Steg-for-steg-guide

Denne hjelpesenterartikkelen leder deg gjennom DPIA-assistenten — et interaktivt verktøy som tar deg steg for steg gjennom konsekvensvurderingen før du innfører en KI-tjeneste i organisasjonen.

Tekstene nedenfor brukes som støttepaneler i hjelpesenteret, ett per trinn. Hvert panel forklarer hvorfor trinnet gjennomføres og hva du bør tenke på. I hvert trinn stiller assistenten målrettede spørsmål, henter automatisk relevant informasjon fra lover og Intric-dokumentasjon, og samler svarene dine i et DPIA-dokument tilpasset organisasjonens mal.

Bruk trinnvelgeren nedenfor for å gå gjennom prosessen i ditt eget tempo.

1 Introduksjon og mal 2 Formål 3 Innhold og teknologi 4 Klassifisering og risiko 5 Rettslig vurdering 6 Personvernprinsipper 7 Sikkerhet og tilgangskontroll 8 Igangsetting og konfigurasjon 9 Gjennomgang 10 Sluttdokument

Introduksjon og mal

Velg mal for sluttdokumentet og last opp eventuelle interne styringsdokumenter, for eksempel en KI-policy eller personvernpolicy. Assistenten bruker dem som kontekst i de rettslige vurderingene senere. Har dere ikke egne styringsdokumenter, velger du ett av de innebygde malalternativene og fortsetter uten dem.

Assistenten:

• Leser inn malstrukturen og identifiserer alle felt som skal fylles ut
• Spør om kommunen (eller organisasjonen deres) har interne retningslinjer knyttet til GDPR eller KI
• Lagrer malen og styringsdokumentene som referanse for hele vurderingsprosessen

📌 Eksempelscenario: Eksemplene i denne guiden er hentet fra en DPIA om KI-assistert analyse og sammendrag av høringssvar, gjennomført av en kommune med Intric.

Formål

Formålet er utgangspunktet for hele DPIA-en. Vær konkret i beskrivelsen: «KI-assistent for lærere» gir for lite; «KI-assistent som hjelper lærere å formulere individuell tilbakemelding på elevtekster» gir riktige forutsetninger. Tre klassifiseringsspørsmål styrer deretter hvor grundig vurderingen må være i de øvrige trinnene.

Assistenten:

• Ber om en konkret beskrivelse av hva KI-tjenesten skal gjøre og for hvem
• Still tre klassifiseringsspørsmål om personopplysninger, konsekvenser for enkeltpersoner og intern vs. ekstern bruk
• Søker i relevant lovgivning for å verifisere at formålet er lovlig

✏️ Eksempel:

Kommunen bruker en KI-assistent bygget på Intric for å støtte saksbehandlere i analyse og sammendrag av innkomne høringssvar. Tjenesten er et internt støtteverktøy i saksbehandlingsprosessen.

• Personopplysninger behandles: Ja
• Påvirker enkeltvedtak: Nei
• Intern bruk

Innhold og teknologi

Her kartlegger du hvilke personopplysninger som behandles, i hvilke systemer og hvordan data flyter. Oppgi hvilke funksjoner i Intric som er aktivert, for eksempel nettsøk eller bildeanalyse. Husk at brukere kan legge inn sensitiv informasjon i fritekst selv om systemet ikke er laget for det.

Les mer om plattformarkitektur og dataflyt per funksjon i Intric-dokumentasjonen.

Assistenten:

• Kartlegger behandlingsaktiviteter, datakilder og kategorier av personopplysninger som forekommer
• Henter plattform- og dataflytinformasjon automatisk fra Intric-dokumentasjonen
• Flagger advarsler for sensitive data, sårbare registrerte og overføring til tredjeland

✏️ Eksempel:

Systemer involvert:

• ACOS Websak — journal og primærlagring
• Intric — en KI-assistent (GleSys AB, Sverige)
• Word — endelig sammendrag

Aktiverte funksjoner i Intric: verktøy for å søke i lovtekst, nettsøk.
Sensitive høringssvar (ca. 1 av 100) håndteres manuelt og inngår ikke i KI-flyten.

