Samsvar · Veiledning
DSGVO-kompatible KI-agenter — hva som virkelig kreves
DSGVO gjelder for enhver KI-agentplattform som behandler personopplysninger om EU-borgere, uavhengig av hvor leverandøren er lokalisert. Samsvar betyr mer enn et «Vi er kompatible»-merke: det krever et rettslig grunnlag per behandlingsaktivitet, implementerte rettigheter for registrerte på datanivå, en signert databehandleravtale mellom kunde og leverandør, leietakerisolert lagring, transparent modell-treningspolicy og revisjonslogger som tåler en tilsynsmyndighetskontroll. Spesielt for KI-agenter legger artikkel 22 (automatiserte avgjørelser) til eksplisitte krav: kunden — ikke leverandøren — må bestemme når menneskelig gjennomgang er nødvendig.
DSGVO omformulert for KI-agentplattformer
De seks kjerneprinsippene fra DSGVO artikkel 5, oversatt til hva de betyr for en KI-agentleverandør.
Lovlighet, rettferdighet, åpenhet
Hver behandlingsaktivitet krever et rettslig grunnlag (samtykke, avtale, berettiget interesse osv.) logget per handling. Kunder får åpenhet om hvordan agenter resonnerer og tar avgjørelser.
Formålsbegrensning
Data samlet inn for en agenthandling kan ikke brukes til et annet formål uten et nytt rettslig grunnlag. Ingen «Vi bruker dine data til produktforbedring»-klausuler.
Dataminimering
Agenter får kun tilgang til feltene de trenger for den spesifikke oppgaven. OAuth-2.0-minimumsomfang håndhever dette på integrasjonsnivå.
Nøyaktighet
Resultater er kontrollerbare; feilaktige agentresultater kan korrigeres eller slettes. Revisjonsloggen sporer hver versjon av hver dataregistrering.
Lagringsbegrensning
Kundekonfigurerbar oppbevaring per datakategori. Agent-samtaletranskripsjoner, anropsopptak og CRM-hendelser har alle konfigurerbare TTL-er.
Integritet og konfidensialitet
Kryptering i hvile (AES-256) og under overføring (TLS 1.3). Leietakerisolering kryptografisk, ikke bare logisk. SOC 2 Type I Revisjonsmål Q3 2026.
10 tekniske implementeringer som beviser DSGVO-samsvar
En leverandør kan hevde samsvar. Dette er implementeringene de viser når en revisor dukker opp.
Rettslig grunnlag per handling
Hver agenthandling dokumenterer sitt rettslige grunnlag (samtykke, avtale, berettiget interesse, rettslig forpliktelse). Kan eksporteres per registrert person på forespørsel.
Eksport av registrertes tilgang
Ett-klikks eksport av alt plattformen har om en navngitt registrert person — CRM, e-poster, samtale-transkripsjoner, agentgenererte resultater.
Leietakeromfattende sletting
Sletting propageres over hver agent-cache og den delte datagrafen innen 30 dager. Ingen «myk sletting» — faktisk fjerning med slettebevis.
Strukturert eksport
Maskinlesbar eksport (JSON, CSV) av alle kundedata, ikke bare personopplysninger. Kan re-importeres til konkurrentplattformer via standardskjemaer.
Menneskelig gjennomgangsport
Høyrisikoavgjørelser (betalinger over terskelverdi, kontosperringer, verdifulle kontraktsklausuler) krever som standard menneskelig godkjenning. Konfigurerbart per kundepolicy.
Leietakerisolering
Kryptografisk leietakerisolering fra databasenivå og oppover. Ingen delte vektorbutikker, ingen delte prompt-cacher på tvers av kunder.
Databehandleravtale med underdatabehandlerliste
Signert databehandleravtale mellom kunde og leverandør. Underdatabehandlerliste (inkludert LLM-leverandører) publisert og versjonert. Kunder informeres om endringer i underdatabehandlere med en innsigelsesfrist.
Revisjonslogg
Uforanderlig revisjonslogg for hver agenthandling: tidsstempel, agentidentitet, input, output, konfidens, rettslig grunnlag, registrert-identifikator. Kan eksporteres for tilsynsmyndigheten.
Kryptering + tilgangskontroll
AES-256 i hvile, TLS 1.3 under overføring. RBAC for menneskelige operatører. Agenter autentisert per forespørsel. Hemmelig rotasjon planmessig.
