Steg-för-steg-guide

Den här hjälpcentersartikeln guidar dig igenom DPIA-assistenten – ett interaktivt verktyg som leder dig steg för steg genom konsekvensbedömningen inför införandet av en AI-tjänst i din organisation.

Nedanstående texter används som stödrutor i helpcentret, en per steg. Varje ruta förklarar varför steget genomförs och vad man ska tänka på. I varje steg ställer assistenten riktade frågor, hämtar automatiskt relevant information från lagar och Intrics dokumentation, och sammanställer svaren i ett DPIA-dokument anpassat till din organisations mall.

Använd stegväljaren nedan för att gå igenom processen i din egen takt.

1 Inledning och mall 2 Ändamål 3 Innehåll och teknik 4 Klassificering och risk 5 Rättslig bedömning 6 Dataskyddsprinciperna 7 Säkerhet och åtkomstkontroll 8 Driftsättning och konfiguration 9 Granskning 10 Slutdokument

Inledning och mall

Välj mall för slutdokumentet och ladda upp eventuella interna styrdokument som en AI-policy eller dataskyddspolicy. Assistenten använder dem som kontext i de juridiska bedömningarna längre fram. Saknas egna styrdokument väljer du ett av de inbyggda mallalternativen och fortsätter utan dem.

Assistenten:

• Läser in mallens struktur och identifierar alla fält som ska fyllas i
• Frågar om kommunen har interna policys kopplade till GDPR eller AI
• Sparar mall och styrdokument som referens för hela bedömningsprocessen

📌 Exempelfall: Exemplen i den här guiden är hämtade från en DPIA för AI-assisterad analys och sammanfattning av remissinspel, genomförd av en kommun med Intric.

Ändamål

Ändamålet är utgångspunkten för hela DPIA:n. Var konkret i beskrivningen: “AI-assistent för lärare” ger för lite; “AI-assistent som hjälper lärare formulera individuell återkoppling på elevtexter” ger rätt förutsättningar. Tre klassificeringsfrågor styr sedan hur noggrann bedömning som krävs i resterande steg.

Assistenten:

• Ber om en konkret beskrivning av vad AI-tjänsten ska göra och för vem
• Ställer tre klassificeringsfrågor om personuppgifter, individpåverkan och intern/extern användning
• Söker i relevanta lagar för att verifiera att ändamålet är förenligt med lagstiftningen

✏️ Exempel:

Kommunen använder en AI-assistent byggd på Intric för att stödja handläggare i analys och sammanfattning av inkomna remissinspel. Tjänsten är ett internt stödverktyg i ärendehanteringsprocessen.

• Personuppgifter behandlas: Ja
• Påverkar enskilda beslut: Nej
• Intern användning

Innehåll och teknik

Här kartläggs vilka personuppgifter som behandlas, i vilka system och hur data flödar. Ange vilka funktioner i Intric som är aktiverade, till exempel webbsökning eller bildanalys. Tänk på att elever kan lämna känslig information i fritext även om systemet inte är designat för det.

Läs mer om plattformsarkitektur och dataflöden per funktion i Intrics dokumentation.

Assistenten:

• Kartlägger behandlingsaktiviteter, datakällor och förekommande personuppgiftskategorier
• Hämtar plattforms- och dataflödesinformation automatiskt från Intrics dokumentation
• Identifierar varningsflaggor för känsliga uppgifter, sårbara registrerade och tredjelandsöverföringar

✏️ Exempel:

System som ingår:

• ACOS Websak – journalföring och primärlagring
• Intric – en AI-assistent (GleSys AB, Sverige)
• Word – slutlig sammanfattning

Aktiverade funktioner i Intric: Verktyg för att söka i lagtexter, webbsök.
Känsliga remissinspel (ca. 1 av 100) hanteras manuellt och ingår inte i AI-flödet.

