft: Hvordan Anthropic, LinkedIn og OpenAI outsourcer vores ansigter til tredjeparter

De, der ønsker at bruge moderne AI-systemer, betaler ikke længere kun med abonnementsgebyrer, men i stigende grad med de mest følsomme data, vi besidder: vores biometriske identitet. Det seneste tiltag fra Anthropic, virksomheden bag den berømte AI-assistent Claude, markerer et vidtrækkende vendepunkt inden for digital infrastruktur. For at bruge visse funktioner kræver systemet nu et officielt billed-ID parret med en live-selfie. Det, der præsenteres for omverdenen som et harmløst, nødvendigt skridt for platformhygiejne og forebyggelse af misbrug, viser sig ved nærmere eftersyn at være et minefelt for databeskyttelse. Dette skyldes, at de biometriske data ikke ender hos Anthropic selv, men hos Persona – en amerikansk tredjepartsudbyder, der er dybt forankret i investornetværket for Peter Thiels overvågningsfirma Palantir, som også håndterer verifikation for giganter som LinkedIn og OpenAI. Den følgende artikel kaster lys over denne risikable sammenfiltring af den nye identitetsøkonomi, forklarer den uløselige konflikt mellem den amerikanske CLOUD Act og den europæiske GDPR og viser, hvorfor virksomheder nu presserende har brug for at gentænke deres AI-strategi for at undgå at falde i en eksistentiel ansvars- og afhængighedsfælde.

Relateret til dette:

• De tyske væbnede styrker opgiver Palantir og undersøger alternativer: Almato (Stuttgart), Orcrist (Berlin) og Chapsvision (Paris)

Når tillid bliver en handelsvare: Hvordan AI-platforme tager kontrol over digitale identiteter

Anthropic, virksomheden bag AI-assistenten Claude, introducerede i starten af ​​april 2026 en foranstaltning, der har udløst betydelig debat i branchen: obligatorisk identitetsbekræftelse for udvalgte brugere ved hjælp af et officielt billed-ID og en live-selfie. Enhver, der ønsker at bruge Claude i bestemte situationer, skal gennemgå en biometrisk proces udført af en amerikansk tredjepartsudbyder. Denne beslutning er teknisk set triviel, men politisk og økonomisk vidtrækkende – og den berører problemstillinger, der rækker langt ud over platformhygiejne. Anthropic er ikke alene om dette: LinkedIn, Reddit, Discord og OpenAI bruger alle den samme infrastruktur, den samme tjenesteudbyder og det samme investornetværk. Og heri ligger det virkelige problem.

Værdiansættelse, markedsstyrke og ansvar for systemisk vigtig infrastruktur

For at forstå konsekvenserne af denne beslutning er det nødvendigt først at se på Anthropics nuværende markedsposition. I februar 2026 afsluttede virksomheden, der blev grundlagt i 2021 af tidligere OpenAI-forskere, en Serie G-finansieringsrunde på 30 milliarder dollars og opnåede en værdiansættelse efter kapitalgevinsten på 380 milliarder dollars – den næststørste private finansieringsrunde i teknologibranchens historie, kun overgået af OpenAIs runde på 40 milliarder dollars. Den årlige omsætning ligger på 14 milliarder dollars, hvor omsætningen alene fra udviklerværktøjet Claude Code oversteg en årlig rate på 2,5 milliarder dollars i februar 2026. Cirka 80 procent af dens omsætning kommer fra virksomhedskunder.

Værdiansættelsen indebærer en omsætningsmultiplikator på omkring 27 – højt, men ikke exceptionelt i det nuværende AI-investeringsmiljø. Amazon er den største enkeltinvestor med cirka 8 milliarder dollars, sammen med Singapores statsejede investeringsfond GIC og Coatue Management som førende investorer. Founders Fund, Peter Thiels investeringsselskab, var med til at lede runden. Det betyder, at Anthropic ikke længere er en startup i traditionel forstand, men en systemisk vigtig infrastrukturudbyder for tusindvis af virksomheder verden over. Det er netop denne status, der gør beslutningen vedrørende identitetsverifikation så bemærkelsesværdig: En virksomhed, der leverer kerneinfrastruktur til virksomheds-AI, delegerer indsamlingen af ​​biometriske brugerdata til en ekstern amerikansk udbyder uden at opbygge sin egen databeskyttelsesarkitektur, der er i overensstemmelse med europæisk lov.

