Hoppa till innehåll
Intric Intric Help Center

Sekretessbelagd information, fyra frågor och tips

Introduktion

Section titled “Introduktion”

🎯 Lärandemål

  • Förstå att sekretessbelagd information och personuppgifter är separata kategorier
  • Veta att du ska kontrollera din organisations informationsklassificeringspolicy, inte bara dataskyddsreglerna
  • Lämna med en praktisk checklista och verktyg för att korrigera vanliga myter

När information är känslig av andra skäl

Section titled “När information är känslig av andra skäl”

Inte all känslig information är personuppgifter. Sekretessbelagd information — i bemärkelsen information som din organisation märkt som begränsad eller konfidentiell av operativa eller säkerhetsmässiga skäl — är en separat kategori.

Exempel:

  • Interna statliga överläggningar som inte offentliggjorts
  • Kommersiellt känslig upphandlingsinformation
  • Säkerhetsrelaterad information (hotbedömningar, infrastruktursårbarheter)
  • Information som omfattas av yrkessekretess (som vissa typer av juridisk eller medicinsk rådgivning inom en organisation)

GDPR täcker inte denna typ av information — men din organisations egna informationssäkerhetspolicyer gör det, och det gör i många fall också allmän förvaltningsrätt.

Vad det innebär i praktiken

Section titled “Vad det innebär i praktiken”

Din organisations informationsklassificeringspolicy avgör vad som kan matas in i vilka system. Även om en given assistent tekniskt sett är godkänd för personuppgifter, kan den vara otillåten för sekretessbelagd intern information — och det rör sig om olika frågor.

Innan du arbetar med sekretessbelagda dokument eller känslig intern information i en assistent — kontrollera:

  • Vilken klassificeringsnivå har din organisation tilldelat denna information?
  • Vad säger din IT- eller informationssäkerhetspolicy om att använda AI-assistenter med den klassificeringen?
  • Är assistenten du vill använda driftsatt i en miljö som är förenlig med den klassificeringen?

Vid osäkerhet — behandla informationen som mer känslig snarare än mindre, och fråga.

Exempel: Du skriver en rapport för din kommun som refererar till ett internt juridiskt yttrande märkt “för tjänstebruk”. Om du kan inkludera det i en assistentprompt beror på klassificeringen av både dokumentet och assistenten — inte bara ett av dem.

Fyra frågor att ställa innan du börjar

Section titled “Fyra frågor att ställa innan du börjar”

Innan du använder en assistent med data du inte är helt säker på — gå snabbt igenom dessa:

  1. Är den här assistenten godkänd för den här typen av data? Kontrollera säkerhetsklassificeringen. Om du är osäker — fråga din administratör.
  2. Delar jag bara det som faktiskt behövs för den här uppgiften? Fundera på om du kan uppnå samma resultat med mindre personuppgifter.
  3. Är det en människa som fattar det slutliga beslutet här? Om AI:ns svar direkt kommer att leda till en konsekvens för en person — se till att en människa granskar och tar ansvar.
  4. Känns det här som ett nytt användningsfall? Om sättet du använder assistenten på skiljer sig meningsfullt från dess avsedda syfte, eller involverar känsliga datakategorier i stor skala — flagga det till ditt DPO innan du fortsätter.

Tips och myter

Section titled “Tips och myter”

Några saker du kanske hör från kollegor — och hur du svarar:

“Om en människa granskar svaret är allt juridiskt okej.”

Mestadels, ja — men granskningen måste vara genuin. Om någon tekniskt sett är “i loopen” men i praktiken aldrig ändrar eller ifrågasätter AI:ns svar, kanske tillsynsmyndigheter och domstolar inte behandlar det som meningsfull mänsklig tillsyn. Den mänskliga granskaren behöver faktiskt förstå vad AI:n rekommenderade och ha möjlighet att inte hålla med.

“AI-assistenter tränas på det jag skriver, så jag bör undvika personuppgifter helt.”

Intric använder som standard inte dina prompter eller data för att träna AI-modeller. Din data förblir din. Det här är en av de viktigaste skillnaderna mellan en plattform som Intric och en konsument-AI-produkt. Det sagt — detta innebär inte att allt är tillåtet; dataskyddskrav gäller oavsett träning.

“En DPIA är ett enormt juridiskt projekt — vi kan inte göra en varje gång vi använder AI.”

En DPIA krävs inte för all AI-användning. Den utlöses av specifika omständigheter (som beskrivits i föregående avsnitt). För många vardagliga användningsfall av en assistent — skrivande, sammanfattning, forskning — krävs ingen DPIA. Det som spelar roll är att känna igen när gränsen passeras.

“AI Act och GDPR säger samma sak, så jag behöver bara tänka på en av dem.”

De är relaterade men distinkta. GDPR handlar om att skydda personuppgifter. AI Act handlar om säkerheten och tillförlitligheten hos AI-system. De pekar ofta i samma riktning, men de har olika krav och olika utlösare. För AI Act-skyldigheter specifika för din organisation — se AI Act-kursen.

Det cirkulerar mycket myt och osäkerhet om AI och dataskydd. Vid osäkerhet — vänd dig till din administratör eller dataskyddsombud, kontrollera din organisations interna riktlinjer eller läs primärkällor. Du får en mer korrekt bild än från de flesta sammanfattningar på nätet.

Testa dina kunskaper

3 frågor · 100 % rätt för att godkännas · Granska svar när du är klar