Klassifisering og risiko

Assistenten gjør en automatisk risikovurdering basert på trinn 1 og 2, og du bekrefter at den stemmer. Tenk særlig på KI-spesifikke risikoer som feil svar (hallusinasjon) og skjeve resultater. Et verktøy som formelt bare er støtte kan raskt bli avgjørende hvis brukerne stoler for mye på det.

Assistenten:

• Klassifiserer informasjonens beskyttelsesbehov i tre dimensjoner: konfidensialitet, integritet og tilgjengelighet
• Vurderer KI-spesifikke faktorer som autonominivå og konsekvenser for registrerte
• Utarbeider en risikomatrise med sannsynlighet og konsekvens for hver identifisert risiko

✏️ Eksempel:

• Konfidensialitet: 2 — Høringssvar er offentlige dokumenter, men inneholder navn, adresser og meninger
• Autonomi: Støtte — KI genererer forslag; alle vedtak fattes av saksbehandler
• Hallusinasjonsrisiko: Sannsynlighet middel / konsekvens lav
• Samlet risikonivå: Middels

Rettslig vurdering

Assistenten søker automatisk i GDPR og relevant nasjonal lovgivning for å foreslå et passende rettslig grunnlag. Din oppgave er å bekrefte at vurderingen stemmer med hvordan dere faktisk jobber. Kontroller at grunnlaget dekker alle personopplysninger og hele bruksområdet. Behandles sensitive opplysninger etter artikkel 9, kreves det i tillegg et eget unntak.

Assistenten:

• Søker automatisk i GDPR og relevant nasjonal lov for å foreslå et passende rettslig grunnlag
• Sjekker at grunnlaget dekker alle formål, datakategorier og behandlinger
• Flagger om behandlingen krever unntak etter GDPR artikkel 9

✏️ Eksempel:

• Rettslig grunnlag: GDPR art. 6(1)(e) — behandlingen er nødvendig for å utføre en oppgave av allmenn interesse
• Tilleggsgrunnlag (svensk kommunalt eksempel): Förvaltningslagen 37 § (høringsplikt) og Plan- och bygglagen kap. 5 § 2
• Artikkel 9: forventes ikke i KI-flyten
• Rutinen i postmottaket sikrer at sensitive dokumenter ikke offentliggjøres og dermed aldri kommer inn i KI-flyten

Personvernprinsipper

Assistenten går gjennom hvert prinsipp i GDPR artikkel 5 og foreslår tiltak ut fra beskrivelsen deres og regelverket. For hvert prinsipp henter assistenten relevant informasjon om hvordan Intric fungerer — for eksempel hvordan lagring, tilgangskontroll og formålsbegrensning er implementert i plattformen — og knytter dette til GDPR-kravene. Legg til organisasjonens kontekst slik at forslagene treffer.

Assistenten:

• Henter automatisk informasjon om hvordan Intric oppfyller hvert personvernprinsipp, for eksempel lagring, tilgangskontroll og formålsbegrensning i plattformen
• Mapper Intrics funksjoner til GDPR-krav og foreslår komplementære tiltak for organisasjonen deres
• Bygger vurderingen per prinsipp på GDPR-teksten

✏️ Eksempel:

• Åpenhet: Kommunen oppdaterer høringsbrev-mal med: «Høringssvar vil bli behandlet med KI-verktøy for å lage et sammendrag. Innspill som inneholder sensitive personopplysninger er fjernet fra KI-behandlingen.»
• Formålsbegrensning: Intrics underleverandører bruker aldri kundedata til KI-trening og bruker null datalagring (zero data retention).
• Dataminimering: Navn og adresser beholdes bare der geografisk relevans er saklig begrunnet.

Sikkerhet og tilgangskontroll

Ansvaret deles mellom organisasjonen din og Intric. Begge deler må være på plass.

Organisasjonens tiltak

Kontroller at dere har dokumenterte rutiner for hendelseshåndtering og loggoppfølging, og at relevant opplæring er gjennomført før produksjonssetting.

Intrics tiltak

Intrics tekniske vernetiltak som kryptering, logging og sertifiseringer hentes automatisk fra Intric-dokumentasjonen. Din oppgave er å bekrefte at de er tilstrekkelige for risikonivået deres.

