Sikker AI-implementering — GDPR og datasuverenitet i norske AI-prosjekter

Datalokalisering og leverandørvalg

Velg AI-leverandører med datalokalisering i EU/EØS og en tydelig databehandleravtale. Microsoft Azure OpenAI, Google Vertex og Anthropic gjennom EU-regioner tilfredsstiller dette for de fleste bruksområder.

Dataminimering

Send minst mulig data til AI-modellen. Pseudonymisér der mulig. Skill mellom data som kan brukes til trening (sjelden) og data som bare brukes til inferens (vanligst).

Evaluering, logging og menneskelig kontroll

Logg input, output og beslutninger. Etabler en menneskelig review-kø for høyrisiko-beslutninger. Dette er ikke bare GDPR — det er forutsetningen for at AI-løsningen kan forbedres over tid.

DPIA — vurdering av personvernkonsekvenser

For AI-systemer som behandler personopplysninger i stor skala eller sensitive data, er DPIA ofte påkrevd. Vi bygger inn DPIA-arbeidet som en del av strategifasen, ikke som en separat blokker etter at piloten er bygget.