Brudd-pipeline
Oppdagelse → Triage → Kundevarsling innen 72 timer etter kunnskap. Skriptet og øvd kvartalsvis.
Vanlige DSGVO-risikoer med KI-agenter — og hvordan de kan reduseres
Feilmoduser som revisorer ser etter. Hver risiko har et konkret avbøtende mønster.
LLM-leverandører bruker dine prompter til å trene modellene sine.
Bruk kun leverandører med signerte klausuler om ingen trening på kundeinnhold. Verifiser dette i databehandleravtalen, ikke bare på markedsføringssiden.
Samtaletranskripsjoner lekker via en delt vektorbutikk mellom leietakere.
Krev leietakerisolerte embeddings. Be leverandøren vise databaselayoutet — delte samlinger er et rødt flagg.
Agentlogger inneholder personopplysninger som oppbevares utover det som er nødvendig.
Kundekonfigurerbar loggoppbevaring per datakategori. Standard 90 dager for ikke-regulerte data, 10 år kun for GoBD/skatterelevante dataregistreringer.
Telefonopptak lagres uten eksplisitt samtykke.
Samtaleagenten forklarer opptaket ved samtalens start. Samtykke logges i revisjonsloggen med tidsstempel og anroper-identifikator. Ett-klikks sladding på forespørsel.
Underdatabehandlere utenfor EU behandler personopplysninger.
Kun EU-dataresidens-alternativ. Hvis amerikanske underdatabehandlere brukes, DPF (Data Privacy Framework) eller standard kontraktsklausuler med verifiserbar overføringsrisikovurdering.
Agentavgjørelser kan ikke bestrides fordi resonnementet er intransparent.
Hver agentavgjørelse logger sitt resonnementspor. Registrerte personer får resonnementet (i klartekst) ved artikkel 15-forespørsel.
En glemt integrasjon har fortsatt OAuth-tokens etter din oppsigelse.
Token-tilbakekalling ved oppsigelse er automatisk. Kunden kan også tilbakekalle med ett klikk ved kilden (Google-/Microsoft-kontoinnstillinger).
Hva du bør se etter i leverandørens databehandleravtale
Be om databehandleravtalens mal før kjøpet, ikke ved onboarding. Dette er klausulene som teller mest.
- ✓Eksplisitt ingen-trening-klausul: Kundeinnhold brukes aldri til trening av modeller, uten opt-out-finprint
- ✓Underdatabehandlerliste vedlagt, versjonert og varslingsfrist før endringer (minimum 30 dager)
- ✓Tidsfrister for registrerte-forespørsler: Artikkel 15-innsyn innen 30 dager, Artikkel 17-sletting innen 30 dager inkl. nedstrøms prosessor-kaskade
- ✓Revisjonsrettigheter: Kunden kan kontrollere leverandørens sikkerhetskontroller årlig eller oftere ved behov
- ✓Varsling om brudd: 48 timer mellom leverandørens kunnskap og kundevarsling (strengere enn DSGVOs 72-timers myndighetsmelding)
- ✓Dataresidensforpliktelse: hvor data lagres, behandles, sikres — skriftlig, ikke «typisk EU»
- ✓Retur og sletting ved oppsigelse: Data i portabel form tilbake innen 30 dager; slettebevis utstedt innen 60 dager
- ✓Klarhet om ansvarsbegrensning: spesielt for personvernbrudd, separat fra den generelle ansvarsbegrensningen
- ✓Gjeldende lov og verneting: ideelt sett kundens EU-medlemsstat, ikke leverandørens hjemlige verneting
DSGVO-sjekkliste for KI-agentkjøpere — 12 punkter
Skriv dette ut. Send det til leverandøren før kontrakten. Hvis et svar er «Vi jobber med det», utsett kjøpet.
Databehandleravtale
Signerer leverandøren en DSGVO-kompatibel databehandleravtale som standard, ikke forhandlet per kunde?
Ingen trening kontraktsfestet
Står «Vi trener aldri på kundeinnhold» i selve databehandleravtalen, ikke bare på nettsiden?
Leietakerisolering
Er leietakerisolering kryptografisk — separate krypteringsnøkler per kunde — eller bare logisk partisjonering?
