Juridisk

Data compliance-strategi

Vores privatlivspolitik beskriver hvad vi indsamler. Vores lovgivningsside forklarer hvorfor regulering er relevant. Denne side forklarer hvordan vi operationelt sikrer GDPR-compliance i hele vores arkitektur og leverandørkæde.

Vores principper i overblik

Vores compliance-strategi bygger på fem principper, der tilsammen dækker hele dataflowet — fra brugerens tastatur til sprogmodellens svar og tilbage igen.

01Vi påtager os ikke opgaver, der kræver behandling af særligt følsomme data.
02Proaktiv filtrering af sensitive input.
03Zero Data Retention gennem hele kæden.
04Vores egen infrastruktur er EU-hostet.
05Tredjepartsleverandører, ansvarskæden og lovlige overførselsgrundlag.

Princip 1

Vi påtager os ikke opgaver, der kræver behandling af særligt følsomme data

Vores nuværende chatbot-implementeringer er designet til kommercielle brugscenarioer: produktspørgsmål, ordrehåndtering, returneringer, generelle henvendelser. Det er scenarier, der ikke kræver behandling af data, som falder under GDPR Art. 9 — helbredsoplysninger, politisk overbevisning, religiøs overbevisning, biometriske data, oplysninger om seksuel orientering, fagforeningsmæssigt tilhørsforhold og lignende.

Vi kontrollerer ikke, hvad en slutbruger skriver i et chatvindue. Men vi kan gøre vores bedste for at sikre, at eventuelle følsomme oplysninger ikke sendes videre i kæden. Det er formålet med Princip 2.

Princip 2

Proaktiv filtrering af sensitive input

Hver indkommende brugerbesked passerer et pre-processing-lag, inden den når sprogmodellen. Mønstergenkendelse scanner for sandsynligt sensitivt indhold — CPR-lignende formater, kreditkortformater, medicinske termer og lignende. Beskeder, der flagges som potentielt sensitive, kasseres, og brugeren informeres om ikke at dele den type oplysninger.

Formålet er at håndtere brugerinteraktionen ansvarligt og undgå, at følsomme data utilsigtet ender hos en underleverandør. De øvrige trin i flowet — mere avanceret klassifikation, metadata-logging — er funktionalitet, vi kan tilføje over tid for at forbedre præcisionen, men kernen er enkel: tvivlsom input kasseres.

Denne tilgang understøtter direkte GDPR Art. 5's dataminimeringsprincip: vi behandler det minimum af data, der er nødvendigt, og afviser aktivt, hvad der falder uden for scope.

Input-filterets beslutningsflow: hver brugerbesked klassificeres før den når sprogmodellen.

Princip 3

Zero Data Retention gennem hele kæden

Vi benytter udelukkende sprogmodel-leverandører, hvor Zero Data Retention er kontraktligt aktiveret. Prompts og svar lagres ikke, logges ikke og anvendes ikke til modeltræning af leverandøren.

Denne forpligtelse gælder hele kæden — ikke kun ved vores eget lag. Den håndhæves kontraktligt gennem vores direkte databehandleraftale med vores leverandør og dennes Art. 28(4) flow-down-forpligtelser til sine egne underleverandører. Vi holder ikke — og behøver ikke holde — direkte databehandleraftaler med hver downstream-modelleverandør. Kædestrukturen håndterer dette (se Princip 5).

Konkret benytter vi OpenRouters Zero Data Retention-funktion. Leverandøren eksponerer struktureret, programmatisk ZDR-klassifikation på underleverandørniveau, og vi router udelukkende requests til endpoints, der bærer denne klassifikation.

Princip 4

Vores egen infrastruktur er EU-hostet

Al Token Effort-kontrolleret infrastruktur — databaser, runtime, logs, konfiguration, vektorlagring af kundedata — er hostet i EU-regionen. Kundesamtaleloggen forbliver i EU.

Dette er et strategisk valg, der forenkler vores compliance-krav og sikrer, at den data vi selv kontrollerer, er underlagt et ensartet og stærkt juridisk rammeværk. De specifikke overførselsmekanismer for tredjepartsleverandører dækkes under Princip 5, men dette princip handler om at reducere behovet for overførsler i første omgang.

Slutbrugerens samtale rammer Token Efforts EU-hostede runtime og database. Selve inferenskaldet routes via en sprogmodel-leverandør, hvor regionsfilter og ZDR håndhæves kontraktligt.

Princip 5

Tredjepartsleverandører, ansvarskæden og lovlige overførselsgrundlag

Ansvarskæden — hvordan compliance flyder gennem underdatabehandlere

GDPR etablerer en klar ansvarsstruktur for behandling af personoplysninger. I vores tilfælde ser kæden ud som vist nedenfor. Det centrale er, at vi indgår én direkte databehandleraftale med vores leverandør, og at Art. 28(4) forpligter denne til at pålægge sine underleverandører tilsvarende databeskyttelsesforpligtelser. Vi kontraherer ikke direkte med hver enkelt underleverandør — det er selve formålet med kædestrukturen i GDPR.

