No products added!
Generativ AI skaber fart i organisationer, men også nye spørgsmål om persondata, ansvar og dokumentation. Når en løsning behandler eller kan påvirke personoplysninger, er det sjældent nok at nøjes med en teknisk vurdering eller en intern godkendelse. Der er brug for en struktureret proces, hvor use case, dataflow, risici og afværgeforanstaltninger bliver gennemgået med den rigtige kreds af fagpersoner.
En målrettet workshop om konsekvensanalyse efter GDPR giver netop det fælles rum. Her omsættes idéer og pilotprojekter til et dokumenteret beslutningsgrundlag, så organisationen kan vurdere, om en generativ AI-løsning kan tages i brug, skal justeres eller kræver yderligere kontroller.
Når generativ AI kræver mere end almindelig risikovurdering
Mange AI-initiativer starter med et klart forretningsformål. En intern assistent skal spare tid. En chatbot skal svare hurtigere. Et værktøj til tekst, billede eller lyd skal styrke produktiviteten. Problemet opstår, når data flyder på tværs af systemer, leverandører og processer uden fuld klarhed over, hvad modellen ser, gemmer eller kan genskabe.
En workshop med fokus på DPIA skaber et mere præcist billede af behandlingen. Det gælder både ved nye løsninger og ved ændringer i eksisterende arbejdsgange, hvor generativ AI kobles på HR, kundeservice, marketing, sagsbehandling, undervisning eller interne vidensmiljøer.
Det er her, mange organisationer får værdi hurtigt: Ikke fordi alle svar findes på forhånd, men fordi de rigtige spørgsmål bliver stillet tidligt.
Hvad workshoppen typisk omfatter
Workshoppen er bygget op omkring den konkrete use case og ikke omkring generelle slides. Målet er at komme fra idé og antagelser til et dokumenteret overblik over behandling, risici og nødvendige tiltag.
Efter den indledende afklaring arbejdes der ofte med:
- Use case og formål: Hvad skal løsningen bruges til, og hvorfor er generativ AI valgt?
- Datakortlægning: Hvilke personoplysninger indgår i prompts, træning, retrieval, logs og output?
- Risikobillede: Hvor kan registreredes rettigheder blive påvirket?
- Afværgeforanstaltninger: Hvilke tekniske og organisatoriske tiltag er nødvendige før drift?
- Dokumentation: Hvad skal ind i selve DPIA’en, og hvem godkender hvad?
Resultatet er ikke kun en diskussion. Det er et arbejdsmateriale, som kan indgå direkte i organisationens videre compliance- og governance-arbejde.
Fra use case til datakort og beslutningsspor
Et stærkt workshopforløb begynder med præcision. Hvilken model anvendes? Er der tale om offentlig eller lukket løsning? Hvor kommer input fra? Bliver prompts lagret? Hvem kan tilgå output? Arbejdet med disse spørgsmål er afgørende, fordi DPIA ikke alene handler om jura, men om den faktiske behandling.
I praksis betyder det, at datakilder, integrationspunkter og roller synliggøres. Når man kortlægger hele kæden fra brugerprompt til output og eventuel logning eller videreanvendelse, bliver det muligt at vurdere nødvendighed, proportionalitet og risikoniveau med langt større sikkerhed.
Det er ofte her, skjulte problemer viser sig. Følsomme oplysninger kan være tænkt ind som “midlertidige input”, men i realiteten gemmes de i flere led. Leverandørforhold kan se simple ud, men dækker over uklare roller som behandlingsansvarlig, databehandler eller fælles ansvar. En workshop gør disse forhold operationelle og håndterbare.
De rette deltagere gør forskellen
En DPIA for generativ AI bliver stærkest, når flere perspektiver er samlet i samme rum. Det gælder især, når løsningen berører både drift, sikkerhed, jura og forretning.
Typiske deltagere er:
- DPO eller databeskyttelsesansvarlig
- Juridisk og compliance
- IT-sikkerhed
- AI- eller dataansvarlige
- Systemejere og procesejere
- Relevante ledere eller projektansvarlige
Når disse roller arbejder sammen, bliver det lettere at få afklaret både behandlingsgrundlag, sikkerhedsforanstaltninger, kontraktforhold og interne godkendelser. Det sparer tid senere i forløbet og giver en mere robust dokumentation.
Centrale risici ved generativ AI
Generativ AI rejser nogle risici, som klassiske systemer sjældent har i samme form. Det gælder både databeskyttelse, sikkerhed og kvaliteten af output.
En workshop vil ofte vurdere forhold som:
- Persondata i prompts og logs
- Uventet gengivelse af træningsdata
- Hallucinationer med reel skadevirkning
- Bias og diskriminerende output
- Prompt injection og uautoriseret dataadgang
- Manglende gennemsigtighed i leverandørens behandling
Flere organisationer oplever, at risikoen ikke kun ligger i modellen, men i den måde medarbejdere bruger den på. Derfor er governance, politikker og træning lige så vigtige som tekniske kontroller.
