6 trin til en GDPR-sikker AI-assistent – tjekliste til DPA’er

EU’s databeskyttelses­forordning

Kommuner, virksomheder og uddannelsesinstitutioner tager i hastigt tempo AI-assistenter i brug til alt fra borgerservice til undervisnings­støtte. Men hver gang en chatbot “ser” personoplysninger, gælder de samme krav som for alle andre IT-systemer under EU’s databeskyttelses­forordning (GDPR). Derfor er en gennemarbejdet Databehandleraftale / Data Processing Agreement (DPA) mellem controller og processor, samt en række tekniske og organisatoriske foranstaltninger, helt afgørende, før den første prompt bliver tastet.(gdpr-info.eu, gdpr-info.eu)

Nedenfor finder du seks konkrete trin, som databeskyttelses­­rådgivere og it-ansvarlige kan følge for at sikre, at jeres AI-assistent lever op til GDPR-kravene fra dag 1.

Trin 1: Vælg det rigtige behandlingsgrundlag

GDPR kræver et klart retsgrundlag for hver behandling. Offentlige myndigheder vælger typisk som udgangspunkt art. 6(1)(e) “offentlig myndigheds­udøvelse / samfunds­interesse” samt hjemmel i relevant sektorlovgivning, mens private oftest bruger samtykke eller legitim interesse. Dokumentér valget, og beskriv det i privatlivspolitikken og cookie-banneret.(ico.org.uk, ico.org.uk)

Dokumentér sektorhjemmel (offentlig sektor)

Kommuner og andre myndigheder kan ikke nøjes med art. 6(1)(e) om “offentlig myndighedsudøvelse / samfundsinteresse”. Datatilsynet understreger, at behandlingen altid skal hvile på et supplerende retsgrundlag i EU- eller dansk ret, som specifikt giver adgang til den opgave AI-assistenten støtter, fx borgerservice, undervisning eller sagsbehandling. (Datatilsynet)

• Kortlæg AI-løsningens formål: Beslutningsstøtte i sagsbehandling, FAQ-chat i borgerservice, læringsværktøj i folkeskolen osv.
• Find hjemlen i relevant sektorlovgivning (Serviceloven § 112, Folkeskoleloven § 18 stk. 4, Skatteforvaltningsloven m.fl.).
• Indsæt præcis paragraf i både DPIA, ROPA og systemdokumentation, så tilsynsmyndigheden kan følge kæden af lovhjemmel.
• Afklar om hjemlen dækker både træning og drift af AI-modellen, hvis den underliggende AI-model fortsætter med at lære af nye data (koordiner med leverandør/underleverandører).

Trin 2: Indgå (og vedligehold) en stærk DPA

Art. 28 pålægger jer at have en skriftlig aftale, der beskriver formål, varighed, kategorier af data, sikkerheds­foranstaltninger og under­behandlere. Et godt udgangspunkt er datatilsynets Skabelon til databehandleraftale tilpas bilagene til AI-drift (model­hosting, vektor­databaser, GPU-udbydere). Husk version­styring: opdater DPA’en, når I skifter model eller føjer nye funktioner til.(gdpr.eu, gdpr-info.eu)

Trin 3: Dataminimering & prompt-redaction

Ifølge art. 5(1)(c) “data­minimering” må I kun behandle data, der er nødvendige. I praksis betyder det:

• Maskér eller hash person­oplysninger i prompts, så modellen aldrig ser rå CPR-numre.

• Implementér sikre regler og instruktioner i systemprompt, som AI-modellen genererer tekst på baggrund af.

• Overvåg logs for angreb eller misbrug af løsningen.(ico.org.uk, latitude-blog.ghost.io)

Trin 4: Sletnings­procedurer & slettepolitik

GDPR kræver, at data slettes eller anonymiseres, når formålet er opfyldt [art. 5(1)(e)].

• Sæt en automatisk slettepolitik på samtale­logs (fx 90 dage).

• Dokumentér tidsfrister i jeres fortegnelse over behandlings­aktiviteter (ROPA).(ico.org.uk, gdprhub.eu)

Trin 5: Styring af under­behandlere

Leverandøren (processor) må ikke engagere nye sub-processorer uden jeres forudgående skriftlige godkendelse (art. 28(2)). Sørg for:

1. Et change-management flow, hvor I får besked om nye GPU-centre eller SaaS-tjenester.

2. Et register over alle aktuelle under­behandlere med kontakt­­information og datalokation.(gdpr-info.eu, gdprhub.eu)

Trin 6: DPIA og løbende audits

Hvis chatbotten behandler følsomme data eller profilerer brugere, skal der udføres en Data Protection Impact Assessment (DPIA) før go-live (art. 35). Brug f.eks. CNIL’s open-source PIA-tool til at kortlægge risici, og gentag vurderingen mindst én gang årligt eller ved større model­opdateringer.(github.com, cnil.fr)

Afrunding: sådan kommer I godt i gang

En GDPR-sikker AI-assistent kræver mere end krypteret trafik og et pænt cookie-banner. Ved at

1. vælge korrekt retsgrundlag,

2. indgå en detaljeret DPA, og

3. indbygge data­minimering, sletning og audit,

viser I både Datatilsynet og brugerne, at I tager privatliv alvorligt.

Tag små, iterative skridt: start med en DPIA-workshop, opdater jeres DPA, og rul derefter tekniske kontroller ud. Når fundamentet er på plads, kan AI-assistenten levere værdi uden at blive et compliance-mareridt. Vil I spare tid, findes der færdige moduler, fx Promtes Privacy Layer, som automatiserer sikre instrukser i systemprompts, slettepolitik og sub-processor-håndtering.

Resultatet? En hurtigere, mere tillidsvækkende chatbot, som både brugere og tilsynsmyndigheder kan have ro i maven over.

Hvorfor Promte er et stærkt valg til GDPR-sikre AI-assistenter?

• EU-lokal datalagring: al behandling og opbevaring foregår udelukkende på servere i EU, hvilket eliminerer transatlantiske overførsler. 

• On-premises-mulighed: har I særlige krav (fx sundheds- eller borgerservice­data), kan Promte installeres fuldt ud i eget datacenter eller som hybridløsning. 

• Kundetilpasset DPA & fuldt dataejerskab: Promte tilbyder standard-DPA’er og garanterer, at kunden altid ejer både rå data og trænede modeller.

• Avanceret indholds- og sikkerheds­filter: real-time content filtering blokerer ulovligt eller følsomt indhold, mens IAM/IAP-kontroller servere sikrer rollebaseret adgang. 

• Certificeret infrastruktur: underliggende cloud-tjenester er ISO 27001-, SOC 2- og PCI-DSS-certificerede, hvilket forenkler jeres egen compliance-dokumentation.

Kort sagt: Promte kombinerer fleksibiliteten ved generativ AI med en arkitektur, der er designet til de strengeste europæiske databeskyttelses­krav, klar til at blive plugget direkte ind i jeres eksisterende GDPR-styring.