Personaidentiteter: Den tavse rygrad i den digitale identitetsøkonomi

Den verifikationsudbyder, som Anthropic valgte, er Persona Identities, en San Francisco-baseret startup med speciale i Know Your Customer (KYC) og identitetsverifikationsløsninger. I april 2025 afsluttede Persona en Serie D-finansieringsrunde på 200 millioner dollars og opnåede en værdiansættelse på 2 milliarder dollars. Runden blev ledet i fællesskab af Founders Fund og Ribbit Capital med deltagelse af eksisterende investorer som BOND, Coatue, First Round Capital og Index Ventures. Alene i 2024 udførte virksomheden over 300 millioner identitetsverifikationer, samtidig med at den fordoblede både sin omsætning og kundebase. Dens klientvirksomheder inkluderer Reddit, LinkedIn, OpenAI, Discord, Roblox og mange andre store platforme. Persona er dermed blevet den faktiske identitetsinfrastruktur for store dele af det engelsktalende internet.

Det, der dominerer den offentlige diskussion, er imidlertid investorlandskabet. Founders Fund er Peter Thiels inspirationskilde, den tysk-amerikanske iværksætter og venturekapitalist, der var med til at grundlægge PayPal i 1998, byggede Palantir Technologies i 2003 og har ledet Founders Fund siden 2005. Thiel er formand for Palantirs bestyrelse – en stilling, han har haft uafbrudt siden virksomhedens grundlæggelse. Ifølge forskellige rapporter ejer Founders Fund cirka 10 procent af Persona og ledte både Serie C- og Serie D-finansieringsrunderne. Det, der er særligt slående, er, at Persona ifølge en detaljeret analyse oplister omkring 17 underdatabehandlere, herunder AWS, Google, OpenAI, Stripe, Twilio – og potentielt Anthropic selv. LinkedIn modtager ifølge sine egne udsagn kun en lille del af disse data: navn, fødselsår, verifikationsresultat og en redigeret version af ID'et. Det langt mere omfattende datasæt forbliver hos Persona.

Arkitekturen af ​​gensidig afhængighed: Mere end blot et investorforhold

På dette tidspunkt er der behov for en mere nuanceret sondring, en sondring der ofte udelades i den offentlige debat. Den forenklede ligning "Thiel investerer i Persona, derfor kan Palantir få adgang til Personas data" er unøjagtig. Peter Thiel er ikke grundlægger, administrerende direktør eller operationel beslutningstager hos Persona. Founders Fund ejer en minoritetsandel og har ingen dokumenteret operationel kontrol over Personas datapolitikker.

Det, der dog giver legitim grund til bekymring, er det strukturelle niveau: Founders Fund, som hovedinvestor, ledte de mest betydningsfulde finansieringsrunder og besidder dermed såkaldte informationsrettigheder – kontraktlig adgang til nøglepersoner i virksomheden, kundeudvikling og strategisk retning. Thiel fungerer samtidig som bestyrelsesformand for Palantir, hvis hele forretningsmodel er bygget på at sammensmelte heterogene datasæt til sammenhængende identitets- og adfærdsprofiler. Sikkerhedsforskere, der analyserede Personas systemer i forbindelse med offentlige debatter, opdagede næsten 2.500 offentligt tilgængelige frontend-filer på en server, der er godkendt af den amerikanske regering – filer, der afslørede 269 forskellige verifikationskontroller pr. bruger, herunder ansigtsgenkendelse mod eftersøgte lister og kontroller mod lister over politisk eksponerede personer. I denne forstand er forretningsmodellerne for Palantir og Persona arkitektonisk komplementære: Persona producerer verificerede biometriske identitetsankre, mens Palantir skaber infrastrukturen til datafusion og -analyse. Der er ikke dokumenteret nogen dataoverførsel mellem de to virksomheder. Men styringsstrukturen skaber en informativ nærhed, der ikke kan ignoreres, når man behandler biometriske data fra millioner af brugere.

Palantirs virkelighed: Fra efterretningspartner til tysk politiinfrastruktur

For at fuldende konteksten er det vigtigt at overveje Palantirs faktiske drift. Virksomheden blev grundlagt i 2003, primært med startkapital fra CIAs venturekapitalafdeling, In-Q-Tel. Dens oprindelige kerneprodukt, Gotham-platformen, bruges til at analysere og flette heterogene datasæt til retshåndhævende myndigheder og efterretningstjenester. Den amerikanske immigrations- og toldmyndighed (ICE) har brugt Palantir i mere end et årti til sit Investigative Case Management (ICM)-system.

