Hoppa till innehåll
Basio
Alla artiklar
AI kundtjänstGDPRsäkerhetdatabehandlingsavtalIMYsvenska B2B6 min läsning27 mars 2026

AI-kundtjänst: säkerhet och GDPR-guide

Vad ni behöver kontrollera innan ni tecknar AI-kundtjänst. GDPR artikel 28, IMY-krav, databehandlingsavtal — ett praktiskt underlag.

Kontrollera tre saker innan ni signerar AI-kundtjänst: EU-hosting (AWS eu-north-1 eller Azure North Europe), tecknat DBA per GDPR artikel 28, och definierade lagringstider med automatisk rensning (30–90 dagar rekommenderat). Utan dessa är ni i legal gråzon. Cloud Act gäller US-hostade leverantörer oavsett avtalsskrivningar.

Av alla invändningar mot AI-kundtjänst är "vad händer med vår kunddata?" den mest legitima. Det är inte rädsla för teknologi — det är en korrekt bedömning av ett reellt ansvar.

Som personuppgiftsansvarig är ni ytterst ansvariga för vad som händer med era kunders personuppgifter, oavsett vilken leverantör som faktiskt hanterar dem. Det ger er all anledning att ställa rätt frågor innan ni skriver under.

Den här artikeln är inte en genomgång av GDPR-reglerna i sin helhet — det finns vi har skrivit specifikt om GDPR och AI-kundtjänst för det. Den här är en praktisk verifieringschecklista: exakt vad ni ska kontrollera och vilka svar ni bör acceptera.

GDPR artikel 28: grunden för allt

Artikel 28 i GDPR är den juridiska grunden för relationen mellan er (personuppgiftsansvarig) och er AI-kundtjänstleverantör (personuppgiftsbiträde). Den kräver att ett databehandlingsavtal (DBA) tecknas och att det innehåller specifika skrivningar.

Vad DBA:n måste reglera:

  • Ändamålet med behandlingen (vad data används till)
  • Vilka typer av personuppgifter som behandlas (namn, telefonnummer, ärendebeskrivningar)
  • Säkerhetsåtgärder och tekniska skydd
  • Underleverantörer (vilka tredjeparter får tillgång?)
  • Incidentrapportering (vad händer vid dataintrång?)
  • Återlämnande eller radering av data vid avtalets upphörande

Röd flagga: Om en leverantör inte kan leverera ett ifyllt DBA — eller om de erbjuder ett kontrakt utan DBA — tacka artigt nej.

Dataplats: den fråga ni alltid måste ställa

Var lagras era kunders konversationsdata? Det är inte en teknisk detalj — det är juridiskt avgörande.

Acceptabla dataplatslägen:

  • AWS eu-north-1 (Stockholm) eller eu-central-1 (Frankfurt)
  • Azure North Europe (Irland) eller West Europe (Nederländerna)
  • Google Cloud europe-west1 (Belgien)
  • Europiska alternativ: Hetzner (Nürnberg/Helsinki), OVHcloud (Roubaix/Strasbourg)

Varningsflaggor:

  • "US-east" utan specificerade skyddsmekanismer (Cloud Act-risk — amerikanska myndigheter kan begära ut data)
  • "Globalt distribuerat" utan förtydligande av var primärlagring sker
  • Oförmåga att specificera exakt datacenter — om de inte vet, vet ni inte heller

Dessutom: fråga om underleverantörslistan. En EU-hostad AI-plattform kan fortfarande använda amerikanska underleverantörer för talsyntes, transkription eller loggning. Be om en komplett lista med dataplats per underleverantör.

Kryptering: rätt frågor att ställa

Kryptering är standard — men detaljer spelar roll.

Minimikrav ni ska verifiera:

  • Transit: TLS 1.2 eller 1.3 för all kommunikation (inget HTTP)
  • Vila: AES-256 för lagrad data på servernivå
  • Nyckelhantering: Vem kontrollerar krypteringsnycklarna? Leverantören eller ni?

Customer Managed Keys (CMK): Vissa enterprise-leverantörer erbjuder CMK — ni håller krypteringsnycklarna, leverantören kan aldrig tekniskt dekryptera er data utan er medverkan. Det är gold standard för känslig kunddata. Inte alla leverantörer erbjuder det; för de flesta svenska SME-fall räcker leverantörskontrollerade nycklar med tydlig DBA.

Se AI-kundtjänst och datasäkerhet för en teknisk genomgång av krypteringsarkitektur och Cloud Act-risk.

Lagringstider: standardklausul att begära

GDPR kräver att personuppgifter inte lagras längre än nödvändigt. Vad det innebär praktiskt:

Konversationsloggar (transkriberingar av samtal/chattar): 30–90 dagars automatisk rensning rekommenderas. Längre lagringstid kräver ett tydligt syfte (t.ex. pågående tvistärenden).

Aggregerade statistikdata (antal samtal, automatiseringsgrad, ärendekategorier): kan lagras utan tidsgräns — det är inte personuppgifter.

Röstinspelningar: kräver uttryckligt stöd i DBA:n och en tydlig lagringstid. Standardrekommendation: 30 dagar, sedan automatisk radering.