Kæden bindes af én direkte databehandleraftale (Token Effort → sprogmodel-leverandør) plus Art. 28(4) flow-down-forpligtelser nedad i kæden.

§ GDPR Art. 28, stk. 4 — Underdatabehandlere og flow-down-forpligtelser

Gør en databehandler brug af en anden databehandler i forbindelse med udførelse af specifikke behandlingsaktiviteter på vegne af den dataansvarlige, pålægges denne anden databehandler de samme databeskyttelsesforpligtelser som dem, der er fastsat i kontrakten eller et andet retligt dokument mellem den dataansvarlige og databehandleren som omhandlet i stk. 3, gennem en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i denne forordning. Hvis denne anden databehandler ikke opfylder sine databeskyttelsesforpligtelser, forbliver den oprindelige databehandler fuldt ansvarlig over for den dataansvarlige for opfyldelsen af denne anden databehandlers forpligtelser.

↗ Kilde: EUR-Lex — GDPR (dansk)

Vores due diligence som dataansvarlig

Vi udøver vores pligt som dataansvarlig gennem en række dokumenterede, bevidste foranstaltninger:

Vi vælger en leverandør med GDPR-kompatibel databehandleraftale

Vores direkte databehandleraftale med leverandøren er det instrument, der kontraktligt binder kæden — inklusive Art. 28(4) flow-down og, for underleverandører i tredjelande, passende Art. 46 overførselsgrundlag (standardkontraktbestemmelser, EU-US Data Privacy Framework).

Vi konfigurerer leverandøren konservativt

Leverandøren tilbyder strukturerede kontrolmekanismer — filtrering på region (kun EU- og US-hostede underleverandører), filtrering på Zero Data Retention-politik og eksplicit udvælgelse af godkendte underleverandører. Vi benytter alle tre. Requests routes kun til underleverandører, der opfylder samtlige kriterier samtidigt.

Underleverandør-compliance er leverandørens ansvar

Leverandøren vedligeholder struktureret metadata om hver underleverandørs hosting-region og dataopbevaringspolitik. Disse klassifikationer er leverandørens egne repræsentationer, bundet af vores databehandleraftale. Vores due diligence består i at konfigurere systemet i overensstemmelse med disse klassifikationer — kædestrukturen i Art. 28 placerer ansvaret for underleverandørernes compliance hos den direkte databehandler.

Vi udelukker tredjelande uden overførselsgrundlag

Vi udelukker eksplicit underleverandører hostet uden for EU eller USA. Ingen data routes til jurisdiktioner uden EU-tilstrækkelighedsafgørelser eller tilsvarende Art. 46-garantier, der flyder gennem leverandørens kontrakter.

Vi vælger Zero Data Retention som standard

Dette eliminerer sekundær-brugsrisikoen i kædens ende — ingen underleverandør opbevarer, logger eller træner på kundedata. Kombineret med regionsbegrænsninger betyder det, at den eneste databehandling hos downstream-underleverandører er selve inferenskaldet, som derefter kasseres.

Vi dokumenterer konfigurationen

Vores interne Transfer Impact Assessment registrerer, hvilke routingparametre der er aktive, hvilke underleverandører der er godkendte, og hvilke juridiske instrumenter der understøtter kæden. Dette dokument er tilgængeligt for kunder og tilsynsmyndigheder efter rimelig anmodning.

Hvad dette betyder i praksis

Vores compliance-strategi hviler ikke på håbefuld tillid til anonyme underleverandører. Den hviler på (a) en direkte kontrakt med vores leverandør, (b) leverandørens egne kontraktlige forpligtelser nedad i kæden under Art. 28(4), og (c) en konservativ konfiguration der systematisk udelukker underleverandører og jurisdiktioner uden passende overførselsgrundlag eller databeskyttelsesgarantier. Dette er den struktur GDPR selv foreskriver for databehandlerkæder — ikke en omgåelse af den.

Dokumentation og ansvarlighed

Intern dokumentation: Transfer Impact Assessment, oversigt over underleverandører og dataflow-diagrammer. Tilgængelig for kunder og tilsynsmyndigheder efter rimelig anmodning.
Vores rolle: Dataansvarlig for egne operationer, databehandler for kunders slutbrugerdata.
Kontakt: mail@token-effort.com

§ GDPR Art. 6, stk. 1 — Lovlig behandling

Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende: a) Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål. b) Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt. c) Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige. d) Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser. e) Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. f) Behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.

↗ Kilde: EUR-Lex — GDPR (dansk)

Senest opdateret · 22. april 2026