I april 2025 modtog Palantir en kontrakt til en værdi af cirka 30 millioner dollars fra ICE om at udvikle Immigration Lifecycle Operating System (ImmigrationOS) - et deportationsfokuseret system, der genererer algoritmiske konfidensscorer for deportationsbeslutninger og aggregerer data fra forskellige kilder. En opfølgende kontrakt til en værdi af cirka 30 millioner dollars til systemvedligeholdelse blev tildelt i oktober 2025. Alene siden Trumps indsættelse i begyndelsen af ​​2025 har Palantir modtaget milliarder af dollars i føderale kontrakter.

Den europæiske udrulning er allerede langt fremme: Palantir-software bruges af det bayerske politi under navnet VeRA, af politiet i Hessen under navnet HessenData og af politiet i Nordrhein-Westfalen. Databeskyttelseseksperter beskriver den eksisterende rammeaftale, der giver alle delstater mulighed for at bruge systemet uden en ny udbudsproces, som et "brud på dæmningen" med strukturel afhængighed. Dette rejser et fundamentalt juridisk spørgsmål: Som amerikansk virksomhed er Palantir bundet af den amerikanske CLOUD Act, der forpligter amerikanske virksomheder til at give den amerikanske regering adgang til data uanset serverplacering – en konflikt, der ikke kan løses strukturelt gennem kontraktklausuler.

Discord-sagen: Et advarselstegn, som Anthropic bevidst ignorerede

De strukturelle risici forbundet med Persona var allerede til offentlig debat før Anthropics beslutning. Discord havde brugt Persona til identitets- og aldersbekræftelse og mødte straks massiv kritik fra brugerne. Kritikken stammede fra kombinationen af ​​Thiel-forbindelsen og manglende gennemsigtighed i databehandling. Samtidig kom det frem, at en anden udbyder af aldersbekræftelse, som Discord havde brugt til nogle af sine brugere, havde kompromitteret cirka 70.000 officielle identifikationsdokumenter – en hændelse, der pludselig fremhævede de iboende risici ved at outsource biometrisk identitetsbekræftelse til tredjepartsudbydere.

Sikkerhedsforskere, der analyserede Personas systemer under denne debat, opdagede de førnævnte offentligt tilgængelige frontend-filer på et FedRAMP-godkendt regeringsendpunkt - en server mærket med kodenavne for aktive efterretningsprogrammer. Personas administrerende direktør, Rick Song, beskrev de eksponerede filer som offentligt tilgængelig kode uden sikkerhedsmæssige implikationer. Discord afsluttede sit partnerskab med Persona umiddelbart efter debatten og skiftede til andre udbydere. At Anthropic alligevel valgte den samme tjenesteudbyder blot få uger efter denne bredt omtalte hændelse, er en bevidst strategisk beslutning - og bør analyseres som sådan. Det antyder, at for Anthropic havde compliance-overvejelser og muligheden for hurtig implementering forrang frem for omdømme- og databeskyttelsesrisici.

Hvad antropisk lover – og hvilke huller der stadig er

Anthropics officielle kommunikation vedrørende identitetsverifikation er bemærkelsesværdigt defensiv. Virksomheden understreger, at identitetsdata ikke bruges til at træne modeller, at kun de minimumsoplysninger, der kræves til verifikation, indsamles, og at enhver deling med tredjeparter udelukkende sker med Persona og er baseret på juridiske krav. Anthropic beskriver sig selv som "Dataansvarlig", der fastsætter reglerne for brugens varighed og formål, mens Persona fungerer som databehandler. Verifikation kan udløses ikke kun ved målrettet adgang til specifikke funktioner, men også ved "rutinemæssige integritetstjek" - hvilket betyder, at virkningen er uafhængig af situationen.

Anthropic specificerer eksplicit ikke opbevaringsperioden – hvor længe ID-kopier og selfies rent faktisk gemmes – i sin offentlige kommunikation. Dette er et betydeligt informationshul, da biometriske data betragtes som særlige kategoridata i henhold til EU-lovgivningen, som defineret i artikel 9 i GDPR, og er underlagt skærpede databeskyttelsesforpligtelser. Der er intet EU-datacenter, ingen garanteret datalagring i EU, og det eneste retsgrundlag for dataoverførsel til USA er standardkontraktklausuler (SCC'er). Det, Persona rent faktisk indsamler fra brugere, går langt ud over en simpel sammenligning: Ud over navn, pasfoto, ansigtsgeometri og NFC-chipdata fra passet indsamles også IP-adresse, enhedstype, placeringsdata og adfærdsdata – herunder hvor længe en bruger tøver, eller om de kopierer oplysninger.

