Hoppa till innehåll
Starta projekt
4 min läsning Taktik AI

GDPR-kompatibel AI: 7 krav att checka av innan driftsättning

GDPR och AI är inte oförenliga — men det kräver att dataskyddet är inbyggt i arkitekturen, inte limmat på efteråt. Här är de 7 kraven som avgör om ditt AI-system håller.

GDPR-kompatibel AI: 7 krav att checka av innan driftsättning

Det vanligaste misstaget vi ser när organisationer implementerar AI är att dataskydd behandlas som ett juridiskt efterhandsproblem. Man bygger systemet, och när det är klart skickar man det till juridik för "GDPR-godkännande". Det fungerar sällan.

GDPR-compliance för AI är ett arkitekturproblem. Det måste vara inbyggt från start. Här är de sju kraven som avgör om ditt AI-system håller när Integritetsskyddsmyndigheten knackar på.

1. Rättslig grund för varje dataflöde

Vilken rättslig grund stödjer sig systemet på för varje typ av persondata det behandlar? De vanligaste för AI-system är:

  • Berättigat intresse — kräver en LIA (Legitimate Interest Assessment) som dokumenterar att organisationens intresse väger tyngre än den registrerades.
  • Avtal — gäller när behandlingen är nödvändig för att fullgöra ett avtal med den registrerade.
  • Samtycke — svag rättslig grund för AI eftersom det är återkallbart och kräver specifik, informerad och frivillig accept. Undvik om möjligt.

Varje dataflöde i systemet — insamling, lagring, bearbetning, vidarebefordran till LLM-tjänst — behöver sin egen rättsliga grund dokumenterad.

2. DPIA utförd och dokumenterad

Data Protection Impact Assessment krävs när behandlingen "sannolikt innebär en hög risk för fysiska personers rättigheter och friheter". AI-system träffas nästan alltid av detta krav, särskilt vid:

  • Automatiserat beslutsfattande med rättsliga eller liknande effekter
  • Storskalig behandling av känsliga personuppgifter
  • Systematisk övervakning av offentligt tillgängliga platser

En DPIA för ett AI-system ska beskriva behandlingen, bedöma nödvändighet och proportionalitet, identifiera risker och dokumentera hur de hanteras. Vi biträder med DPIA-underlag för de system vi levererar.

3. Persondata bearbetas aldrig av externa LLM-tjänster utan avtal

Det här är det krav som flest missar. När du skickar en prompt till OpenAI, Anthropic eller Google Gemini och den innehåller personuppgifter är det en dataöverföring till ett personuppgiftsbiträde. Det kräver ett Personuppgiftsbiträdesavtal (DPA).

Alla de stora LLM-leverantörerna erbjuder DPA, men de måste aktiveras explicit — de gäller inte per default. Kontrollera att:

  • DPA är signerat med er LLM-leverantör
  • Leverantören behandlar data inom EU/EES eller med adekvat skyddsnivå (Privacy Shield-ersättaren, Standardklausuler)
  • Opt-out från träning på era data är aktiverat (standard i Enterprise-planer hos de flesta leverantörer)

4. Minimering — skicka aldrig mer än nödvändigt

GDPR:s dataminimeringsprincip kräver att behandlingen begränsas till vad som är nödvändigt för ändamålet. I praktiken: pseudonymisera eller anonymisera persondata innan det skickas till LLM-tjänster om det är möjligt.

Tekniker: Named Entity Recognition (NER) för att identifiera och byta ut PII mot platshållare ("John Doe" → "[PERSON_1]"), strukturerade prompts som undviker fri text med persondata, server-side filtering.

5. Lagringsperioder definierade och tekniskt påtvingade

Konversationshistorik, loggfiler och cache-data i AI-system är personuppgifter. De måste ha definierade lagringsperioder och teknisk raderingslogik — det räcker inte med en policy som säger "vi raderar efter 30 dagar" om det inte finns en automatisk process som faktiskt gör det.

Bygg in: automatisk raderingslogik för konversationsdata, retention policies i din vektordatabas (stöds av Pinecone, Weaviate och de flesta moderna lösningar), och audit trail för när data raderades.

6. Rätt till rättelse och radering tekniskt möjlig

Om en registrerad begär att deras uppgifter ska raderas — kan du faktiskt göra det? I ett RAG-system betyder det att kunna:

  • Identifiera vilka chunk-vectors som härstammar från den registrerades data
  • Radera dessa vektorer ur databasen
  • Rensa cache och konversationshistorik

Det är tekniskt möjligt men kräver att du designar systemet med raderbarhet i åtanke från start — t.ex. taggning av vektorer med käll-ID och ägare.

7. Automatiserat beslutsfattande — information och rätt att invända

Om AI-systemet fattar beslut som har rättslig eller liknande inverkan på en person (kreditbedömning, rekryteringssåll, riskklassificering) gäller artikel 22 GDPR. Den registrerade har rätt att:

  • Bli informerad om att ett automatiserat beslut fattats
  • Begära mänsklig granskning
  • Invända mot beslutet

Bygg in mänsklig oversight i beslut med hög påverkan. Dokumentera beslutslogiken i ett sätt som är begripligt för den registrerade. Logga alla automatiserade beslut.

Checklistan i korthet

  1. Rättslig grund dokumenterad för varje dataflöde
  2. DPIA utförd och uppdaterad
  3. DPA signerat med alla LLM-leverantörer, tränings-opt-out aktiverat
  4. PII minimeras/pseudonymiseras innan LLM-anrop
  5. Automatisk raderingslogik implementerad
  6. Rätt till radering tekniskt möjlig och testad
  7. Mänsklig oversight för högriskbeslut

GDPR och AI är inte oförenliga. Det kräver att du tar compliance på allvar från designfasen — inte som ett juridiskt stämpel efteråt.

Tillbaka till alla artiklar