Assistenten:

• Henter automatisk Intrics tekniske og organisatoriske tiltak (TOM) fra Intric-dokumentasjonen
• Dokumenterer kommunens (eller organisasjonens) egne tiltak ut fra svarene deres
• Sjekker at beskyttelsesnivået står i forhold til risikonivået fra trinn 3

✏️ Eksempel:

Organisasjonens tiltak:

• MFA aktivert via kommunens AD/Entra ID
• SSO-integrasjon mot Intric
• RBAC konfigurert — bare relevante saksbehandlere har tilgang
• Obligatorisk opplæring (KI-kompetanse og praktisk bruk) gjennomført

Intrics tiltak:

• ISO 27001:2022-sertifisert
• TLS 1.2+ under overføring, bransjestandard kryptering i hvile
• Null datalagring hos alle KI-modellleverandører — promptene slettes umiddelbart etter svar

Igangsetting og konfigurasjon

Omsett vurderingen til faktiske innstillinger. En vanlig risiko er produksjonssetting med standardinnstillinger som ikke samsvarer med risikovurderingen — for eksempel at nettsøk står på eller at slettefrister aldri er satt.

Organisasjonens tiltak

Sørg for at ansvarlig er utpekt, personvernombudet har godkjent, brukere er opplært og at sletterutinen er testet.

Funksjoner tilgjengelig i Intric

Konfigurer RBAC, slettefrister, logging og KI-funksjoner ut fra vurderingen deres. Se Intrics guide til sikker konfigurasjon for en fullstendig sjekkliste før oppstart.

Assistenten:

• Sjekker at konfigurasjonen samsvarer med kravene fra trinn 3 til 5
• Fullfører sjekklisten før oppstart og avdekker eventuelle hull
• Verifiserer lagring, RBAC, logging og KI-funksjoner mot vurderingen

✏️ Eksempel:

• Lagringsregel: 120 dager, automatisk og permanent sletting
• KI-modellleverandører: umiddelbar sletting (null datalagring)
• RBAC konfigurert
• Insights deaktivert (verifisert)
• Databehandleravtale med Intric AB inngått og journalisert før produksjonssetting

Gjennomgang

Vurderingen kontrolleres av to uavhengige KI-gjennomgåere — én juridisk og én teknisk — uten at de ser hverandres konklusjoner. Ved mangler går du tilbake og fullfører relevant trinn. Det endelige ansvaret ligger alltid hos organisasjonen og personvernombudet.

Assistenten:

• Sender vurderingen til to uavhengige KI-gjennomgåere (juridisk og teknisk) som ikke ser hverandres konklusjoner
• Gir en samlet avgjørelse: Godkjent / Ikke godkjent / Krever utfylling
• Angir hvilke trinn som må fullføres når det finnes mangler

✏️ Eksempel:

Gjennomgangen avdekket tre åpne punkter før produksjonssetting:

1. Modellvalg og tredjelandsvurdering ikke avklart
2. Juridisk avklaring trengs om KI-arbeidsmateriale utgjør offentlig dokument
3. Insights må verifiseres som deaktivert på assistenten

Sluttdokument

Assistenten fyller ut valgt mal med all informasjon fra prosessen. Kontroller at ingen felt er tomme og at tiltaksplanen er kommunisert til ansvarlige. Endres tjenesten vesentlig — ny modell, nytt formål eller utvidet datamengde — må DPIA-en gjøres på nytt.

Assistenten:

• Fyller ut valgt mal med all informasjon samlet i de foregående trinnene
• Merker felt som krever manuell utfylling
• Genererer en tiltaksplan med åpne punkter for oppfølging

✏️ Eksempel:

Behandlingen kan settes i drift etter at:

• ☐ Databehandleravtale er inngått med Intric AB
• ☐ Høringsbrev-mal er oppdatert med informasjon om KI-bruk
• ☐ Modellvalg er avklart, inkludert tredjelandsvurdering
• ☐ Personvernombudets merknad er innhentet

1 / 10

← ForrigeNeste →