Efterlevnad · Guide
DSGVO-kompatibla AI-agenter — vad som verkligen krävs
DSGVO gäller för varje AI-agentplattform som behandlar personuppgifter från EU-medborgare, oavsett var leverantören är baserad. Efterlevnad innebär mer än ett ”Vi är kompatibla”-märke: det kräver en rättslig grund per behandlingsaktivitet, implementerade rättigheter för registrerade på datanivå, ett undertecknat DPA mellan kund och leverantör, klientisolerad lagring, transparent modellträningspolicy och granskningsloggar som klarar en tillsynsmyndighetsgranskning. Speciellt för AI-agenter lägger Artikel 22 (automatiserade beslut) till explicita krav: kunden — inte leverantören — måste bestämma när mänsklig granskning är nödvändig.
DSGVO omformulerad för AI-agentplattformar
De sex kärnprinciperna från DSGVO Artikel 5, översatta till vad de innebär för en AI-agentleverantör.
Laglighet, korrekthet, öppenhet
Varje behandlingsaktivitet kräver en rättslig grund (samtycke, avtal, berättigat intresse etc.) loggad per åtgärd. Kunder får transparens om hur agenter resonerar och fattar beslut.
Ändamålsbegränsning
Data som samlats in för en agentåtgärd får inte användas för ett annat ändamål utan en ny rättslig grund. Inga ”Vi använder dina data för produktförbättring”-klausuler.
Uppgiftsminimering
Agenter får endast åtkomst till de fält de behöver för den specifika uppgiften. OAuth-2.0-minimum-scopes genomdriver detta på integrationsnivå.
Korrekthet
Resultat är granskningsbara; felaktiga agentresultat kan korrigeras eller raderas. Granskningsloggen spårar varje version av varje dataregister.
Lagringsminimering
Kundkonfigurerbar lagring per datakategori. Agentkonversationstranskriptioner, samtalsinspelningar och CRM-händelser har alla konfigurerbara TTL:er.
Integritet och konfidentialitet
Kryptering i vila (AES-256) och under överföring (TLS 1.3). Klientisolering kryptografiskt, inte bara logiskt. SOC 2 Type I granskningsmål Q3 2026.
10 tekniska implementeringar som bevisar DSGVO-efterlevnad
En leverantör kan hävda efterlevnad. Dessa är implementeringarna de visar när en revisor dyker upp.
Rättslig grund per åtgärd
Varje agentåtgärd dokumenterar sin rättsliga grund (samtycke, avtal, berättigat intresse, rättslig förpliktelse). Exporterbar per registrerad person på begäran.
Export av registrerades uppgifter
Enklicks-export av allt som plattformen innehar om en namngiven registrerad person — CRM, e-post, samtalsutskrifter, agentgenererade resultat.
Klientomfattande radering
Radering sprids över varje agentcache och den delade datagrafen inom 30 dagar. Ingen ”mjuk radering” — faktisk borttagning med bevis på radering.
Strukturerad export
Maskinläsbar export (JSON, CSV) av all kunddata, inte bara personuppgifter. Kan återimporteras till konkurrentplattformar via standardscheman.
Mänsklig granskningsport
Beslut med hög risk (betalningar över tröskelvärde, kontospärrar, värdefulla avtalsklausuler) kräver som standard mänskligt godkännande. Konfigurerbart per kundpolicy.
Klientisolering
Kryptografisk klientisolering från databasnivå och uppåt. Inga delade vektorbutiker, inga delade prompt-cachar mellan kunder.
DPA med underbiträdeslista
Undertecknat DPA mellan kund och leverantör. Underbiträdeslista (inklusive LLM-leverantörer) publicerad och versionerad. Kunder informeras om ändringar av underbiträden med invändningsfrist.
Granskningslogg
Oföränderlig granskningslogg för varje agentåtgärd: tidsstämpel, agentidentitet, input, output, konfidens, rättslig grund, identifierare för registrerad. Exporterbar för tillsynsmyndighet.
Kryptering + åtkomstkontroll
AES-256 i vila, TLS 1.3 under överföring. RBAC för mänskliga operatörer. Agenter autentiseras per förfrågan. Regelbunden rotation av hemligheter.
