Hop til hovedindhold

Sikkerhed og compliance

AgentBase er bygget til organisationer, der skal kunne dokumentere overholdelse af GDPR, AI-forordningen og dansk forvaltningsret. Hele platformen applikation, database, logs og LLM-inference kører i EU/EØS, og der finder ingen tredjelandsoverførsler sted. Denne side samler den dokumentation, der typisk efterspørges af DPO, indkøb og juridiske afdelinger, så den kan deles via ét link.

Hvad du kan downloade og dele

Følgende dokumenter er tilgængelige direkte fra denne dokumentationssite og kan tilsendes eller henvises til som led i en compliance-vurdering:

  • System- og leverandørbeskrivelse opfylder dokumentationskravene i AI-forordningens art. 11 og bilag IV. Beskriver formål, arkitektur, datahåndtering, risikostyring, menneskeligt tilsyn og logning.
  • NIS2-leverandørerklæring mapper hver af de ti foranstaltninger i NIS2 art. 21, stk. 2, til den dokumentation og platformfunktion hos AgentBase, som kunden kan henvise til i sin egen risikovurdering og sit eget tilsyn med leverandøren.
  • DORA-erklæring for ICT-tredjepartsudbyder opfylder kontraktelementerne i DORA art. 30(2) og 30(3) for kontrakter, der understøtter kritiske eller vigtige funktioner, og leverer feltværdier til kundens register af information efter art. 28(3).
  • Offentlig sektor og forvaltningsret dækker forvaltningsretlige overvejelser, notatpligt og aktindsigt, AI-forordningens deployer-pligter for offentlige organer (herunder FRIA efter art. 27), tilgængelighed, sproglige krav og rammeaftaler for kommuner, regioner og statslige institutioner.
  • DPIA-skabelon præ-udfyldt for AgentBase udgangspunkt for konsekvensanalyse efter GDPR art. 35, hvor de platformrelaterede afsnit allerede er udfyldt, så idriftsætter alene skal supplere med det konkrete anvendelsestilfælde.
  • Databehandleraftale standardkontraktsbestemmelser i henhold til GDPR art. 28, stk. 3, baseret på Datatilsynets skabelon.
  • Liste over underdatabehandlere aktuel oversigt over de underdatabehandlere, der anvendes (Hetzner Online GmbH, OpenAI Ireland Ltd., Mistral AI og Lettermint B.V.), samt deres rolle, lokalitet og overførselsgrundlag.
  • Dataflowdiagram visuel og tekstlig beskrivelse af, hvordan data bevæger sig gennem platformen, herunder hvilke data der sendes til eksterne LLM-udbydere.

Vores grundprincipper

AgentBase er designet ud fra et begrænset sæt principper, der gælder for hele platformen og ikke kan fraviges pr. team eller pr. agent:

  • 100 % EU/EØS. Al hosting, databehandling og LLM-inference foregår inden for EU/EØS. Der er ingen tredjelandsoverførsler.
  • Zero Data Retention på LLM-inference. OpenAI EU er konfigureret med Zero Data Retention, så prompts og output ikke opbevares hos modeludbyderen efter inference.
  • Ingen træning på input. Hverken OpenAI eller Mistral må anvende input fra AgentBase til træning af modeller. Dette er kontraktligt fastsat over for begge leverandører.
  • 6 måneders standardopbevaring. Kørselshistorik opbevares som standard i 6 måneder og kan konfigureres efter idriftsætterens egne retentionkrav.
  • Anonymiseringsnode tilgængelig for alle agents. Platformen leverer en indbygget node til fjernelse af personoplysninger, der kan indsættes inden videresendelse til ekstern model.

Til finansielle institutioner

Kunder i den finansielle sektor kreditinstitutter, betalingsinstitutter, investeringsselskaber, forsikringsselskaber m.fl. vil typisk være omfattet af både NIS2 (cybersikkerhed på tværs af sektorer) og DORA (digital operationel modstandskraft for finansielle entiteter). De to dedikerede sider NIS2-leverandørerklæringen og DORA-erklæringen for ICT-tredjepartsudbyder kan deles direkte med indkøb, CISO, DPO og kompetente myndigheder uden yderligere bilag. De henviser tilbage til den tekniske og databehandlingsmæssige dokumentation, hvor de underliggende kontroller er beskrevet.

Til offentlige myndigheder

Statslige institutioner, regioner og kommuner skal ud over GDPR forholde sig til dansk forvaltningsret, offentlighedsloven, AI-forordningens deployer-pligter, tilgængelighedsloven og sprogloven. Siden Offentlig sektor og forvaltningsret samler disse forhold ét sted, herunder forholdet til officialprincippet, forbuddet mod rent automatiserede afgørelser, notatpligt, FRIA efter AI-forordningens art. 27 og status for tilgængelighed og rammeaftaler.

Til indkøb og DPO

Send dette link til jeres DPO eller indkøbsafdeling: https://docs.agentbase.dk/sikkerhed-og-compliance

Spørgsmål, ønske om kopi af indgåede underdatabehandleraftaler eller anmodning om supplerende dokumentation kan rettes til:

syv.ai E-mail: mads@syv.ai

Hvad vi IKKE understøtter (med vilje)

For at kunne stå inde for ovenstående garantier er enkelte funktioner bevidst fravalgt:

  • Alternative LLM-leverandører eller egne API-nøgler. Kunden kan ikke pege platformen på vilkårlige modelendpoints eller medbringe egne nøgler til ikke-godkendte udbydere. Kun de leverandører, der fremgår af listen over underdatabehandlere, kan anvendes.
  • Tredjelandsoverførsler. Der findes ingen konfiguration, der kan flytte data ud af EU/EØS heller ikke som opt-in.
  • Træning på kundedata. Hverken AgentBase, OpenAI eller Mistral må træne modeller på de data, der behandles i platformen.