De fleste organisasjoner som begynner å kartlegge KI-bruken sin, starter med en liste over verktøy. ChatGPT, Copilot, Claude. Det er et godt sted å starte. Men det er ikke der styringen skjer.
Datatilsynet spør ikke hvilke verktøy dere bruker. De spør hva dere bruker dem til. Hvem sine opplysninger behandles. Hva formålet er. Og om dere har vurdert risikoen ved akkurat den bruken.
Copilot brukt til å skrive møtereferater er én ting. Copilot brukt til å analysere personaldata er noe helt annet. Samme verktøy, men risikoen, personvernkravene og tiltakene er forskjellige. Hvis organisasjonen bare har vurdert Copilot som verktøy, har den i praksis ikke vurdert noen av bruksområdene godt nok. Datatilsynets sandkasseprosjekt med NTNU og Copilot slo fast nettopp dette: det er den konkrete bruken som utløser kravene, ikke plattformen i seg selv. Hver bruk med et eget formål og egne personopplysninger trenger sin egen vurdering.
En behandlingsaktivitet beskriver hva et verktøy faktisk brukes til. «Copilot brukt til møtereferater i HR» er én aktivitet. «Copilot brukt til oppsummering av offentlige dokumenter i juridisk avdeling» er en annen. Hver har sitt formål, sitt lovgrunnlag, sine datakategorier og sin risikoprofil. Det er denne enheten GDPR artikkel 30 krever at dere dokumenterer, og det er denne enheten tilsynet vil se på.
Behandlingsaktiviteter med samsvarsstatus, risikovurdering og avdeling.
I Lexera er behandlingsaktiviteten den sentrale enheten, ikke verktøyet. Verktøykatalogen gir oversikten over hva organisasjonen har tilgjengelig. Men under hvert verktøy oppretter dere de konkrete aktivitetene: hva brukes det til, av hvem, med hvilke data, og til hvilket formål. Hver aktivitet har et rettslig grunnlag, en eier, en avdelingstilknytning, og dokumentasjon av hvilke personopplysninger som behandles, om det finnes særlige kategorier, om det skjer tredjelandsoverføring, og hva oppbevaringstiden er. Når aktiviteten er opprettet, kobler dere en risikovurdering til den. Veiviseren tilpasser spørsmålene basert på hva aktiviteten innebærer. Behandler den personopplysninger? Da stilles spørsmål om DPIA-triggere. Faller bruken inn under en høyrisikokategori i EU AI Act? Da klassifiseres den parallelt, i samme vurdering. Trenger dere en databehandleravtale? Også den kobles til aktiviteten, ikke til verktøyet.
Hver aktivitet i Lexera har en samsvarsstatus. Systemet sjekker tre ting: har aktiviteten en risikovurdering, har den en gyldig databehandleravtale, og er rettslig grunnlag angitt. Mangler risikovurderingen, er statusen kritisk. Mangler DPA eller rettslig grunnlag, vises en advarsel. Når alt er på plass, er aktiviteten i samsvar. Statusen oppdateres automatisk hver gang en vurdering godkjennes eller en avtale signeres. Dashboardet gir et samlet bilde over alle aktiviteter, filtrert på kritisk, advarsel og samsvar. Dere ser umiddelbart hvor det mangler noe, uten å krysskjøre regneark.
Risikovurdering, databehandleravtale og metadata knyttet til én behandlingsaktivitet.
GDPR artikkel 30 krever en protokoll over behandlingsaktiviteter. I praksis er dette ofte et regneark som blir utdatert samme dag det opprettes. I Lexera er registeret ikke et separat dokument. Det er en eksport av aktivitetene dere allerede har opprettet og vedlikeholdt som en del av den løpende styringen. Formål, lovgrunnlag, datakategorier, tredjelandsoverføring og oppbevaringstid, eksportert med ett klikk. Oppdatert fordi det er bygget inn i arbeidsflyten, ikke fordi noen husker å oppdatere et ark.
Behandlingsaktiviteten er navet i Lexera. Verktøyet den tilhører dukker opp i teamoversikten, i kostnadsrapporten og i compliance-dashboardet. Risikovurderingen henger på aktiviteten. Databehandleravtalen henger på aktiviteten. Når noe endres ett sted, oppdateres bildet overalt.
En verktøyliste er et godt sted å starte. Men den svarer ikke på spørsmålene tilsynet stiller. Behandlingsaktiviteter gjør det. Det er forskjellen mellom å vite at dere bruker Copilot, og å kunne dokumentere hva dere bruker det til, hvorfor, og at risikoen er vurdert. Lexera er bygget rundt den forskjellen.