Incidenthanteringsprocess
Upptäckt → Triage → Kundmeddelande inom 72 timmar efter kännedom. Skriptat och övat kvartalsvis.
Vanliga DSGVO-risker med AI-agenter — och hur man mildrar dem
Felltyperna som revisorer letar efter. Varje risk har ett konkret mildringsmönster.
LLM-leverantörer använder dina prompts för att träna sina modeller.
Använd endast leverantörer med undertecknade klausuler om ingen träning på kundinnehåll. Verifiera detta i DPA, inte bara på marknadsföringssidan.
Konversationstranskriptioner läcker via en delad vektorbutik mellan klienter.
Kräv klientisolerade inbäddningar. Be leverantören att visa databaslayouten — delade samlingar är en röd flagga.
Agentloggar innehåller personuppgifter som lagras längre än nödvändigt.
Kundkonfigurerbar logglagring per datakategori. Standard 90 dagar för icke-reglerade data, 10 år endast för GoBD/skatterelaterade dataregister.
Telefoninspelningar sparas utan uttryckligt samtycke.
Samtalsagenten förklarar inspelningen i början av samtalet. Samtycke loggas i granskningsloggen med tidsstämpel och uppringares identifierare. Enklicks-redigering på begäran.
Underbiträden utanför EU behandlar personuppgifter.
Endast EU-datalagringsalternativ. Om amerikanska underbiträden används, DPF (Data Privacy Framework) eller standardavtalsklausuler med verifierbar konsekvensbedömning av överföring.
Agentbeslut kan inte överklagas eftersom resonemanget är intransparent.
Varje agentbeslut loggar sin resonemangsspår. Registrerade personer får resonemanget (i klartext) på begäran enligt Artikel 15.
En bortglömd integration har fortfarande OAuth-tokens efter din uppsägning.
Återkallande av token vid uppsägning sker automatiskt. Kunden kan också återkalla med ett klick vid källan (Google-/Microsoft-kontoinställningar).
Vad du bör tänka på i leverantörens DPA
Begär DPA-mallen före köpet, inte vid onboarding. Dessa är de klausuler som betyder mest.
- ✓Explicit klausul om ingen träning: Kundinnehåll används aldrig för att träna modeller, utan finstilt om opt-out
- ✓Underbiträdeslista bifogad, versionerad och meddelandefrist före ändringar (minst 30 dagar)
- ✓Tidslinjer för registrerades förfrågningar: Artikel 15-information inom 30 dagar, Artikel 17-radering inom 30 dagar inklusive kaskad för nedströmsbehandlare
- ✓Granskningsrättigheter: Kunden kan granska leverantörens säkerhetskontroller årligen eller oftare vid behov
- ✓Incidentrapportering: 48 timmar mellan leverantörens kännedom och kundmeddelande (strängare än DSGVO:s 72-timmars rapportering till myndigheter)
- ✓Åtagande om datalagring: var data lagras, behandlas, säkras — skriftligt, inte ”typiskt sett EU”
- ✓Återlämning och radering vid uppsägning: Data i portabel form tillbaka inom 30 dagar; bevis på radering utfärdat inom 60 dagar
- ✓Tydlighet om ansvarsbegränsning: specifikt för dataskyddsbrott, separat från den allmänna ansvarsbegränsningen
- ✓Tillämplig lag och jurisdiktion: helst kundens EU-medlemsstat, inte leverantörens hemjurisdiktion
DSGVO-checklista för AI-agentköpare — 12 punkter
Skriv ut detta. Skicka det till leverantören före avtalet. Om ett svar är ”Vi jobbar på det”, skjut upp köpet.
Personuppgiftsbiträdesavtal
Undertecknar leverantören ett DSGVO-kompatibelt DPA som standard, inte förhandlat per kund?
Ingen träning avtalsmässigt
Står det ”Vi tränar aldrig på kundinnehåll” i själva DPA:t, inte bara på webbplatsen?
Klientisolering
Är klientisolering kryptografisk — separata krypteringsnycklar per kund — eller bara logisk partitionering?