Vores ekspertise i EU og Tyskland inden for forretningsudvikling, salg og marketing - Billede: Xpert.Digital

Branchefokusområder: B2B, digitalisering (fra AI til XR), maskinteknik, logistik, vedvarende energi og industri

Mere information her:

• Ekspert Business Hub

Et tematisk knudepunkt, der tilbyder indsigt og ekspertise:

• Vidensplatform, der dækker globale og regionale økonomier, innovation og branchespecifikke tendenser
• En samling af analyser, indsigter og baggrundsinformation fra vores vigtigste fokusområder
• Et sted for ekspertise og information om aktuelle udviklinger inden for erhvervsliv og teknologi
• Et knudepunkt for virksomheder, der søger information om markeder, digitalisering og brancheinnovationer

CLOUD Act versus GDPR: Den uløselige juridiske konflikt

Den faktiske effektivitet af standardkontraktbestemmelser er blevet betydeligt begrænset efter Schrems II-dommen fra EU-Domstolen i juli 2020. Mens EU-US Data Privacy Framework har dannet et supplerende retsgrundlag siden juli 2023, er denne ramme også underlagt det faktum, at amerikanske virksomheder er underlagt National Security Act og FISA Section 702 – dvs. statslig overvågning, der fundamentalt modsiger beskyttelsen af ​​​​europæiske grundlæggende rettigheder.

Kerneproblemet her er en direkte lovkonflikt: Artikel 48 i GDPR er utvetydig – domme og afgørelser fra udenlandske myndigheder, der kræver, at en dataansvarlig overfører personoplysninger, anerkendes kun, hvis de er baseret på en international aftale. CLOUD Act er ikke baseret på en sådan aftale – den omgår dem bevidst. I praksis betyder det, at en amerikansk cloududbyder, der overholder en CLOUD Act-ordre og overfører europæiske kunders data til amerikanske myndigheder, overtræder GDPR. Hvis den ikke overholder reglerne, overtræder den amerikansk lov. Denne konflikt er strukturel og kan ikke løses ved hjælp af kontraktbestemmelser eller standardkontraktbestemmelser. I denne sammenhæng garanterer standardkontraktbestemmelser ikke beskyttelse, men fungerer snarere som et juridisk figenblad.

Relateret til dette:

• Beskyttelse mod CLOUD Act – Væk fra amerikanske clouds: Airbus planlægger at trække sig tilbage og stopper med at give følsomme data

Den undervurderede ansvarsrisiko for virksomheder på arbejdspladsen

For virksomheder, der bruger Claude i en forretningsmæssig sammenhæng, opstår der et umiddelbart spørgsmål. GDPR forpligter dataansvarlige til at påvise et eksplicit retsgrundlag for enhver form for databehandling. Biometriske data falder ind under de særlige datakategorier i henhold til artikel 9 i GDPR, hvis behandling generelt er forbudt, medmindre en af ​​de snævert definerede undtagelser finder anvendelse. Desuden udløser AI-systemer, der behandler biometriske data, forpligtelsen til at udføre en konsekvensanalyse vedrørende databeskyttelse (DPIA) i henhold til artikel 35 i GDPR – en forpligtelse, der ifølge den tyske databeskyttelseskonferences sortliste eksplicit gælder for brugen af ​​AI til behandling af personoplysninger.

EU's AI-lov strammer denne juridiske ramme betydeligt fra august 2026. Biometrisk fjernidentifikation i realtid i offentlige rum har været forbudt siden februar 2025. AI-baserede identitetsverifikationssystemer kan, i det omfang de bruges til følsomme beslutninger, klassificeres som højrisiko-AI-systemer og er derefter underlagt strenge certificeringskrav, gennemsigtighedsforpligtelser og forpligtelser til menneskeligt tilsyn. Overtrædelser kan straffes med bøder på op til 35 millioner euro eller 7 procent af den globale årlige omsætning – et højere maksimum end under GDPR. I USA er den juridiske situation også risikabel fra et forretningsmæssigt perspektiv: Illinois Biometric Information Privacy Act (BIPA) giver ret til at sagsøge selv uden bevis for faktisk skade og fastsætter erstatning på 1.000 dollars pr. uagtsom overtrædelse og 5.000 dollars pr. forsætlig overtrædelse – potentielt en eksistentiel ansvarsrisiko for virksomheder, der bruger Claude i deres daglige drift.

