Hvorfor er GDPR viktig når man velger AI?
GDPR er avgjørende når norske virksomheter velger AI fordi språkmodeller ofte behandler personopplysninger – og hvor og hvordan disse dataene behandles avgjør om bruken er lovlig. Når data sendes til en AI-tjeneste utenfor EØS, utløses krav om tredjelandsoverføring, gyldig rettslig grunnlag og databehandleravtaler.
For virksomheter i offentlig sektor, helse, jus og finans er dette ikke en teknisk detalj, men en forutsetning for å kunne ta AI i bruk i det hele tatt. Valget av AI-leverandør blir dermed like mye et compliance-spørsmål som et teknologispørsmål.
Hvorfor gjelder GDPR AI-bruk i det hele tatt?
GDPR gjelder all behandling av personopplysninger, uavhengig av hvilken teknologi som brukes. Når ansatte limer inn kundedata, saksdokumenter, journalnotater eller e-poster i en AI-modell, behandles personopplysninger – ofte også særlige kategorier som helseopplysninger.
Det betyr at virksomheten som behandlingsansvarlig må ha kontroll på hele kjeden: hvilke data som går inn, hvor de behandles, hvem som får tilgang, og hva som skjer med dem etterpå. AI endrer ikke pliktene – det gjør dem mer krevende å oppfylle fordi datastrømmene ofte er mindre synlige.
Hva er risikoen ved globale skytjenester?
Mange populære AI-tjenester driftes av leverandører utenfor EØS, gjerne med infrastruktur i USA. Å bruke dem kan innebære at personopplysninger overføres til tredjeland, noe som krever et eget rettslig overføringsgrunnlag og en vurdering av mottakerlandets beskyttelsesnivå.
I tillegg kan det være uklart om data brukes til videre trening av modellen, hvor lenge de lagres, og hvilke underleverandører som er involvert. For sektorer med taushetsplikt og strenge sikkerhetskrav er denne uforutsigbarheten i seg selv en betydelig risiko.
- Tredjelandsoverføring: data forlater EØS uten nødvendigvis tilstrekkelige garantier.
- Uklar databruk: usikkerhet om data brukes til modelltrening.
- Manglende innsyn: begrenset oversikt over underleverandører og lagringssteder.
- Taushetsplikt: særskilt problematisk i helse, jus og forvaltning.
Hva betyr «datakontroll» i praksis?
Datakontroll handler om at virksomheten faktisk vet – og kan bestemme – hvor data behandles og hvem som har tilgang. I praksis innebærer det som regel behandling innenfor EØS, mulighet for on-premise eller privat sky-drift, og at data ikke deles videre med globale skytjenester eller brukes til trening uten samtykke.
God datakontroll gjør det også enklere å oppfylle andre GDPR-krav, som dataminimering, sletterutiner og dokumentert oversikt over behandlingen. Jo færre ledd data passerer, desto lettere er det å bevise etterlevelse overfor Datatilsynet og egne kunder.
Hvordan reduserer en norsk, EØS-hostet modell risikoen?
En AI-modell som driftes innenfor EØS fjerner spørsmålet om tredjelandsoverføring for selve behandlingen, og gjør datastrømmene enklere å kartlegge og dokumentere. Muligheten for on-premise eller privat sky gir virksomheten full råderett over både infrastruktur og data.
Det er likevel viktig å være ærlig om at EØS-hosting er en viktig, men ikke tilstrekkelig, forutsetning. Full GDPR-etterlevelse krever også en databehandleravtale med leverandøren, klart definert formål (formålsbegrensning), et gyldig rettslig grunnlag for behandlingen, samt gode rutiner for tilgang, lagring og sletting. Hosting-stedet løser én sentral risiko – ikke hele bildet. Dette er ikke juridisk rådgivning, og virksomheter bør vurdere egen behandling konkret, gjerne med juridisk bistand.
Hvordan er Od1n bygget for dette?
Od1n er en norsk språkmodell utviklet med datakontroll som utgangspunkt. Modellen hostes innenfor EØS (Tyskland), slik at data forblir i Europa, og det skjer ingen datadeling til globale skytjenester.
Od1n er også egnet for on-premise og privat sky, slik at virksomheter kan beholde full råderett over egen infrastruktur og egne data. Modellen er en norsk LLM på 3 milliarder parametere (Od1n V5), trent fra scratch på norske data, og er bygget for GDPR-etterlevelse framfor å basere seg på generelle globale plattformer.
Od1n er utviklet og eid av EZ-Fix AS i Oslo. Vil du vite mer om hvordan modellen kan brukes trygt i din virksomhet, kan du lese mer om Od1n eller ta kontakt på post@ez-fix.no.
