Ordliste
Suverænitet & Compliance

GDPR for AI-inference

GDPR (General Data Protection Regulation) er den EU-lov, der regulerer, hvordan persondata behandles. For AI-inference gælder den i det øjeblik, en prompt eller et svar indeholder persondata: du optræder som data controller, din inference-udbyder som processor, og lovlig brug kræver et gyldigt grundlag, en Data Processing Agreement og en behandling, der ikke udsætter dataene for ulovlig adgang - heller ikke via en international overførsel.

Hvorfor GDPR gælder for inference

Prompts er sjældent anonyme. Kundebeskeder, support-tickets, dokumenter, kode med credentials, medicinsk eller juridisk tekst - alt sammen bærer rutinemæssigt persondata, og i det øjeblik din applikation sender dem til et inference-API, regulerer GDPR den behandling. Du forbliver controller (du bestemmer, hvorfor og hvordan dataene bruges); udbyderen, der kører modellen, er processor, der handler på dine instrukser. GDPR's kernepligter følger: en lovlig hjemmel for behandlingen, dataminimering, formålsbegrænsning og en skriftlig Data Processing Agreement efter artikel 28.

Det er let at overse, fordi et API-kald føles som en teknisk detalje snarere end en dataoverførsel. Men inference læser dine faktiske produktionsdata ved hver forespørgsel - det er en af de mest følsomme datastrømme i en moderne applikation, ikke en baggrundstjeneste. Hvor og af hvem den behandling sker, er derfor et GDPR-spørgsmål, ikke bare et teknisk et.

GDPR-compliance er ikke datasuverænitet

Det svære spørgsmål for AI er ikke, om du kan være GDPR-compliant, men hvad compliance faktisk giver dig. At sende persondata til en udbyder uden for EU er en international overførsel til et tredjeland, som GDPR kun tillader med særlige garantier - Standard Contractual Clauses eller en tilstrækkelighedsafgørelse som EU-US Data Privacy Framework. Sådanne garantier kan gøre en overførsel lovlig. Hvad de ikke kan, er at gøre den suveræn: en amerikansk hyperscalers europæiske region kan være fuldt GDPR-compliant og stadig lade dine data være inden for rækkevidde af amerikanske myndigheder. I Schrems II underkendte EU's øverste domstol den tidligere overførselsramme netop af denne grund - amerikansk overvågningslovgivning (FISA Section 702, understøttet af CLOUD Act) kan gennemtvinge, at en amerikansk-kontrolleret udbyder udleverer data, uanset hvor de er lagret, og uanset hvad kontrakten siger.

Compliance og suverænitet er altså to forskellige målestokke. GDPR-compliance handler om at behandle persondata lovligt - en lovlig hjemmel, en DPA, gyldige overførselsgarantier - og en udbyder under næsten enhver jurisdiktion kan opfylde det. Datasuverænitet er stærkere: at ingen fremmed lov overhovedet kan nå dine data. Det, der afgør det, er udbyderens jurisdiktion, ikke hvor modellen er bygget - en open-weight-model af enhver oprindelse, betjent af en EU-udbyder på EU-infrastruktur, er både compliant og suveræn, mens den samme model bag et amerikansk-kontrolleret API kan være compliant, men aldrig suveræn. Residency, jurisdiktion og DPA'en er de dimensioner, der tilsammen lukker den kløft.

Compliant og suveræn hos Infercom

På sine EU-hostede modeller giver Infercom dig begge dele. Din inference kører i EU, under et EU-driftsselskab uden amerikansk moderselskab, med en artikel 28-DPA, du kan underskrive, og sub-processors oplistet i vores Trust Center - så inference-laget er compliant og suverænt, ikke en stående undtagelse, du skal retfærdiggøre i en revision. Det gør dig ikke compliant i sig selv: en lovlig hjemmel, dataminimering og dine egne controller-pligter forbliver dine. Og vi er åbne om kanttilfældene, for suverænitet er noget, man skal kunne verificere, ikke tage på tro - vores katalog tilbyder også et globalt lag af modeller, der routes uden for EU, tydeligt mærket non-sovereign i portalen, så du kan holde et workload EU-only, når det skal være det, og nogle driftsdata behandles af en amerikansk sub-processor under Standard Contractual Clauses: lovligt under GDPR, men ikke desto mindre en overførsel, hvilket er grunden til, at vi navngiver den i DPA'en frem for at skjule den.

Kilder

Relaterede begreber

Se hvordan EU-jurisdiktion, Data Residency og en DPA, du kan underskrive, spiller sammen på vores EU-suveræne AI-platform - kontrol, du kan holde os op på, ikke et mærkat.

Klar til at bygge fremtidens AI i Europa?

Slut dig til fremsynede organisationer, der deployer suveræn AI med performance i verdensklasse