Compliance · Vejledning

GDPR-kompatible AI-agenter — hvad der virkelig skal til

GDPR gælder for enhver AI-agentplatform, der behandler personoplysninger om EU-borgere, uanset hvor udbyderen er placeret. Compliance er mere end et 'Vi er kompatible'-badge: den kræver et retsgrundlag pr. behandlingsaktivitet, implementerede registreredes rettigheder på dataniveau, en underskrevet DPA mellem kunde og udbyder, tenant-isoleret lagring, transparent modeltræningspolitik og audit-logs, der kan modstå en tilsynsmyndigheds kontrol. Specifikt for AI-agenter tilføjer artikel 22 (automatiserede afgørelser) eksplicitte krav: kunden — ikke udbyderen — skal bestemme, hvornår menneskelig gennemgang er nødvendig.

På denne side

GDPR-grundlæggende omformuleret 10 implementeringer Hyppige risici Hvad du skal være opmærksom på i DPA'en 12-punkts køber-tjekliste FAQ

GDPR omformuleret til AI-agentplatforme

De seks kerneprincipper fra GDPR artikel 5, oversat til, hvad de betyder for en AI-agentudbyder.

Lovlighed, rimelighed, gennemsigtighed

Hver behandlingsaktivitet kræver et retsgrundlag (samtykke, kontrakt, legitim interesse osv.) logget pr. handling. Kunder får gennemsigtighed i, hvordan agenter ræsonnerer og træffer beslutninger.

Formålsbegrænsning

Data indsamlet til en agenthandling må ikke misbruges til et andet formål uden et nyt retsgrundlag. Ingen 'Vi bruger dine data til produktforbedring'-klausuler.

Dataminimering

Agenter får kun adgang til de felter, de har brug for til den specifikke opgave. OAuth-2.0-minimum-scopes håndhæver dette på integrationsniveau.

Rigtighed

Outputs kan kontrolleres; forkerte agent-outputs kan rettes eller slettes. Audit-loggen sporer hver version af hvert datasæt.

Opbevaringsbegrænsning

Kunde-konfigurerbar opbevaring pr. datakategori. Agent-konversationstranskriptioner, opkaldsoptagelser og CRM-events har alle konfigurerbare TTL'er.

Integritet og fortrolighed

Kryptering at rest (AES-256) og in transit (TLS 1.3). Tenant-isolation kryptografisk, ikke kun logisk. SOC 2 Type I Audit-mål Q3 2026.

10 tekniske implementeringer, der beviser GDPR-compliance

En udbyder kan påstå compliance. Dette er de implementeringer, de viser, når en revisor dukker op.

Art. 6/7 · Retsgrundlag logget

Retsgrundlag pr. handling

Hver agenthandling dokumenterer sit retsgrundlag (samtykke, kontrakt, legitim interesse, retlig forpligtelse). Kan eksporteres pr. registreret person efter anmodning.

Art. 15 · Indsigtsret

Registreret-adgangs-eksport

Et-klik-eksport af alt, hvad platformen indeholder om en navngiven registreret person — CRM, e-mails, opkaldstranskriptioner, agent-genererede outputs.

Art. 17 · Ret til sletning

Tenant-dækkende sletning

Sletning propageres gennem hver agent-cache og den delte datagraf inden for 30 dage. Ingen "soft delete" — faktisk fjernelse med bevis for sletning.

Art. 20 · Dataportabilitet

Struktureret eksport

Maskinlæsbar eksport (JSON, CSV) af alle kundedata, ikke kun personoplysninger. Kan genimporteres via standard-skemaer i konkurrentplatforme.

Art. 22 · Automatiseret afgørelse

Menneskelig gennemgangs-gate

Højrisikobeslutninger (betalinger over tærskelværdi, kontospærringer, værdifulde kontraktklausuler) kræver som standard menneskelig godkendelse. Kan konfigureres pr. kundepolitik.

Art. 25 · Databeskyttelse gennem design

Tenant-isolation

Kryptografisk tenant-isolation fra databaseniveau og opefter. Ingen delte vektorlagre, ingen delte prompt-caches på tværs af kunder.

Art. 28 · Databehandlerforpligtelser

DPA med underdatabehandlerliste

Underskrevet DPA mellem kunde og udbyder. Underdatabehandlerliste (inklusive LLM-udbydere) offentliggjort og versioneret. Kunder informeres om ændringer i underdatabehandlere med indsigelsesfrist.

