Föreställ er en byrå som laddar upp 200 klientavtal till en offentlig AI-tjänst för att få hjälp med sammanfattningar. Tre månader senare frågar en av klienterna vart deras data har tagit vägen, och byrån kan inte ge något svar. De hade nämligen aldrig ställt några frågor om detta.

Det är något som händer oftare än många kanske är villiga att erkänna. Mindre företag som köper AI-tjänster har ofta inte tillräckligt med tid för att göra en grundlig teknisk och juridisk kontroll. Dessutom fokuserar leverantörernas material ofta mer på hur produkten fungerar, snarare än på vad kunden behöver kontrollera innan de skriver på ett avtal.

Här är sju frågor som varje företag kan tänka på innan de skriver på ett AI-avtal. Det är en bra startpunkt för en noggrann granskning. Texten fungerar som en lättnavigerad checklista. Kom ihåg, detta är inte juridisk rådgivning.

Varför just dessa sju

Sedan EU AI Act trädde i kraft den 1 augusti 2024 har reglerna börjat gälla stegvis. Från och med februari 2025 förbjöds vissa AI-metoder och krav på AI-kompetens infördes, följt av regler för generella AI-modeller från augusti 2025. Enligt nuvarande plan träder större delen av förordningen i kraft från augusti 2026. AI Act samarbetar med GDPR när AI-system hanterar personuppgifter. GDPR Artikel 28 beskriver avtalet mellan personuppgiftsansvarig och databehandlare. AI Act fokuserar på riskklassificering, transparens och ansvar för leverantörer och användare av vissa AI-system. IMY är den svenska tillsynsmyndigheten för GDPR, medan ansvaret för AI-förordningen i Sverige förväntas delas mellan flera myndigheter.

I praktiken handlar mycket av upphandlingsarbetet om sju viktiga frågor. Dessa frågor gäller var data lagras, hur den används, vem som får behandla den och vad som händer när avtalet avslutas. Att tänka på detta kan göra hela processen smidigare och mer trygg för alla inblandade.

De sju frågorna

1. Var lagras data fysiskt?

En leverantör kan ha sitt säte i Sverige men använda servrar eller underleverantörer utanför EU, vilket kan göra det viktigt att tänka på CLOUD Act vid bedömning av tredjelandsöverföringar och åtkomstrisker. Detta gäller även när data lagras i ett annat land.

Bra svar: Specifikt land och region kan vara till exempel "Hostinger, EU (Litauen)" eller "AWS Frankfurt eu-central-1".

Rött ljus: Det nämns bara "I molnet" eller "i EU" utan att specificera mer.

2. Tränar leverantören sina modeller på era data?

Era dokument kan användas för att förbättra modeller, lagras under en längre tid än ni kanske tror eller bli svåra att radera i framtiden. Ett tydligt exempel är: Samsung begränsade användningen av generativ AI internt 2023 efter att anställda hade matat in känslig information i externa AI-tjänster.

Bra svar: Skriftlig garanti i biträdesavtalet eller i leverantörens kommersiella villkor. Anthropic anger exempelvis för sina kommersiella produkter att kundens inputs och outputs inte används för modellträning som standard. Utfästelsen måste vara möjlig att verifiera och ha stöd i avtalet. Rött ljus: "Vi har en sträng policy" utan kontraktsskrivning eller källhänvisning.

3. Vilka är underbiträdena?

AI-stackar har ofta många beroenden, vilket kan kännas komplext. Din leverantör använder en språkmodell som drivs på en infrastrukturplattform och ibland kan dessa ha egna underleverantörer. GDPR kräver att personuppgiftsbiträdet alltid har ett tydligt skriftligt tillstånd innan nya underleverantörer anlitas. Dessutom ska kunden bli informerad om eventuella ändringar så att hen har möjlighet att ge feedback eller invändningar.

Bra svar: Här är en publik lista som innehåller namn, land och syfte. Vi ger tydlig information innan några förändringar, ofta med en varning 30 dagar i förväg för kommersiella avtal. Microsofts Service Trust Portal är ett bra exempel på hur stora leverantörer samlar säkerhets- och efterlevnadsinformation, vilket hjälper till att skapa förtroende och transparens.

Rött ljus: "Vi använder ledande underleverantörer" utan namngivning.

4. Finns ett biträdesavtal (DPA)?

Enligt GDPR-artikel 28 är det viktigt att ha ett avtal eller annan bindande rättsakt på plats när någon hanterar personuppgifter för er. Det hjälper till att säkerställa att all behandling sker på ett säkert och korrekt sätt.