Klassificering och risk

Assistenten gör en automatisk riskbedömning baserat på steg 1 och 2 och du bekräftar att den stämmer. Tänk särskilt på AI-specifika risker som felaktiga svar (hallucination) och partiska resultat. Ett verktyg som formellt är ett stöd kan snabbt bli tongivande om användarna litar för mycket på det.

Assistenten:

• Klassificerar informationens skyddsbehov på tre dimensioner: konfidentialitet, integritet och tillgänglighet
• Bedömer AI-specifika faktorer som autonominivå och individpåverkan
• Genererar en riskmatris med sannolikhet och konsekvens per identifierad risk

✏️ Exempel:

• Konfidentialitet: 2 – Remissinspel är offentliga handlingar men innehåller namn, adress och åsikter
• Autonomi: Stöd – AI genererar förslag; alla beslut fattas av handläggaren
• Risk hallucination: Sannolikhet Medel / Konsekvens Låg
• Sammantagen risknivå: Medel

Rättslig bedömning

Assistenten söker automatiskt stöd i GDPR och relevanta svenska lagar för att identifiera en lämplig rättslig grund. Din uppgift är att bekräfta att bedömningen stämmer med hur ni faktiskt arbetar. Kontrollera att grunden täcker alla personuppgifter och hela användningsfallet. Behandlas känsliga uppgifter enligt artikel 9 krävs dessutom ett separat undantag.

Assistenten:

• Söker automatiskt i GDPR och relevanta svenska lagar för att föreslå lämplig rättslig grund
• Kontrollerar att grunden täcker alla ändamål, uppgiftskategorier och operationer
• Flaggar om behandlingen kräver undantag enligt GDPR art. 9

✏️ Exempel:

• Rättslig grund: GDPR art. 6(1)(e) – behandlingen är nödvändig för att utföra en uppgift av allmänt intresse
• Kompletterande grund: Förvaltningslagen 37 § (remissplikt) och Plan- och bygglagen 5 kap. 2 §
• Artikel 9: förväntas inte förekomma i AI-flödet
• Postmottakets kontrollrutin säkerställer att känsliga handlingar inte offentliggörs och aldrig ingår i AI-flödet

Dataskyddsprinciperna

Assistenten går igenom varje princip i GDPR artikel 5 och föreslår åtgärder baserat på er beskrivning och lagstiftningen. För varje princip hämtar assistenten relevant information om hur Intric fungerar – till exempel hur datalagring, åtkomstkontroll och ändamålsbegränsning är implementerade i plattformen – och kopplar det mot GDPR-kraven. Bidra med er organisations kontext så att åtgärdsförslagen blir träffsäkra.

Assistenten:

• Hämtar automatiskt information om hur Intric uppfyller varje dataskyddsprincip, till exempel hur datalagring, åtkomstkontroll och ändamålsbegränsning är implementerade i plattformen
• Kopplar Intrics funktioner mot GDPR-kraven och föreslår kompletterande åtgärder för er organisation
• Söker stöd i GDPR-texten för att motivera bedömningen per princip

✏️ Exempel:

• Transparens: Kommunen uppdaterar remissbrevsmallen med: “Remissinspel kommer att behandlas med AI-verktyg för att ta fram en sammanfattning. Inspel som innehåller känsliga personuppgifter har tagits bort från AI-behandlingen.”
• Ändamålsbegränsning: Intrics underbiträden använder aldrig kunddata för AI-träning och har zero data retention.
• Uppgiftsminimering: Namn och adress behålls där geografisk relevans är sakligt motiverad.

Säkerhet och åtkomstkontroll

Ansvaret är delat mellan er organisation och Intric. Båda delarna behöver vara på plats.

Organisationens åtgärder

Kontrollera att ni har dokumenterade rutiner för incidenthantering och logguppföljning, och att relevant utbildning är genomförd innan driftsstart.

Intrics åtgärder

Intrics tekniska skyddsåtgärder som kryptering, loggning och certifieringar hämtas automatiskt från Intrics dokumentation. Er uppgift är att bekräfta att de är tillräckliga för er risknivå.