Art. 30 · Fortegnelse over behandlingsaktiviteter

Audit-log

Uforanderlig audit-log over hver agenthandling: tidsstempel, agentidentitet, input, output, konfidens, retsgrundlag, registreret-identifikator. Kan eksporteres til tilsynsmyndigheden.

Art. 32 · Sikkerhedsforanstaltninger

Kryptering + adgangskontrol

AES-256 at rest, TLS 1.3 in transit. RBAC for menneskelige operatører. Agenter autentificeret pr. anmodning. Hemmelig rotation planmæssigt.

Art. 33/34 · Hændelsesmeddelelse

Brud-pipeline

Opdagelse → Triage → Kundeunderretning inden for 72 timer efter kendskab. Skriptet og øvet kvartalsvis.

Hyppige GDPR-risici for AI-agenter — og hvordan man mindsker dem

De fejltyper, som revisorer leder efter. Hver risiko har et konkret afbødningsmønster.

Risk

LLM-udbydere bruger dine prompts til at træne deres modeller.

Mitigation

Brug kun udbydere med underskrevne 'ingen træning på kundeindhold'-klausuler. Verificer dette i DPA'en, ikke kun på marketingsiden.

Risk

Konversationstranskriptioner lækker via et delt vektorlager mellem tenants.

Mitigation

Kræv tenant-isolerede embeddings. Bed udbyderen om at vise database-layoutet — delte samlinger er et rødt flag.

Risk

Agent-logs indeholder personoplysninger, der opbevares ud over det nødvendige.

Mitigation

Kunde-konfigurerbar logopbevaring pr. datakategori. Standard 90 dage for ikke-regulerede data, 10 år kun for GoBD/skatterelevante datasæt.

Risk

Telefonoptagelser gemmes uden udtrykkeligt samtykke.

Mitigation

Call-agenten forklarer optagelsen ved samtalens start. Samtykke logges i audit-loggen med tidsstempel og opkaldsidentifikator. Et-klik-redigering efter anmodning.

Risk

Underdatabehandlere uden for EU behandler personoplysninger.

Mitigation

Kun-EU-dataresidensmulighed. Hvis amerikanske underdatabehandlere bruges, DPF (Data Privacy Framework) eller standardkontraktklausuler med verificerbar transfer impact assessment.

Risk

Agent-beslutninger kan ikke anfægtes, fordi ræsonnementet er utransparent.

Mitigation

Hver agent-beslutning logger sin ræsonnementspor. Registrerede personer får ræsonnementet (i klartekst) ved artikel 15-anmodning.

Risk

En glemt integration har stadig OAuth-tokens efter din opsigelse.

Mitigation

Token-tilbagekaldelse ved opsigelse er automatisk. Kunden kan også tilbagekalde med et klik ved kilden (Google-/Microsoft-kontoindstillinger).

Hvad du skal være opmærksom på i udbyderens DPA

Anmod om DPA-skabelonen før køb, ikke ved onboarding. Dette er de klausuler, der tæller mest.

✓Eksplicit 'ingen træning'-klausul: Kundeindhold bruges aldrig til træning af modeller, uden opt-out-finprint
✓Underdatabehandlerliste vedhæftet, versioneret og med underretningsfrist før ændringer (minimum 30 dage)
✓Tidsfrister for registreredes anmodninger: Artikel 15-indsigt inden for 30 dage, Artikel 17-sletning inden for 30 dage inkl. downstream-processor-kaskade
✓Audit-rettigheder: Kunden kan kontrollere udbyderens sikkerhedskontroller årligt eller oftere ved behov
✓Brudmeddelelse: 48 timer mellem udbyderens kendskab og kundeunderretning (strengere end GDPR's 72-timers myndighedsmeddelelse)
✓Dataresidensforpligtelse: hvor data gemmes, behandles, sikres — skriftligt, ikke 'typisk EU'
✓Returnering og sletning ved opsigelse: Data i portabel form returneres inden for 30 dage; bevis for sletning udstedes inden for 60 dage
✓Klarhed om ansvarsbegrænsning: specifikt for databeskyttelsesovertrædelser, adskilt fra den generelle ansvarsbegrænsning
✓Gældende lov og værneting: ideelt set kundens EU-medlemsstat, ikke udbyderens hjemlandsværneting

GDPR-tjekliste for AI-agentkøbere — 12 punkter

Print dette ud. Send det til udbyderen før kontrakten. Hvis et svar lyder 'Vi arbejder på det', udskyd købet.

Databehandleraftale (DPA)

Underskriver udbyderen en GDPR-kompatibel DPA som standard, ikke forhandlet pr. kunde?