Bra svar: Publik DPA finns tillgänglig på leverantörens webbplats och kan undertecknas utan krångel. Stripe, Anthropic och Microsoft använder det också, vilket visar hur tillförlitligt och enkelt det är att hantera.

Rött ljus: "Vi tar fram ett exempel om det behövs" eller villkor där det inte tydligt framgår hur kraven i artikel 28 ska uppfyllas.

5. Hur lång är retentionperioden?

Se till att ni matchar er egen retentionspolicy. En leverantör som loggar prompts i 12 månader kan göra det lite mer utmanande att hantera radering, åtkomst och efterlevnad av GDPR artikel 17 när loggarna innehåller personuppgifter.

Bra svar: Specifika dagar för varje datakategori. "Prompts: 30 dagar. Loggar: 90 dagar. Träningsindex: raderas inom 24 timmar efter borttagning."

Rött ljus: "Så länge det är nödvändigt."

6. Vad händer om ni säger upp?

Uppsägning och personuppgiftshantering. Enligt GDPR artikel 28 är det viktigt att biträdet, utifrån kundens önskemål, raderar eller lämnar tillbaka personuppgifter när tjänsten avslutas. Dessutom kan GDPR artikel 20 ge registrerade rätten till dataportabilitet i vissa fall.

Bra svar: Vårt system raderar data inom 30 dagar och vi skickar alltid en bekräftelse till dig via e-post när raderingen är klar. Du kan välja ett exportformat som JSON eller CSV och specificera den tid du önskar för raderingen, till exempel 30 dagar.

Rött ljus: Det finns inget tydligt svar eller någon hänvisning till support, vilket kan göra det svårt att få den hjälp du behöver.

7. Vilken extern revision finns?

ISO/IEC 27001 och SOC 2 är välkända granskningsramverk. Att vara certifierad eller ha en aktuell revisionsrapport betyder att en oberoende part har gjort en noggrann kontroll av säkerhetsrutinerna.

Bra svar: Aktuella certifikat som brukar gälla i 12 månader samt möjlighet att begära in en auditrapport under NDA.

Rött ljus: "Vi följer industristandard."

När krävs en konsekvensbedömning (DPIA)?

GDPR artikel 35 kräver att man gör en Data Protection Impact Assessment när behandlingen kan innebära en hög risk för människors rättigheter och friheter. IMY beskriver konsekvensbedömning som en pågående och noggrant dokumenterad process.

DPIA är ofta ett viktigt verktyg när behandlingen innebär storskalig profilering, automatiserat beslutsfattande med stora rättsliga konsekvenser eller hantering av känsliga personuppgifter som hälsa, religion eller politiska åsikter.

För enklare situationer kan DPIA ofta undvikas. Till exempel kan en AI-chatbot för publik kundtjänst vara ett fall där riskerna är låga, särskilt om behandlingen är begränsad, det finns mänsklig kontroll och inga känsliga data eller automatiserade beslut används. Att till exempel översätta utan personuppgifter eller sammanfatta offentliga dokument brukar också vara mindre riskfyllt.

För enklare fall är det ofta tillräckligt med en strukturerad workshop med teknisk och juridisk expertis i samma rum. När det gäller mer komplexa situationer kan du använda CNIL:s DPIA-mall eller IMY:s egen vägledning som en bra utgångspunkt.

Vad som motverkar bra upphandling

En verbal försäkran utan ett skriftligt kontrakt är otillräcklig. Att säga "Vi tränar inte på era data" under ett säljmöte hjälper inte om DPA:n säger något annat. Läs alltid igenom avtalet noggrant innan du fattar ett beslut.

Generiska DPA:er som inte tar hänsyn till AI-specifika risker är ett annat problem. Många SaaS-leverantörer använder gamla mallar från innan AI-tiden och har inte uppdaterat dem. Det är viktigt att läsa igenom dem före signering.

Också glöms sub-processor-listan ofta bort. Den bör granskas med samma noggrannhet som huvudleverantörens.

Avslutning

De sju frågorna hjälper till att göra samtalet mer konkret och tydligt. En AI-leverantör som är seriös med dataskydd bör kunna svara klart och ärligt, utan att krångla till det. Om någon inte vill svara, är det ofta ett tecken på att hen inte har några bra svar. Vi har själva publicerat svaren på alla sju frågor – vårt biträdesavtal och vår underleverantörslista är tillgängliga för alla att se. Om er nuvarande leverantör inte är villig att matcha detta eller om ni behöver hjälp att utvärdera flera alternativ, tveka inte att skicka ett mejl till info@gothiaai.se. Vi hjälper gärna till att guida er rätt.