Hop til hovedindhold

Sikkerhed og compliance

AgentBase er bygget til organisationer, der skal kunne dokumentere overholdelse af GDPR, AI-forordningen og dansk forvaltningsret. Hele platformen — applikation, database, logs og LLM-inference — kører i EU/EØS, og der finder ingen tredjelandsoverførsler sted. Denne side samler den dokumentation, der typisk efterspørges af DPO, indkøb og juridiske afdelinger, så den kan deles via ét link.

Hvad du kan downloade og dele

Følgende dokumenter er tilgængelige direkte fra denne dokumentationssite og kan tilsendes eller henvises til som led i en compliance-vurdering:

  • System- og leverandørbeskrivelse — opfylder dokumentationskravene i AI-forordningens art. 11 og bilag IV. Beskriver formål, arkitektur, datahåndtering, risikostyring, menneskeligt tilsyn og logning.
  • DPIA-skabelon præ-udfyldt for AgentBase — udgangspunkt for konsekvensanalyse efter GDPR art. 35, hvor de platformrelaterede afsnit allerede er udfyldt, så idriftsætter alene skal supplere med det konkrete anvendelsestilfælde.
  • Databehandleraftale — standardkontraktsbestemmelser i henhold til GDPR art. 28, stk. 3, baseret på Datatilsynets skabelon.
  • Liste over underdatabehandlere — aktuel oversigt over de underdatabehandlere, der anvendes (Hetzner Online GmbH, OpenAI Ireland Ltd. og Mistral AI), samt deres rolle, lokalitet og overførselsgrundlag.
  • Dataflowdiagram — visuel og tekstlig beskrivelse af, hvordan data bevæger sig gennem platformen, herunder hvilke data der sendes til eksterne LLM-udbydere.

Vores grundprincipper

AgentBase er designet ud fra et begrænset sæt principper, der gælder for hele platformen og ikke kan fraviges pr. team eller pr. agent:

  • 100 % EU/EØS. Al hosting, databehandling og LLM-inference foregår inden for EU/EØS. Der er ingen tredjelandsoverførsler.
  • Zero Data Retention på LLM-inference. OpenAI EU er konfigureret med Zero Data Retention, så prompts og output ikke opbevares hos modeludbyderen efter inference.
  • Ingen træning på input. Hverken OpenAI eller Mistral må anvende input fra AgentBase til træning af modeller. Dette er kontraktligt fastsat over for begge leverandører.
  • 6 måneders standardopbevaring. Kørselshistorik opbevares som standard i 6 måneder og kan konfigureres efter idriftsætterens egne retentionkrav.
  • Anonymiseringsnode tilgængelig for alle agents. Platformen leverer en indbygget node til fjernelse af personoplysninger, der kan indsættes inden videresendelse til ekstern model.

Til indkøb og DPO

Send dette link til jeres DPO eller indkøbsafdeling: https://docs.agentbase.dk/sikkerhed-og-compliance

Spørgsmål, ønske om kopi af indgåede underdatabehandleraftaler eller anmodning om supplerende dokumentation kan rettes til:

syv.ai E-mail: mads@syv.ai

Hvad vi IKKE understøtter (med vilje)

For at kunne stå inde for ovenstående garantier er enkelte funktioner bevidst fravalgt:

  • Alternative LLM-leverandører eller egne API-nøgler. Kunden kan ikke pege platformen på vilkårlige modelendpoints eller medbringe egne nøgler til ikke-godkendte udbydere. Kun de leverandører, der fremgår af listen over underdatabehandlere, kan anvendes.
  • Tredjelandsoverførsler. Der findes ingen konfiguration, der kan flytte data ud af EU/EØS — heller ikke som opt-in.
  • Træning på kundedata. Hverken AgentBase, OpenAI eller Mistral må træne modeller på de data, der behandles i platformen.