Er AI-dokumentbehandling i samsvar med GDPR? En praktisk EU-sjekkliste
Spørsmålet enhver driftsleder i EU stiller før dokumenter automatiseres. Det korte svaret: AI-dokumentbehandling KAN være i samsvar med GDPR, men etterlevelsen ligger i hvordan arbeidsflyten er designet — ikke på AI-modellens markedsføringsside.
GDPR forbyr ikke AI-dokumentbehandling. Den krever det samme som alltid — rettslig grunnlag, formålsbegrensning, minimering, sikkerhet, ansvarlighet — anvendt på en arbeidsflyt som tilfeldigvis bruker AI. En godt designet uttrekksarbeidsflyt er lettere å gjøre etterlevende enn en menneskelig innboks, fordi hvert steg er eksplisitt og reviderbart.
Det som bryter etterlevelsen i praksis: å sende dokumenter til verktøy uten DPA, å la leverandører trene på kundedataene dine, å beholde stille kopier for alltid, og å logge dokumentinnhold inn i systemer ingen kontrollerer.
Sjekklisten
Rettslig grunnlag navngitt for hver dokumenttype (kontraktsoppfyllelse, rettslig forpliktelse, berettiget interesse — skrevet ned).
Formålsbegrensning: arbeidsflyten behandler dokumenter for ett definert formål; gjenbruk krever en ny beslutning.
Dataminimering: trekk ut definerte felter; ikke støvsug hele dokumentet inn i systemene nedstrøms.
DPA på plass med arbeidsflytleverandøren OG hver underleverandør (inkludert AI-modellleverandøren) listet.
Ingen trening på dataene deres: modellleverandørens vilkår må utelukke innholdet deres fra trening.
Datalagring i EU der stakken tillater det; gyldige overføringsmekanismer (SCC-er) der den ikke gjør det.
Lagringstid avtalt per dokumenttype; AI-lagets midlertidige filer og logger slettes etter planen.
Innhold holdes ute av applikasjonslogger — logg metadata (tidsstempler, statuser), aldri dokumenttekst.
Menneskelig tilsyn med steg som har konsekvenser; de registrertes rettigheter (innsyn, sletting) gjennomførbare fra ende til ende.
En hendelsesvei: hvem som får vite hva, og når, hvis noe lekker.
Spesialtilfeller som krever ekstra varsomhet
CV-er og rekrutteringsdokumenter: høyrisiko etter EU AI Act — AI kan strukturere og oppsummere, men et menneske må ta hver beslutning.
Helsedokumenter, juridiske og økonomiske dokumenter: strengere grunnlag og ofte kortere tilgangslister; design godkjenningsporten deretter.
Dokumenter om barn eller sårbare personer: vanligvis et tegn på at arbeidsflyten trenger en DPIA før noe kjører.
Hvem som er ansvarlig
Virksomheten som behandler dokumentene, forblir behandlingsansvarlig: den eier det rettslige grunnlaget, lagringsplanen og de endelige beslutningene. En leverandør som Rexora opptrer som databehandler — bundet av DPA-en, ansvarlig for å bygge arbeidsflyten slik at den behandlingsansvarlige KAN etterleve, og for å holde sitt eget lag (logger, midlertidige filer, underleverandører) rent.
Den endelige etterlevelsesgodkjenningen ligger hos den behandlingsansvarlige og dens rådgivere. En god leverandør gjør den gjennomgangen enkel ved å overlevere dataflyten, underleverandørlisten og lagringsatferden skriftlig — og avslår omfang som ikke kan gjøres etterlevende.
Før dere automatiserer dokumenter
Ti minutter med disse spørsmålene sparer en smertefull ombygging senere.
List opp dokumenttypene og det rettslige grunnlaget for hver.
Skriv ned hvilke felter dere faktisk trenger trukket ut.
Be hver leverandør om underleverandørlisten og vilkårene som utelukker trening.
Avtal lagringstid for originaler, uttrekk, midlertidige filer og logger.
Bestem hvilke steg som krever en navngitt menneskelig godkjenner.
Hvor Rexora passer inn
Rexora designer dokumentarbeidsflyter med GDPR først: minimering, avtalt lagringstid, logger uten innhold, EU-driftede verktøy der det er mulig, og et DPA-utkast klart for gjennomgang.
Rekrutteringsdokumenter lar alltid mennesker bestemme — høyrisikoreglene i EU AI Act er selve arkitekturen, ikke en fotnote.
Ærlige grenser
Denne guiden er praktisk orientering, ikke juridisk rådgivning; den behandlingsansvarliges rådgivere gir den endelige godkjenningen.
Vi avslår omfang som krever at menneskelig tilsyn fjernes fra sensitive beslutninger.