Hvordan vil du fortsætte?

Kontakt os
Back to Blog

6 trin til en GDPR-sikker AI-assistent – tjekliste til DPA’er

6 trin til en GDPR-sikker AI-assistent – tjekliste til DPA’er

EU’s databeskyttelses­forordning

Kommuner, virksomheder og uddannelsesinstitutioner tager i hastigt tempo AI-assistenter i brug til alt fra borgerservice til undervisnings­støtte. Men hver gang en chatbot “ser” personoplysninger, gælder de samme krav som for alle andre IT-systemer under EU’s databeskyttelses­forordning (GDPR). Derfor er en gennemarbejdet Databehandleraftale / Data Processing Agreement (DPA) mellem controller og processor, samt en række tekniske og organisatoriske foranstaltninger, helt afgørende, før den første prompt bliver tastet.(gdpr-info.eu, gdpr-info.eu)

Nedenfor finder du seks konkrete trin, som databeskyttelses­­rådgivere og it-ansvarlige kan følge for at sikre, at jeres AI-assistent lever op til GDPR-kravene fra dag 1.

Trin 1: Vælg det rigtige behandlingsgrundlag

GDPR kræver et klart retsgrundlag for hver behandling. Offentlige myndigheder vælger typisk som udgangspunkt art. 6(1)(e) “offentlig myndigheds­udøvelse / samfunds­interesse” samt hjemmel i relevant sektorlovgivning, mens private oftest bruger samtykke eller legitim interesse. Dokumentér valget, og beskriv det i privatlivspolitikken og cookie-banneret.(ico.org.uk, ico.org.uk)

Dokumentér sektorhjemmel (offentlig sektor)

Kommuner og andre myndigheder kan ikke nøjes med art. 6(1)(e) om “offentlig myndighedsudøvelse / samfundsinteresse”. Datatilsynet understreger, at behandlingen altid skal hvile på et supplerende retsgrundlag i EU- eller dansk ret, som specifikt giver adgang til den opgave AI-assistenten støtter, fx borgerservice, undervisning eller sagsbehandling. (Datatilsynet)

  • Kortlæg AI-løsningens formål: Beslutningsstøtte i sagsbehandling, FAQ-chat i borgerservice, læringsværktøj i folkeskolen osv.
  • Find hjemlen i relevant sektorlovgivning (Serviceloven § 112, Folkeskoleloven § 18 stk. 4, Skatteforvaltningsloven m.fl.).
  • Indsæt præcis paragraf i både DPIA, ROPA og systemdokumentation, så tilsynsmyndigheden kan følge kæden af lovhjemmel.
  • Afklar om hjemlen dækker både træning og drift af AI-modellen, hvis den underliggende AI-model fortsætter med at lære af nye data (koordiner med leverandør/underleverandører).

Trin 2: Indgå (og vedligehold) en stærk DPA

Art. 28 pålægger jer at have en skriftlig aftale, der beskriver formål, varighed, kategorier af data, sikkerheds­foranstaltninger og under­behandlere. Et godt udgangspunkt er datatilsynets Skabelon til databehandleraftale tilpas bilagene til AI-drift (model­hosting, vektor­databaser, GPU-udbydere). Husk version­styring: opdater DPA’en, når I skifter model eller føjer nye funktioner til.(gdpr.eu, gdpr-info.eu)

Trin 3: Dataminimering & prompt-redaction

Ifølge art. 5(1)(c) “data­minimering” må I kun behandle data, der er nødvendige. I praksis betyder det:

  • Maskér eller hash person­oplysninger i prompts, så modellen aldrig ser rå CPR-numre.

  • Implementér sikre regler og instruktioner i systemprompt, som AI-modellen genererer tekst på baggrund af.

  • Overvåg logs for angreb eller misbrug af løsningen.(ico.org.uk, latitude-blog.ghost.io)

Trin 4: Sletnings­procedurer & slettepolitik

GDPR kræver, at data slettes eller anonymiseres, når formålet er opfyldt [art. 5(1)(e)].