Assistenten:

• Hämtar automatiskt Intrics tekniska och organisatoriska skyddsåtgärder (TOMs) från Intrics dokumentation
• Dokumenterar kommunens egna åtgärder baserat på era svar
• Kontrollerar att skyddsnivån är proportionerlig mot risknivån från steg 3

✏️ Exempel:

Organisationens åtgärder:

• MFA aktiverat via kommunens AD/Entra ID
• SSO-integration mot Intric
• RBAC konfigurerat – enbart relevanta handläggare har tillgång
• Obligatorisk utbildning (AI literacy och praktisk användning) genomförd

Intrics åtgärder:

• ISO 27001:2022-certifierat
• TLS 1.2+ i transit, industristandardkryptering i vila
• Noll datalagring hos alla AI-modelleverantörer – prompts raderas omedelbart efter svar

Driftsättning och konfiguration

Omsätt bedömningen till faktiska inställningar. En vanlig risk är att systemet driftsätts med standardinställningar som inte matchar riskbedömningen, till exempel att webbsökning är på eller att gallringsfrister aldrig satts.

Organisationens åtgärder

Se till att ansvarig är utsedd, DSO godkänt, användare utbildade och att raderingsrutinen är testad.

Intrics tillgängliga funktioner

Konfigurera RBAC, gallringsfrister, loggning och AI-funktioner utifrån er bedömning. Se Intrics guide för säker konfiguration för en komplett checklista inför driftsstart.

Assistenten:

• Kontrollerar att konfigurationen matchar kraven från steg 3 till 5
• Fyller i checklistan inför driftsstart och identifierar eventuella luckor
• Verifierar gallringsfrister, RBAC, loggning och AI-funktioner mot bedömningen

✏️ Exempel:

• Lagringsregel: 120 dagar, automatisk och permanent radering
• AI-modelleverantörerna: omedelbar radering (noll datalagring)
• RBAC konfigurerat
• Insights inaktiverat (verifieras)
• Personuppgiftsbiträdesavtal med Intric AB ingånget och diarielagt före driftsstart

Granskning

Bedömningen kontrolleras av två oberoende AI-granskare, en juridisk och en teknisk, utan att de ser varandras utlåtanden. Identifieras brister går du tillbaka och kompletterar relevant steg. Det slutliga ansvaret ligger alltid hos er organisation och dataskyddsombudet.

Assistenten:

• Skickar bedömningen till två oberoende AI-granskare (juridisk och teknisk) som arbetar utan att se varandras utlåtanden
• Genererar ett samlat beslut: Godkänd / Inte godkänd / Kräver komplettering
• Specificerar vilka steg som behöver kompletteras vid brister

✏️ Exempel:

Granskningen identifierade tre öppna poster före driftsstart:

1. Modellval och tredjelandsbedömning ej klargjord
2. Juridisk klarläggning behövs om AI-arbetsmaterial utgör allmän handling
3. Insights behöver verifieras som inaktiverat på assistenten

Slutdokument

Assistenten fyller i vald mall med all information från processen. Kontrollera att inga fält är tomma och att handlingsplanen är kommunicerad till de ansvariga. Förändras tjänsten väsentligt, med ny modell, nytt ändamål eller utökad datamängd, behöver DPIA:n göras om.

Assistenten:

• Fyller i vald mall med all insamlad information från samtliga föregående steg
• Markerar fält som kräver manuell ifyllning
• Genererar en handlingsplan med öppna poster för uppföljning

✏️ Exempel:

Behandlingen kan sättas i drift efter att:

• ☐ Personuppgiftsbiträdesavtal ingångits med Intric AB
• ☐ Remissbrevsmallen uppdaterats med information om AI-användning
• ☐ Modellval klargjorts inklusive tredjelandsbedömning
• ☐ Dataskyddsombudets kommentar inhämtats

1 / 10

← FöregåendeNästa →