Ingen træning kontraktligt

Står der 'Vi træner aldrig på kundeindhold' i selve DPA'en, ikke kun på hjemmesiden?

Tenant-isolation

Er tenant-isolation kryptografisk — separate krypteringsnøgler pr. kunde — eller kun logisk partitionering?

Underdatabehandler-transparens

Findes der en offentlig underdatabehandlerliste med versionshistorik? Er LLM-udbyderen opført?

Dataresidens

Hvor gemmes, behandles og sikres kundedata? Er kun-EU en mulighed?

Indsigtsret-eksport

Kan du udløse en fuld artikel 15-eksport fra admin-UI'et, eller kræver det en support-ticket?

Slette-kaskade

Propageres sletning til alle agent-caches, vektorlagre og underdatabehandlere inden for 30 dage?

Artikel 22-menneskelig gennemgang

Kan du konfigurere, hvilke agent-beslutninger der kræver menneskelig godkendelse? Standardmæssigt godkendelse for destruktive handlinger.

Audit-log-eksport

Kan audit-loggen eksporteres i et format (JSON, CSV), der kan bruges til tilsynsmyndighedsanmodninger?

Brudmeddelelses-timing

Forpligter udbyderen sig til at underrette dig inden for 48–72 timer efter kendskab til et brud?

Telefonopkalds-samtykke

Hvis voice-agenter bruges, håndterer platformen jurisdiktionsspecifikke samtykkeregler (gensidigt i DE/AT/CH)?

Exit-plan

Hvis du opsiger, er der en dokumenteret retur- og sletteproces med bevis for sletning?

Ofte stillede spørgsmål

Er en AI-agentplatform dataansvarlig eller databehandler ifølge GDPR?+

I næsten alle SMV-scenarier er kunden dataansvarlig, og AI-agentplatformen er databehandler. Platformen opererer efter kundens anvisninger, behandler data i kundens tenant og bestemmer ikke behandlingsformål.

Forbyder artikel 22 (automatiserede afgørelser) AI-agenter?+

Nej. Artikel 22 kræver, at registrerede personer har ret til menneskelig gennemgang ved afgørelser med retlig virkning eller lignende betydelig virkning. AI-agentplatforme er kompatible ved at tilbyde konfigurerbare menneskelige godkendelses-gates pr. afgørelsestype. Kunder (dataansvarlige) konfigurerer, hvilke afgørelser der skal gennemgås af mennesker.

Kan jeg bruge en USA-baseret AI-agentplatform under GDPR?+

Ja, hvis udbyderen opererer under EU-US Data Privacy Framework eller bruger standardkontraktklausuler med en gyldig Transfer Impact Assessment. Spørg efter DPF-certificeringen eller SCC-dokumentationen før underskrivelse. Foretrækker du EU-baserede udbydere, forenkler det processen.

Falder AI-agenter ud over GDPR også under EU AI Act?+

Ja. EU AI Act tilføjer krav om gennemsigtighed, risikoklassificering og menneskeligt tilsyn til GDPR. De fleste forretnings-AI-agenter falder ind under 'begrænset risiko' (gennemsigtighed om AI-brug påkrævet), ikke 'høj risiko'. Voice-agenter falder desuden under gennemsigtighedsregler, der kræver oplysning om, at brugeren taler med AI.

Hvad er den største GDPR-risikofaktor for AI-agentkøbere?+

Træningsklausuler. Mange udbydere har som standard opt-out-pr.-funktion for modelforbedring, hvilket praktisk talt ikke kan håndhæves for SMV'er med mange brugere. Insister på kontraktmæssig 'ingen træning'-standard i DPA'en.

Kræver opkaldsoptagelser under GDPR altid samtykke?+

I Østrig, Tyskland og Schweiz: ja, begge parter skal give samtykke før optagelse. I andre EU-medlemsstater varierer samtykkereglerne. En kompatibel voice-agentplatform forklarer optagelsen ved samtalens start og logger samtykket i audit-loggen — sådan fungerer det i alle jurisdiktioner.

Hvor længe skal jeg opbevare agent-audit-logs?+

For ikke-regulerede forretningsdata: Kundens valg, standard 90 dage. For skatterelevante handlinger (fakturaer, betalinger): 10 år under GoBD (DE) / RGS (AT). Compliance-agenten adskiller de to, så du ikke opbevarer ikke-skattemæssige data for længe.

Få DPA'en før køb

Book en 30-minutters session med vores compliance-team. Vi gennemgår den fulde DPA, underdatabehandlerlisten og besvarer hver af de 12 tjeklistespørgsmål protokolmæssigt.

Book compliance-opkald Se priser