Underdatabehandler-transparens
Finnes det en offentlig underdatabehandlerliste med versjonshistorikk? Er LLM-leverandøren oppført?
Dataresidens
Hvor lagres, behandles og sikres kundedata? Er kun EU et alternativ?
Eksport av innsynsrett
Kan du utløse en full Artikkel 15-eksport fra Admin-UI, eller krever det en supportbillett?
Slettekaskade
Propageres sletting til alle agent-cacher, vektorbutikker og underdatabehandlere innen 30 dager?
Artikkel 22-menneskelig gjennomgang
Kan du konfigurere hvilke agentavgjørelser som krever menneskelig godkjenning? Standard godkjenning for destruktive handlinger.
Revisjonslogg-eksport
Kan revisjonsloggen eksporteres i et format (JSON, CSV) som kan brukes for tilsynsmyndighetsforespørsler?
Tidsfrister for bruddvarsling
Forplikter leverandøren seg til å varsle deg innen 48–72 timer etter å ha fått kunnskap om et brudd?
Telefonsamtale-samtykke
Hvis taleagenter brukes, håndterer plattformen jurisdiksjonsspesifikke samtykkeregler (tosidig i DE/AT/CH)?
Exit-plan
Hvis du sier opp, finnes det en dokumentert retur- og sletteprosess med slettebevis?
Ofte stilte spørsmål
Er en KI-agentplattform behandlingsansvarlig eller databehandler etter DSGVO?+
I nesten alle SMB-scenarier er kunden behandlingsansvarlig og KI-agentplattformen databehandler. Plattformen opererer etter kundens instruksjoner, behandler data i kundens leietaker og bestemmer ingen behandlingsformål.
Forbyr Artikkel 22 (automatiserte avgjørelser) KI-agenter?+
Nei. Artikkel 22 krever at registrerte personer har rett til menneskelig gjennomgang, ved avgjørelser med rettslige eller lignende betydelige virkninger. KI-agentplattformer er kompatible ved å tilby konfigurerbare menneskelige godkjenningsporter per avgjørelsestype. Kunder (behandlingsansvarlige) konfigurerer hvilke avgjørelser som går gjennom menneskelig gjennomgang.
Kan jeg bruke en USA-basert KI-agentplattform under DSGVO?+
Ja, hvis leverandøren opererer under EU-US Data Privacy Framework eller bruker standard kontraktsklausuler med gyldig overføringsrisikovurdering. Spør etter DPF-sertifiseringen eller SCC-dokumentasjonen før signering. Foretrekker EU-baserte leverandører forenkler dette.
Faller KI-agenter i tillegg til DSGVO inn under EU AI Act?+
Ja. EU AI Act legger til krav om åpenhet, risikoklassifisering og menneskelig tilsyn til DSGVO. De fleste forretnings-KI-agenter faller inn under «begrenset risiko» (åpenhet om KI-bruk er nødvendig), ikke «høy risiko». Taleagenter faller i tillegg under åpenhetsregler som krever avsløring om at brukeren snakker med KI.
Hva er den største DSGVO-risikofaktoren for KI-agentkjøpere?+
Treningsklausuler. Mange leverandører har som standard opt-out per funksjon for modellforbedring, noe som praktisk talt ikke er gjennomførbart for SMB med mange brukere. Insister på kontraktsfestet ingen-trening-standard i databehandleravtalen.
Krever anropsopptak under DSGVO alltid samtykke?+
I Østerrike, Tyskland og Sveits: ja, begge parter må samtykke før opptak. I andre EU-medlemsstater varierer samtykkereglene. En kompatibel taleagentplattform forklarer opptaket ved samtalens start og logger samtykket i revisjonsloggen — slik fungerer det i alle jurisdiksjoner.
Hvor lenge må jeg oppbevare agent-revisjonslogger?+
For ikke-regulerte forretningsdata: Kundens valg, standard 90 dager. For skatterelevante handlinger (fakturaer, betalinger): 10 år under GoBD (DE) / RGS (AT). Compliance-agenten skiller de to, slik at du ikke oppbevarer ikke-skattemessige data for lenge.
Få databehandleravtalen før kjøpet
Bestill en 30-minutters sesjon med vårt compliance-team. Vi går gjennom hele databehandleravtalen, underdatabehandlerlisten og besvarer hver av de 12 sjekklistespørsmålene protokollført.