Ordliste
Suverænitet & Compliance

Data Processing Agreement (DPA)

En Data Processing Agreement (DPA) er den kontrakt, GDPR artikel 28 kræver, mellem en data controller (dig) og en data processor (din inference-udbyder), og som regulerer, hvordan udbyderen må behandle persondata på dine vegne. Den fastlægger udbyderens forpligtelser - instrukser, fortrolighed, sikkerhed, sub-processors og sletning - og er en forudsætning for lovligt at sende persondata til en AI-tjeneste.

Hvorfor AI-inference har brug for en DPA

Når din applikation sender en prompt til et inference-API, indeholder den prompt ofte persondata - navne, e-mails, support-tickets, medicinsk eller juridisk tekst. Under GDPR er du controller, og inference-udbyderen er processor, der handler på dine instrukser, og artikel 28 kræver, at dette forhold reguleres af en skriftlig kontrakt: DPA'en. Uden en sådan har det ingen lovlig hjemmel på behandlingssiden at sende persondata til udbyderen - uanset hvor god udbyderens sikkerhed er.

En DPA er derfor en af de første ting, en enterprise- eller reguleret køber tjekker - "tilbyder I en DPA, vi kan underskrive?" er et knock-out-spørgsmål i de fleste indkøbs- og sikkerhedsgennemgange. En udbyder, der ikke kan fremlægge en ordentlig artikel-28-DPA, kan ikke bruges til noget, der berører persondata, hvilket udelukker den fra de fleste seriøse EU-deployments.

Hvad en DPA skal dække

Artikel 28 fastlægger, hvad aftalen skal indeholde. Processoren skal: kun behandle persondata på controllerens dokumenterede instrukser; sikre, at alle med adgang er bundet af fortrolighed; implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger; ikke antage sub-processors uden godkendelse og videreføre de samme forpligtelser til dem; bistå controlleren med de registreredes rettigheder og anmeldelse af brud; og slette eller returnere dataene ved tjenestens ophør.

Sub-processor-klausulen er dér, hvor suverænitet og DPA'en mødes. Hver part i kæden, der kan berøre dataene - datacentret, enhver managed-service- eller hardware-leverandør med adgang - er en sub-processor, der skal navngives og bindes. Derfor betyder transparens noget: en DPA er kun så stærk som ærligheden i dens sub-processor-liste, og en udbyder under fremmed jurisdiktion kan stadig tvinges til at udlevere, selv med en underskrevet kontrakt.

DPA'en hos Infercom

Infercom tilbyder en GDPR-artikel-28-Data Processing Agreement, du kan underskrive, til enterprise-kunder, understøttet af et EU-driftsselskab og EU-behandling. Vores sub-processors og certificeringer er transparent oplistet i vores Trust Center, herunder hvor en komponent - såsom hardware-leverandøren - sidder uden for EU, så du kan vurdere hele kæden frem for et mærkat. En DPA plus EU-jurisdiktion er det, der forvandler "dine data bliver i EU" fra en markedsføringsfrase til en kontrakt, du kan holde os op på.

Kilder

Relaterede begreber

Se hvordan EU-jurisdiktion, Data Residency og en DPA, du kan underskrive, spiller sammen på vores EU-suveræne AI-platform - kontrol, du kan holde os op på, ikke et mærkat.

Klar til at bygge fremtidens AI i Europa?

Slut dig til fremsynede organisationer, der deployer suveræn AI med performance i verdensklasse