Hva som faktisk skjer
Når en kunde skriver til den digitale medarbeideren din, sendes meldingen til en AI-modell som behandler den og sender svar tilbake. Det er der personvernspørsmålene begynner.
Tre nivåer av datahåndtering: hvor lagres samtalen, hva får AI trene på, hvor lenge oppbevares det. GDPR har klare svar på alle tre.
Hvor lagres samtalen?
Hvis chatboten kjører på en SaaS-tjeneste i USA, kan dataene lagres utenfor EU. GDPR krever at du har lovlig grunnlag, en databehandleravtale, og at kunden vet om det.
For norske bedrifter er det enklere å velge EU-basert lagring fra start. Det er ikke teknisk komplisert, men det må gjøres bevisst. Mange ferdige SaaS-tjenester defaulter til amerikansk lagring, og det betyr ekstra papirarbeid for deg.
Hva får AI-modellen trene på?
Hvis du bruker ChatGPT eller andre konsumentversjoner, brukes samtalene typisk til å trene fremtidige modeller. For en bedrifts-AI er dette uakseptabelt. Dataene dine, og kundedataene dine, blir indirekte del av treningsmaterialet til alle.
Du må bruke API eller enterprise-versjoner hvor det er kontraktuelt avtalt at data ikke brukes til trening. Det er en innstilling, ikke noe som skjer automatisk.
I praksis betyr det at en gratis konsumentversjon av ChatGPT aldri skal brukes for kundedialog i en bedrift. Du må over på en betalt versjon med riktige avtaler.
Hvor lenge oppbevares samtalene?
GDPR krever at data slettes når det ikke lenger er nødvendig. For chatbot-samtaler er det typisk 30 til 90 dager, lengre kun med konkret grunn.
Vanlige grunner til lengre oppbevaring: kvalitetssikring, juridiske krav (regnskap, klagebehandling), eller analyse for å forbedre tjenesten. Alle disse må dokumenteres og kommuniseres til kunden.
Hva kunden har rett til
Få vite at de snakker med AI. Vite hva dataene brukes til. Be om sletting av sine data. Be om kopi av samtalene. Dette må være implementert, ikke bare lovet i en personvernerklæring.
Den enkleste måten å gjøre det riktig på er å informere tydelig allerede i chat-vinduet: "Du snakker med en digital medarbeider. Samtaler lagres i 60 dager. Skriv 'menneske' for å snakke med en av oss."
Hva som ikke skal samles inn
Personnummer, bankinformasjon, helseopplysninger, religiøs eller politisk informasjon. En god digital medarbeider er programmert til å nekte slike spørsmål, ikke til å samle dem inn fordi kunden tilfeldigvis nevner det.
Det er ikke nok å la være å spørre. AI må aktivt avvise å motta slik informasjon, selv om kunden volunterer den.
For bedrifter i regulerte bransjer
Advokat, helse og finans har strengere krav. Da må man typisk ha EU-basert leverandør, kryptering på alle nivåer, og full audit-log. Det er ikke umulig, men det er en jobb som må gjøres skikkelig fra starten, ikke etterpå.
Hva vi gjør
Hos Relax setter vi opp dette riktig fra start. Du får databehandleravtale (DPA), valg av EU-basert lagring, og dokumentasjon som tilfredsstiller Datatilsynet. Det er en del av jobben vi gjør, ikke noe du må huske å fikse selv. Personvern er ikke et tilleggsprodukt, det er en forutsetning.
If your business is not on the Internet, then your business will be out of business. Bill Gates
Psst... Ble du litt svett av å tenke på alt arbeidet som ligger bak digital medarbeider? Ble du litt bekymret for at det fort vil kreve både tid, kompetanse og lyst som du allerede har for lite av? Den gode nyheten er at det trenger slettes ikke være slik! Vi hos Relax tilbyr nemlig digital medarbeider som en tjeneste, der vi gjør ALT arbeidet fra A til Å, så du slipper!
Bli den som svarer først.
En digital medarbeider tar imot kundene dine døgnet rundt, så du aldri går glipp av en henvendelse.