Platformkontrol gennem identifikation: Den iværksætteriske logik bag det

Anthropics beslutning kan ikke vurderes udelukkende ud fra et databeskyttelsesperspektiv – den følger en sund forretningslogik. AI-platforme verden over står over for et stigende regulatorisk pres for at forhindre misbrug. Den stigende brug af sprogmodeller til at generere phishing-materiale, desinformation og ikke-samtykkende syntetisk materiale tvinger udbydere til at implementere modforanstaltninger, der går ud over blot modelsikkerhed.

Identitetsverifikation er en oplagt mekanisme til brugersegmentering i denne sammenhæng: verificerede brugere får adgang til mere kraftfulde funktioner; ubekræftede brugere holdes på en reguleret basisversion. Dette svarer til den etablerede freemium-model, men er knyttet til biometriske data. For en virksomhed med en værdiansættelse på 380 milliarder dollars og over 80 procent virksomhedskunder er muligheden for at implementere granulær brugerkontrol en betydelig strategisk fordel. Desuden positionerer Anthropic sig som en sikkerhedsfokuseret virksomhed – og adskiller sig eksplicit fra OpenAI. Identitetsverifikation spiller ind i denne fortælling: det kan kommunikeres som en accept af ansvar for potentielle sikkerhedsrisici, selvom det samtidig skaber nye databeskyttelsesrisici. Dette er et klassisk eksempel på, hvordan sikkerhedsretorik bruges til at legitimere foranstaltninger, der er problematiske ud fra et databeskyttelsesperspektiv.

Leverandørfastlåsning: Den undervurderede strategiske trussel mod virksomheder

Ud over det specifikke aspekt vedrørende databeskyttelse illustrerer Anthropic Persona-sagen et mere fundamentalt problem, der ofte undervurderes i virksomhedsledelse: afhængighed af en specifik AI-platform og dens økosystempartnere. Virksomheder, der har bygget deres AI-infrastruktur udelukkende på Claude, står over for en situation, der i litteraturen kaldes leverandørlåsning. Denne afhængighed stammer ikke primært fra kontraktklausuler, men fra teknisk integration: specialiserede API'er, proprietære promptarkitekturer, modelspecifik finjustering og indgroede interne arbejdsgange gør det dyrt og tidskrævende at skifte platform.

Den strategiske trussel manifesterer sig netop, når udbyderen introducerer ensidige ændringer – hvad enten det drejer sig om et nyt adgangskrav såsom biometrisk verifikation, en prisstigning, en revideret brugspolitik eller en geopolitisk motiveret tilbagetrækning fra markedet. For virksomheder, der har bygget deres kerneprocesser på en enkelt AI-udbyder, er sådanne ændringer ikke længere en forhandlingsmulighed, men en operationel risiko. Manglen på en exitstrategi er en anerkendt alvorlig mangel i IT-styring; inden for AI-området er det endnu mere kritisk på grund af kompleksiteten af ​​afhængighederne. Separat har det amerikanske regeringskontor allerede peget på huller i databeskyttelsen i den føderale AI-styring og klassificeret koncentrationen af ​​følsomme identitetsdata hos tredjepartsudbydere som en systemisk risiko.

Modeluafhængighed som et arkitektonisk princip for digital modstandsdygtighed

Det konceptuelt korrekte svar på den risikosituation, der beskrives her, er en modeluafhængig AI-arkitektur. Dette princip har været etableret i cloud-infrastruktur i årevis: Multi-cloud-strategier, der fordeler arbejdsbyrder på tværs af flere udbydere, minimerer afhængigheder og muliggør hurtig skift i tilfælde af en afbrydelse. Det samme princip gælder for LLM-arkitekturer. En modeluafhængig AI-infrastruktur kræver teknisk set, at orkestreringslaget - det vil sige agentsystemerne, arbejdsgangene og integrationerne - er abstraheret fra den respektive modelimplementering. Standardiserede API'er skaber initial portabilitet; dog kræver ægte modeluafhængighed på lang sigt en konsekvent udvikling af et dedikeret abstraktionslag: en AI-gateway-arkitektur, der behandler modeller som udskiftelige moduler.