Typiske leverancer fra workshoppen
En velforberedt workshop skal munde ud i mere end gode noter. Der bør være et klart output, som kan bruges i styring, dokumentation og intern forankring.
| Leverance | Formål |
|---|---|
| Beskrivelse af use case | Afgrænser formål, datatyper, systemer og roller |
| Datakort eller dataflow | Synliggør, hvor personoplysninger indgår og bevæger sig |
| Risikoregister | Samler identificerede risici med vurdering af sandsynlighed og konsekvens |
| Udkast til afværgeforanstaltninger | Knytter konkrete tiltag til de enkelte risici |
| DPIA-struktur eller skabelon | Gør det lettere at færdiggøre den formelle dokumentation |
| Handlingsplan | Fordeler ansvar, prioritet og næste skridt |
I nogle tilfælde er workshoppen også startpunktet for en bredere AI-governanceindsats, hvor politikker, leverandørkrav og medarbejdertræning kobles direkte til den konkrete risikoanalyse.
Eksempler på afværgeforanstaltninger
Afværgeforanstaltninger skal passe til den konkrete behandling. Det giver sjældent mening at kopiere en standardliste ukritisk. I stedet arbejdes der med de kontroller, som faktisk reducerer risikoen for de registrerede og styrker organisationens beslutningsgrundlag.
Det kan omfatte både hurtige justeringer og mere strukturelle tiltag:
- Dataminimering: Kun de oplysninger, der er nødvendige for formålet, må indgå i input, træning eller opslag
- Pseudonymisering: Identifikatorer erstattes eller skjules, så direkte kobling til personer begrænses
- Adgangsstyring: Roller, rettigheder og flerfaktorgodkendelse beskytter data og modeladgang
- Inputfiltrering: Følsomme eller unødige persondata stoppes, før de sendes til modellen
- Logning og kontrol: Brug, output og hændelser dokumenteres, så afvigelser kan spores
- Medarbejderpraksis: Klare regler for prompts, brugsscenarier og godkendte værktøjer mindsker fejl og omgåelser
Når disse tiltag forbindes direkte til risikovurderingen, bliver DPIA’en langt stærkere. Det viser både intern ledelse og eksterne interessenter, at der er tænkt i ansvarlig drift og ikke kun i teknologi.
Sådan kan et workshopforløb være bygget op
Formatet kan tilpasses organisationens modenhed, use case og interne roller. Nogle har brug for et intensivt forløb på få timer. Andre ønsker et mere dybdegående arbejde over flere sessioner med mellemopgaver og review.
Et typisk forløb kan se sådan ud:
- Indledende afklaring af use case, systemlandskab og datatyper
- Kortlægning af behandling, roller og leverandørforhold
- Identifikation af risici for registrerede og organisation
- Prioritering via risikomatrice
- Fastlæggelse af tekniske og organisatoriske tiltag
- Strukturering af DPIA-dokumentation og ansvar for opfølgning
Det giver en proces, hvor jura, sikkerhed og forretning arbejder med samme materiale og samme beslutningsspor.
Relevante use cases
Behovet opstår i mange typer projekter, ikke kun i store AI-programmer. En DPIA-workshop kan være relevant ved både pilotprojekter og løsninger, der allerede er i brug, men mangler et stærkt dokumentationsgrundlag.
Det ses ofte ved interne chatbots, HR-assistenter, marketingværktøjer, kundeserviceflows, sagsstøtte, dokumentgenerering og søgning i egne vidensbaser med retrieval-lag. Jo tættere værktøjet er på personoplysninger, profiler, fortrolige forhold eller beslutningsstøtte, desto vigtigere bliver den strukturerede vurdering.
Et praksisnært format med fokus på anvendelse
Hos Nordisk Business Academy lægges vægten på anvendelighed. Det betyder, at workshoppen ikke stopper ved teori om GDPR og generativ AI, men arbejder direkte med egne use cases, egne dataflader og egne beslutninger. Deltagere får et fælles sprog for risiko, dokumentation og ansvar, så arbejdet kan føres videre internt uden unødig friktion.
Formatet egner sig både til ledere, DPO’er, jurister, HR, projektledere, IT-sikkerhed og fagpersoner, der skal omsætte AI-initiativer til ansvarlig drift. Workshoppen kan gennemføres som lukket virksomhedsforløb og kan tilrettelægges online, så relevante nøglepersoner kan deltage på tværs af funktioner og lokationer.
Når generativ AI skal bruges med omtanke, er det en styrke at samle mennesker, metode og dokumentation i ét forløb. Det skaber ro om beslutningerne og giver et mere sikkert grundlag for at gå fra idé til ansvarlig anvendelse.