  • Sæt en automatisk slettepolitik på samtale­logs (fx 90 dage).

  • Dokumentér tidsfrister i jeres fortegnelse over behandlings­aktiviteter (ROPA).(ico.org.uk, gdprhub.eu)

Trin 5: Styring af under­behandlere

Leverandøren (processor) må ikke engagere nye sub-processorer uden jeres forudgående skriftlige godkendelse (art. 28(2)). Sørg for:

  1. Et change-management flow, hvor I får besked om nye GPU-centre eller SaaS-tjenester.

  2. Et register over alle aktuelle under­behandlere med kontakt­­information og datalokation.(gdpr-info.eu, gdprhub.eu)

Trin 6: DPIA og løbende audits

Hvis chatbotten behandler følsomme data eller profilerer brugere, skal der udføres en Data Protection Impact Assessment (DPIA) før go-live (art. 35). Brug f.eks. CNIL’s open-source PIA-tool til at kortlægge risici, og gentag vurderingen mindst én gang årligt eller ved større model­opdateringer.(github.com, cnil.fr)

Afrunding: sådan kommer I godt i gang

En GDPR-sikker AI-assistent kræver mere end krypteret trafik og et pænt cookie-banner. Ved at

  1. vælge korrekt retsgrundlag,

  2. indgå en detaljeret DPA, og

  3. indbygge data­minimering, sletning og audit,

viser I både Datatilsynet og brugerne, at I tager privatliv alvorligt.

Tag små, iterative skridt: start med en DPIA-workshop, opdater jeres DPA, og rul derefter tekniske kontroller ud. Når fundamentet er på plads, kan AI-assistenten levere værdi uden at blive et compliance-mareridt. Vil I spare tid, findes der færdige moduler, fx Promtes Privacy Layer, som automatiserer sikre instrukser i systemprompts, slettepolitik og sub-processor-håndtering.

Resultatet? En hurtigere, mere tillidsvækkende chatbot, som både brugere og tilsynsmyndigheder kan have ro i maven over.

Hvorfor Promte er et stærkt valg til GDPR-sikre AI-assistenter?

  • EU-lokal datalagring: al behandling og opbevaring foregår udelukkende på servere i EU, hvilket eliminerer transatlantiske overførsler. 

  • On-premises-mulighed: har I særlige krav (fx sundheds- eller borgerservice­data), kan Promte installeres fuldt ud i eget datacenter eller som hybridløsning. 

  • Kundetilpasset DPA & fuldt dataejerskab: Promte tilbyder standard-DPA’er og garanterer, at kunden altid ejer både rå data og trænede modeller.

  • Avanceret indholds- og sikkerheds­filter: real-time content filtering blokerer ulovligt eller følsomt indhold, mens IAM/IAP-kontroller servere sikrer rollebaseret adgang. 

  • Certificeret infrastruktur: underliggende cloud-tjenester er ISO 27001-, SOC 2- og PCI-DSS-certificerede, hvilket forenkler jeres egen compliance-dokumentation.

Kort sagt: Promte kombinerer fleksibiliteten ved generativ AI med en arkitektur, der er designet til de strengeste europæiske databeskyttelses­krav, klar til at blive plugget direkte ind i jeres eksisterende GDPR-styring.

Back to Blog
Cookie Settings
This website uses cookies

Cookie Settings

We use cookies to improve user experience. Choose what cookie categories you allow us to use. You can read more about our Cookie Policy by clicking on Cookie Policy below.

These cookies enable strictly necessary cookies for security, language support and verification of identity. These cookies can’t be disabled.

These cookies collect data to remember choices users make to improve and give a better user experience. Disabling can cause some parts of the site to not work properly.

These cookies help us to understand how visitors interact with our website, help us measure and analyze traffic to improve our service.

These cookies help us to better deliver marketing content and customized ads.