Open source-modeller spiller en stadig vigtigere rolle i denne strategi. Llama 4 og Mistral Large har næsten nået præstationsniveauet for kommercielle frontier-modeller i mange use cases. Virksomheder, der i dag investerer i evnen til at operere on-premise eller cloud-ejede modeller, opbygger strategisk robusthed, hvilket betyder, at den næste ensidige platformbeslutning fra en udbyder ikke længere skal evalueres fra bunden.

GDPR-overholdelse: Hvad virksomheder skal gøre nu

Den anbefalede fremgangsmåde for virksomheder, der bruger Claude, er klart struktureret. Først skal det afgøres, om deres egne medarbejdere eller systemer er eller kan blive påvirket af kravet om identitetsbekræftelse. Da Anthropic også kan udløse verifikation som en del af rutinemæssige integritetskontroller, kan påvirkning uanset den specifikke situation ikke udelukkes.

Derefter skal databeskyttelsesforpligtelserne være opfyldt: Enhver, der bruger Claude som databehandler i henhold til GDPR, skal sikre, at der findes en gyldig databehandleraftale med Anthropic. Konsekvensanalyser af dataoverførsler (TIA'er) skal være på plads for dataoverførsler til Persona som underdatabehandler. Konsekvensanalyser af databeskyttelse skal opdateres, da biometriske data kræver udtrykkeligt samtykke eller et andet snævert defineret retsgrundlag i henhold til artikel 9 i GDPR. Inddragelse af virksomhedens databeskyttelsesrådgiver er ikke en valgfri forholdsregel, men en juridisk forpligtelse. Europæiske virksomheder rådes også til at undersøge, om kundeadministrerede krypteringsnøgler er teknisk muligt – fordi kun denne tilgang effektivt forhindrer amerikanske myndigheder i at få adgang til dataindhold via CLOUD Act.

Det større billede: Hvem kontrollerer morgendagens infrastruktur

Sagen om Anthropic Persona er mere end et privatlivsspørgsmål – det er en advarende fortælling om magtkoncentrationen i det 21. århundredes digitale infrastruktur. Et par tæt forbundne virksomheder kontrollerer i stigende grad internettets identitetsinfrastruktur: Persona udfører 300 millioner verifikationer årligt, og Reddit, LinkedIn, OpenAI og nu Claude bruger alle det samme system. Investorerne i disse virksomheder – Founders Fund, Coatue, Index Ventures – har andele i mange af disse platforme samtidigt.

Det er ikke konspirationstænkning, men strukturel analyse at spørge: Hvem har interesse i at kunne forbinde verificerede biometriske identitetsankre med adfærdsdata fra millioner af brugerinteraktioner? Og hvem ville have den teknologiske kapacitet og den institutionelle interesse i at flette disse datapunkter sammen? Palantirs kernekompetence er netop denne datafusion – og dets stiftende formand er den mest betydningsfulde investor i den førende udbyder af identitetsverifikation på internettet. Den europæiske reaktion på denne magtkoncentration er allerede nedfældet i EU's AI-lov og GDPR, men i praksis er den ofte underfinansieret og underimplementeret. Europæiske tilsynsmyndigheder har mulighed og forpligtelse til at underkaste Anthropics identitetsverifikationssystem en grundig undersøgelse – denne undersøgelse er længe ventet.

Teknologisk forandring kræver institutionel balance

Anthropics identitetsbekræftelsesforanstaltning er ikke i sig selv skandaløs. Andre store platforme implementerer lignende procedurer, og målet om at forhindre misbrug er legitimt. Hvad der mangler, er imidlertid proportionalitet: en procedure, der efterlader det mindst mulige dataaftryk, behandles inden for EU's retlige rammer og giver transparente oplysninger om varigheden, placeringen og formålet med behandlingen. Anthropics egen kommunikation vedrørende opbevaringsperioden forbliver bevidst vag – en konstatering, der er uacceptabel for biometriske data, der tilhører en særlig kategori under GDPR.

Det virkelige budskab i denne episode er strukturelt: I en verden, hvor AI-assistenter er blevet infrastrukturen for millioner af arbejdsprocesser, er deres operatørers beslutninger ikke længere et internt virksomhedsanliggende. Det er infrastrukturbeslutninger med offentlige konsekvenser – og bør gøres transparente og reguleres i overensstemmelse hermed. Virksomheder, der er afhængige af Claude, bør ikke vente, indtil det næste ensidige skridt tages, med at begynde at lede efter alternativer. Modstandsdygtighed begynder med modeluafhængighed – og modeluafhængighed begynder i dag.