Fråga direkt: "Har ni konfigurerbara lagringstider per datakategori, och vad är er standardkonfiguration?" Leverantörer som inte kan svara konkret på den frågan bör inte hanteras er kunddata.

Incidentrapportering: 72-timmarsregeln

GDPR kräver att ni anmäler dataintrång till IMY (Integritetsskyddsmyndigheten) inom 72 timmar från att ni fick kännedom om det — om intrånget riskerar att påverka individers rättigheter.

Det innebär att er leverantörs interna incidenthanteringsprocess måste vara snabb nog att ni hinner agera. DBA:n bör innehålla:

  • Tydlig skyldighet för leverantören att notifiera er omedelbart vid misstänkt intrång (inte "inom rimlig tid")
  • Definierat kommunikationsflöde (vem kontaktar ni? vilket är det primära kontaktnumret i kris?)
  • Incidentrapporteringsformat (vad ska de leverera till er — tillräcklig information för att ni ska kunna bedöma IMY-anmälningsplikt)

Vad ni ska begära: Leverantörens incidenthanteringsplan, eller åtminstone ett svar på: "Vad är er SLA för att notifiera kunder vid säkerhetsincidenter?"

Komplett verifieringschecklista

Använd den här checklistan innan ni tecknar avtal med en AI-kundtjänstleverantör:

Juridisk grund

  • [ ] DBA per GDPR artikel 28 tecknat och ifyllt (inte ett generiskt template)
  • [ ] Tydlig definition av personuppgiftsansvarig vs personuppgiftsbiträde
  • [ ] Leverantörens underleverantörer listade med dataplats per underleverantör

Dataplats

  • [ ] Primärlagring i EU/EES bekräftad med specifikt datacenter
  • [ ] Inga US-baserade underleverantörer för primärdatalagring utan SCCs (Standard Contractual Clauses)
  • [ ] Skriftlig bekräftelse att data inte överförs utanför EU utan er vetskap

Teknisk säkerhet

  • [ ] TLS 1.2+ för all datatransit
  • [ ] AES-256 eller likvärdig kryptering i vila
  • [ ] Flerfaktorsautentisering (MFA) för leverantörens personal med åtkomst till er data

Lagringstider

  • [ ] Konfigurerbara lagringstider per datakategori
  • [ ] Skriftlig bekräftelse av standardlagringstider (konversationer, röst, metadata)
  • [ ] Automatisk radering eller anonymisering vid lagringstidens slut

Incidenthantering

  • [ ] Leverantören skyldiga att notifiera er omedelbart (max 24h) vid intrång
  • [ ] Definierat incidentkommunikationsflöde
  • [ ] Leverantören deltar i att ta fram underlag för eventuell IMY-anmälan

Exitklausul

  • [ ] Tydlig process för dataexport vid avtalets upphörande
  • [ ] Leverantören förpliktigad att radera all er data inom specificerad tid efter avslut
  • [ ] Format för dataexport specificerat (ni ska kunna migrera, inte bara förlora)

Vad Basio levererar

Alla Basio-implementations inkluderar:

  • DBA per GDPR artikel 28 som standard (inte extra kostnad, inte tillval)
  • EU-hosting (primärlagring i Sverige/EU)
  • Lagringstider konfigurerade per kundönskemål, default 60 dagars konversationsrensning
  • Incidentnotifiering inom 4 timmar (vår interna SLA — ni ska hinna anmäla till IMY om det behövs)
  • Dataexportformat vid avslut: CSV + JSON per datakategori

Ni behöver inte vara GDPR-jurister för att ställa de här frågorna. Ni behöver en leverantör som kan svara på dem utan att tveka. Om en leverantör tvekar — är det er risk, inte deras.

Boka ett kostnadsfritt strategisamtal — vi gör en genomgång av er nuvarande datahantering och visar exakt hur en Basio-implementation hanterar era GDPR-krav. Med den DBA-checklistan i hand vet ni exakt vad ni ska kontrollera hos oss och hos vem ni väljer.

Se även: GDPR och AI-kundtjänst · GDPR: datalagring och AI Act · Datasäkerhet för AI-kundtjänst · Kontrakt och SLA för AI-kundtjänst · AI-kundtjänst juridik · Frågor att ställa till AI-kundtjänstleverantörer · se våra priser.

Relaterade artiklar

AI kundtjänst

AI-kundtjänst: kontrakt och SLA-guide

Vad ett AI-kundtjänstkontrakt ska innehålla — uptime-garantier, svarstidskrav, datahantering och exitklausuler för svenska B2B-köpare.

AI kundtjänst

AI-kundtjänst trender 2026 i Sverige

Multimodala agenter, svenska språkmodeller och GDPR-säker hosting — vad som förändras inom AI-kundtjänst 2026 för svenska företag.

Vill ni se AI-kundtjänst i er verksamhet?

Boka ett kostnadsfritt 30-minuterssamtal. Vi analyserar er situation och berättar vad som kan automatiseras.

Boka kostnadsfritt samtal