Er AI-dokumentbehandling GDPR-kompatibel? En praktisk EU-tjekliste
Spørgsmålet, enhver driftsansvarlig i EU stiller, før dokumenter automatiseres. Det korte svar: AI-dokumentbehandling KAN være GDPR-kompatibel — men compliance ligger i, hvordan arbejdsgangen er designet, ikke på AI-modellens markedsføringsside.
GDPR forbyder ikke AI-dokumentbehandling. Den kræver det samme, som den altid kræver — lovligt grundlag, formålsbegrænsning, minimering, sikkerhed, ansvarlighed — anvendt på en arbejdsgang, der tilfældigvis bruger AI. En veldesignet udtræksarbejdsgang er lettere at gøre kompatibel end en menneskelig indbakke, fordi hvert trin er eksplicit og kan auditeres.
Det, der i praksis bryder compliance: at sende dokumenter til værktøjer uden DPA, at lade udbydere træne på jeres kundedata, at beholde tavse kopier for evigt og at logge dokumentindhold i systemer, ingen styrer.
Tjeklisten
Lovligt grundlag navngivet for hver dokumenttype (kontraktopfyldelse, retlig forpligtelse, legitim interesse — skrevet ned).
Formålsbegrænsning: arbejdsgangen behandler dokumenter til ét defineret formål; genbrug kræver en ny beslutning.
Dataminimering: udtræk definerede felter — støvsug ikke hele dokumentet ind i efterfølgende systemer.
DPA på plads med leverandøren af arbejdsgangen OG hver underdatabehandler (inklusive AI-modeludbyderen) listet.
Ingen træning på jeres data: modeludbyderens vilkår skal udelukke jeres indhold fra træning.
EU-datalagring, hvor stacken tillader det; gyldige overførselsgrundlag (SCC'er), hvor den ikke gør.
Opbevaring aftalt pr. dokumenttype; AI-lagets midlertidige filer og logs slettes efter plan.
Indhold holdes ude af applikationslogs — log metadata (tidsstempler, statusser), aldrig dokumenttekst.
Menneskeligt tilsyn med trin, der har konsekvenser; de registreredes rettigheder (indsigt, sletning) kan udøves fra ende til anden.
En hændelsesvej: hvem får hvilken besked — og hvornår — hvis noget lækker.
Særlige tilfælde, der kræver ekstra omhu
CV'er og rekrutteringsdokumenter: højrisiko under EU's AI-forordning — AI må strukturere og opsummere, men et menneske skal træffe hver beslutning.
Sundheds-, jura- og økonomidokumenter: strengere grundlag og ofte kortere adgangslister; design godkendelsesporten derefter.
Dokumenter om børn eller udsatte personer: som regel et tegn på, at arbejdsgangen kræver en DPIA, før noget kører.
Hvem der er ansvarlig
Virksomheden, der behandler dokumenterne, forbliver dataansvarlig: den ejer det lovlige grundlag, opbevaringsplanen og de endelige beslutninger. En leverandør som Rexora optræder som databehandler — bundet af DPA'en, ansvarlig for at bygge arbejdsgangen, så den dataansvarlige KAN overholde reglerne, og for at holde sit eget lag (logs, midlertidige filer, underdatabehandlere) rent.
Compliance-godkendelsen ligger hos den dataansvarlige og dennes rådgivere. En god leverandør gør den gennemgang let ved at aflevere dataflowet, listen over underdatabehandlere og opbevaringsadfærden på skrift — og afslår opgaver, der ikke kan gøres kompatible.
Før I automatiserer dokumenter
Ti minutter med disse spørgsmål sparer en smertefuld ombygning senere.
Skriv dokumenttyperne ned og det lovlige grundlag for hver.
Skriv ned, hvilke felter I faktisk skal have udtrukket.
Bed hver leverandør om listen over underdatabehandlere og vilkår, der udelukker træning.
Aftal opbevaring for originaler, udtræk, midlertidige filer og logs.
Beslut, hvilke trin der kræver en navngiven menneskelig godkender.
Her passer Rexora ind
Rexora designer dokumentarbejdsgange GDPR-først: minimering, aftalt opbevaring, logs uden indhold, EU-hostede værktøjer hvor muligt og et DPA-udkast klar til gennemgang.
Rekrutteringsdokumenter holder altid mennesker på beslutningen — EU's AI-forordnings højrisikoregler er selve arkitekturen, ikke en fodnote.
Ærlige grænser
Denne guide er praktisk orientering, ikke juridisk rådgivning; den dataansvarliges rådgivere giver den endelige godkendelse.
Vi afslår opgaver, der kræver, at menneskeligt tilsyn fjernes fra følsomme beslutninger.