Transparens för underbiträden
Finns det en offentlig underbiträdeslista med versionshistorik? Är LLM-leverantören listad?
Datalagring
Var lagras, behandlas och säkras kunddata? Är endast EU ett alternativ?
Export av rätt till tillgång
Kan du trigga en fullständig Artikel 15-export från admin-gränssnittet, eller krävs ett supportärende?
Raderingskaskad
Sprids radering till alla agentcachar, vektorbutiker och underbiträden inom 30 dagar?
Artikel 22-mänsklig granskning
Kan du konfigurera vilka agentbeslut som kräver mänskligt godkännande? Standardmässigt godkännande för destruktiva åtgärder.
Export av granskningslogg
Är granskningsloggen exporterbar i ett användbart format för tillsynsmyndighetsförfrågningar (JSON, CSV)?
Tidsplan för incidentrapportering
Åtar sig leverantören att meddela dig inom 48–72 timmar efter kännedom om en incident?
Samtycke för telefonsamtal
Om röstagenter används, hanterar plattformen jurisdiktionsspecifika samtyckesregler (ömsesidigt i DE/AT/CH)?
Exit-plan
Om du säger upp, finns det en dokumenterad återlämnings- och raderingsprocess med bevis på radering?
Vanliga frågor
Är en AI-agentplattform personuppgiftsansvarig eller personuppgiftsbiträde enligt DSGVO?+
I nästan alla SME-scenarier är kunden personuppgiftsansvarig och AI-agentplattformen personuppgiftsbiträde. Plattformen agerar enligt kundens instruktioner, behandlar data i kundens klient och bestämmer inga behandlingsändamål.
Förbjuder Artikel 22 (automatiserade beslut) AI-agenter?+
Nej. Artikel 22 kräver att registrerade personer har rätt till mänsklig granskning vid beslut med rättsliga eller liknande betydande konsekvenser. AI-agentplattformar är kompatibla genom att erbjuda konfigurerbara mänskliga godkännandeportar per beslutstyp. Kunder (personuppgiftsansvariga) konfigurerar vilka beslut som går igenom mänsklig granskning.
Kan jag använda en USA-baserad AI-agentplattform under DSGVO?+
Ja, om leverantören verkar under EU-US Data Privacy Framework eller använder standardavtalsklausuler med en giltig konsekvensbedömning av överföring. Fråga efter DPF-certifieringen eller SCC-dokumentationen före undertecknandet. Att föredra EU-baserade leverantörer förenklar detta.
Omfattas AI-agenter av EU AI Act utöver DSGVO?+
Ja. EU AI Act lägger till krav på transparens, riskklassificering och mänsklig tillsyn utöver DSGVO. De flesta affärs-AI-agenter faller under ”begränsad risk” (transparens om AI-användning krävs), inte ”hög risk”. Röstagenter omfattas dessutom av transparensregler som kräver att användaren informeras om att de talar med en AI.
Vad är den största DSGVO-riskfaktorn för AI-agentköpare?+
Träningsklausuler. Många leverantörer har som standard opt-out per funktion för modellförbättring, vilket praktiskt taget inte är genomförbart för SME med många användare. Insistera på avtalsmässig standard om ingen träning i DPA.
Kräver samtalsinspelningar alltid samtycke enligt DSGVO?+
I Österrike, Tyskland och Schweiz: ja, båda parter måste samtycka före inspelning. I andra EU-medlemsstater varierar samtyckesreglerna. En kompatibel röstagentplattform förklarar inspelningen i början av samtalet och loggar samtycket i granskningsloggen — så fungerar det i alla jurisdiktioner.
Hur länge måste jag lagra agentgranskningsloggar?+
För icke-reglerade affärsdata: Kundens val, standard 90 dagar. För skatterelaterade åtgärder (fakturor, betalningar): 10 år enligt GoBD (DE) / RGS (AT). Compliance-agenten separerar de två så att du inte lagrar icke-skatterelaterade data för länge.
Skaffa DPA:t före köpet
Boka en 30-minuterssession med vårt compliance-team. Vi går igenom hela DPA:t, underbiträdeslistan och besvarar var och en av de 12 checklistafrågorna protokollfört.